Per questo test ci serviremo del Tool WPCracker che è capace di enumerare e fornire gli accessi ad un sito WordPress utilizzando attacchi di Forza Bruta. L’applicativo è disponibile sia per OS Windows che per Linux.

Tra le peculiarità del tool, possiamo specificare il numero di thread e la quantità di batch di password da testare per ciascun thread.

E’ importante settare questi parametri con parsimonia al fine di evitare rallentamenti del server Target quindi rallentare l’intero processo di penetration testing.

Scaricare WPCracker

Possiamo reperire WPCracker tramite GitHub all’indirizzo https://github.com/JoniRinta-Kahila/WPCracker

Usare WpCracker

Per lanciare l’applicativo possiamo richiamare le sue funzioni con il comando:

.\WPCracker.exe --enum -u <Url sito WordPress> -o <Percorso File di OutPut (OPZIONALE)>

Per avviare l’attacco invece useremo:

.WPCracker.exe --brute -u <Url sito WordPress> -p <Percorso del File Dizionario> -n <Username> -o <Percorso File di OutPut (OPZIONALE)>

oppure possiamo chiedere l’invocazione di un percorso step by step dove l’applicativo ci chiederà volta per volta i parametri da inserire.

.WPCracker.exe --brute

Come abbiamo detto all’inizio, occorre prestare molta attenzione al numero di chiamate effettuate verso il sistema, pena creargli un DoS e in un ambiente di produzione, questo un qualsiasi penetration tester non può permetterselo, quindi è possibile indirizzare il numero di threads specificando questo comando.

.WPCracker.exe --brute -u <Url sito WordPress> -p <Percorso del File Dizionario> -n <Username> -t <Massimo Numero di threads> -c <Dimensione Massima di Batch>

Hai bisogno di una consulenza o assistenza?

Apri un ticket di richiesta, ti risponderò in brevissimo tempo! Chiedere non costa nulla

Apri Richiesta

L'articolo Scoprire Password di WordPress con attacco a Forza Bruta sembra essere il primo su .