Masih mikir kalo WordPress itu aman dari serangan?
Anggap aja itu rumah yang tiap hari dikunjungi maling cuma buat liat pintu mana yang bolong.
Nah, WPScan hadir buat bantu kita jadi satpam super teliti yang bisa cek satu per satu lubang di tembok web WordPress kamu sebelum hacker datang.
Siap-siap makin aware sama keamanan situs lo!
Apa itu WPScan?
WPScan adalah *scanner* keamanan open source yang dirancang khusus buat WordPress. Dibuat pake bahasa Ruby, alat ini punya database raksasa yang berisi ribuan *vulnerability* plugin, tema, dan inti WordPress. Singkatnya, WPScan cuma nanya satu pertanyaan ke situs lo: “Ada lubang atau nggak?” Terus dia kasih laporan lengkap plus rekomendasi perbaikan. Gratis, ringan, dan bisa dijalankan langsung dari terminal atau pakai versi web di wpscan.com.
Fungsi utama WPScan
1. Enumerasi user
WPScan bisa nelusuri username yang terdaftar di WordPress. Kenapa penting? Karena brute-force makin gampang kalau username udah ketahuan. Fitur ini ngingetin kita buat ngehapus user default kayak “admin” dan bikin username yang lebih unik.
2. Deteksi plugin dan tema
Plugin dan tema yang jarang update jadi pintu belakang favorit hacker. WPScan bisa list semua plugin yang aktif, versinya, dan langsung cocokin sama daftar *vulnerability* yang ada. Ketemu plugin ketinggalan jaman? Langsung update atau ganti, deh.
3. Scan *core* WordPress
Bukan cuma plugin dan tema, WPScan juga ngecek versi inti WordPress. Kalo masih pakai 5.8.3 padahal udah rilis 6.5, besar kemungkinan ada bug yang bisa disalahgunakan. Info ini muncul dalam hitungan detik.
4. Pemindaian *weak password*
Pakai fitur brute-force-nya buat uji kekuatan password admin. Ini simulasi, jadi kamu bisa liat seberapa cepet password “123456” bakal jebol. Hasilnya bikin kapok buat ganti ke kombinasi yang lebih sakti.
5. Laporan otomatis plus *CVSS score*
Setelah scan selesai, WPScan kasih laporan yang udah dilengkapi *Common Vulnerability Scoring System*. Angka 0–10 nunjukin seberapa parah bug itu. Nilai 9.8? Prioritaskan patch sebelum akun medsos perusahaan dihack.
Cara pakai WPScan ala anak muda
1. Install di Kali Linux atau pakai Docker:
docker run -it wpscanteam/wpscan –url https://situslo.com
2. Tambahkan parameter buat dapetin info lengkap:
–enumerate u (user)
–enumerate p (plugin)
–enumerate t (theme)
3. Simpan hasil dalam format JSON biar bisa dishare ke tim dev:
–output /tmp/hasil.json –format json
4. Integrasikan ke CI/CD pipeline pake GitHub Actions. Jadi tiap kali ada commit baru, WPScan otomatis jalan. Tim dev langsung dapet notif kalau ada plugin baru yang bermasalah.
Catatan penting
– WPScan hanya alat bantu etis. Jangan dipake buat ngejebak situs orang lain tanpa izin.
– Hasil scan bisa jadi *false positive*. Cross-check dulu ke repositori resmi plugin sebelum panik.
– Update database WPScan tiap minggu supaya tetap relevan. Cukup jalankan –update.
Epilog
WordPress makin populer, target hacker otomatis makin besar. Dengan WPScan di genggaman, lo udah punya radar dini buat ngegiring serangan jauh sebelum benar-benar ngegasa. Ingat, keamanan itu bukan tugas satu orang, tapi tanggung jawab seluruh tim.
CTA
Mau belajar lebih dalam soal cara kerja WPScan plus trik hardening WordPress lainnya? Gaspol aja gabung ke *bootcamp penetration testing* dari ShinoBee ID. Di sana lo bakal praktik langsung pake WPScan di lab berisi ratusan situs WordPress sengaja dibikin rapuh. Daftar sekarang di shinobee.id/bootcamp dan jadi cyber guardian paling kece di antara teman-teman lo.
Meta description
WPScan adalah scanner keamanan WordPress open source yang bisa deteksi plugin, tema, dan user lemah. Pelajari cara pakainya dan lindungi situs lo dari serangan!