Vuls 7.0でWordPressの脆弱性チェック

Voiced by Amazon Polly
Vuls 7.0からWordPressの脆弱性チェックが可能となったということで設定をしてみる。 設定方法はv0.7.0を読むのが1番楽ちん

config.tomlの修正

config.tomlの修正を下記のように行います。
[servers.webserver]
host = "webserver.barasu.org"
port = "22"
user = "sample"
keyPath = "/home/sample/.ssh/id_rsa"
[servers.webserver.wordpress]
cmdPath = "/usr/local/bin/wp"
osUser = "sample"
docRoot = "/var/www/efs/"
wpVulnDBToken = "xxxxxxx***********xxxx"
ignoreInactive = false
  • cmdPath: 脆弱性チェックをするサーバに入っている wp-clのPATHを書く
  • osUser: 脆弱性チェックをするサーバのwp-cli実行ユーザを書く
  • docRoot: 脆弱性チェックをするサーバのDocumentRootを書く
  • wpVulnDBToken: WPVULNDB APIのTOKENを書く
  • ignoreInactive: Ignore plugins or themes which are inactive state
wpVulnDBTokenはWPVULNDB APIでユーザ登録を行いTokenを手に入れてください。

使い方

後は普通にScanしてReportを出してみます。
気になる点、Themeとか手を入れると正しく脆弱性チェックができない気がします。