Vuls 7.0でWordPressの脆弱性チェック

2019年4月30日

Vuls 7.0からWordPressの脆弱性チェックが可能となったということで設定をしてみる。 設定方法はv0.7.0を読むのが1番楽ちん

config.tomlの修正

config.tomlの修正を下記のように行います。

[servers.webserver]
host = "webserver.barasu.org"
port = "22"
user = "sample"
keyPath = "/home/sample/.ssh/id_rsa"
[servers.webserver.wordpress]
cmdPath = "/usr/local/bin/wp"
osUser = "sample"
docRoot = "/var/www/efs/"
wpVulnDBToken = "xxxxxxx***********xxxx"
ignoreInactive = false

• cmdPath: 脆弱性チェックをするサーバに入っている wp-clのPATHを書く
• osUser: 脆弱性チェックをするサーバのwp-cli実行ユーザを書く
• docRoot: 脆弱性チェックをするサーバのDocumentRootを書く
• wpVulnDBToken: WPVULNDB APIのTOKENを書く
• ignoreInactive: Ignore plugins or themes which are inactive state

wpVulnDBTokenはWPVULNDB APIでユーザ登録を行いTokenを手に入れてください。

使い方

後は普通にScanしてReportを出してみます。

気になる点、Themeとか手を入れると正しく脆弱性チェックができない気がします。