WPScan — Escáner Automático de WordPress
Comprender el uso y potencial de WPScan, una herramienta para enumerar y analizar vulnerabilidades en sitios WordPress 🕵️♂️
⚙️ ¿Qué es WPScan?
WPScan es una herramienta de enumeración y análisis de seguridad enfocada en WordPress.
Sirve para detectar:
-
📦 Plugins instalados (y si son vulnerables)
-
🎨 Temas usados (y si están desactualizados)
-
👥 Usuarios registrados
-
⚠️ Vulnerabilidades conocidas (mediante WPVulnDB)
💡 WPScan está preinstalado en sistemas como Parrot OS y Kali Linux, pero también puede instalarse manualmente con gem.
💾 Instalación
gem install wpscan
🧠 Verificar instalación:
wpscan -h
Esto mostrará el menú de ayuda completo con todos los comandos y opciones disponibles.
Si ves el logo ASCII de WPScan, ¡todo está correcto! ✅
📖 Comandos Básicos
| Comando | Descripción | Emoji |
|---|---|---|
--url <URL> |
Define el sitio objetivo | 🌐 |
--enumerate |
Enumera componentes (plugins, temas, usuarios) | 🔍 |
--api-token <TOKEN> |
Usa la base de datos de WPVulnDB | 🔑 |
-o <archivo> |
Guarda el resultado del escaneo | 💾 |
-t <n> |
Define el número de hilos (por defecto 5) | ⚙️ |
-v |
Modo detallado (verbose) | 🗣️ |
--version |
Muestra la versión del programa | 🔢 |
🔑 Integración con WPVulnDB
WPScan puede usar la base de datos WPVulnDB para obtener información actualizada sobre vulnerabilidades 📚⚠️
🪪 Para usarla:
-
Crea una cuenta en https://wpscan.com
-
Copia tu API Token
-
Usa el token con:
wpscan --url <URL> --api-token <TOKEN>
🧩 Plan gratuito → permite 50 consultas por día