Plecost es un escáner de vulnerabilidades en wordpress que sirve para que los administradores de sistema puedan comprobar algunas posibles vulnerabilidades y en definitiva para comprobar un poco la seguridad de una web con wordpress.
Esta desarrollado por en python3 por Daniel Garcia y Francisco Jesús Gomez (http://iniqua.com/labs/)
Instalación sencilla de plecost
python3 -m pip install plecost
Al ejecutarlo sin parámetros suelta esto:
La ayuda con -h.
Actualizando bases de datos necesarias
plecost --update-cve
plecost --update-plugins
Es posible hacerlo con –update-all todo al mismo tiempo. Puede tardar un rato.
Obtner información de una web
torify plescost laweb.com
Para opciones más avanzadas mirar más información en el git: https://github.com/iniqua/plecost o usando -h
También para quienes tienen servidores con wordpress en producción es bueno lo siguiente.
Ocultar la versión de PHP
Esto se hace (dependiendo del servidor que uses: apache2, nginx, …) editando php.ini:
Estará por una ruta similar a estas o idéntica:
/etc/php5/apache/php.ini /etc/php5/fpm/php.ini
Buscamos la línea expose_php = On y la ponemos a Off.
Ocultar información sobre el servidor que estamos usando (Nginx, apache2, …)
En apache2 se edita este archivo:
/etc/apache2/apache2.conf
Colocando estas 2 directivas:
ServerTokens ProductOnly ServerSignature Off
Si se usa el server nginx es tocando este archivo:
/etc/nginx/nginx.conf
y colocando esto a off:
server_tokens off;
