Vulnerability scanner atau pemindai kerentanan merupakan program komputer yang dirancang untuk memindai jaringan komputer, keamanan komputer hingga sistem. Pemindai biasa digunakan untuk menemukan kelemahan sistem yang dapat dikatakan sebagai celah keamanan.
Wpscan merupakan salah satu aplikasi pemindai keamanan sistem, pemindai ini mempu mendeteksi kerentanan umum hingga menampilkan semua plugin dan tema dari website CMS yang digunakan. WPscan juga dapat digunakan untuk meretas situs website dengan mekanisme bruteforce pada akun wp-admin website. Brute Force adalah sebuah metode serangan terhadap sistem dengan upaya mendapatkan akses dengan melakukan pencocokan username dan kunci yang memungkinkan hingga memperoleh nilai true. Teknik ini termasuk dalam cyber crime.
Plugin Keamanan Wordfence
Username yang diperoleh dari WPScan akan memudahkan hacker untuk menebak password guna mengakses wp-admin. Wordfence yang dipasang akan memblacklist IP address/bot yang mencoba masuk dan mengakses wp-admin dengan teknik bruteforce. Selain melakukan block ip yang memiliki potensi menyerang ke website, fitur yang sangat bermanfaat yakni monitoring keamanan website.
Firewall pada Direktori
Web Application Firewall (WAF) yang ditambahkan di direktori wordpress wordfence-waf.php mampu mencegah data yang berasal dari client ke sebuah website. 3 pendekatan yang dilakukan untuk menganalisis dan menyaring perintah HTTP yakni whitelisting, blacklisting dan hybrid security.
Firewall pada .htaccess
Mengatur .htaccess WAF, pilihan ini opsional sesuai dengan kebutuhan dari website atau apabila username masih belum berhasil disembunyikan. Script ini akan memanggil perintah .user.ini untuk menjalankan whitelist.
Wp-admin merupakan area administrasi situs web dimana konfigurasi dan basis data web di situs tersebut, sehingga perlu meminimalisir celah hacker untuk meretas web dengan menutup celah bruteforcing.
— Username akun WP-Admin dapat ditampilkan di WPScan?
Username akun WP-Admin dapat ditampilkan di WPScan?. [nurullatifah]