Desenvolvido em Ruby pela WPScan Team e lançado em 2011, o WPScan é o scanner de vulnerabilidades de WordPress mais difundido na comunidade de segurança. A ferramenta consulta uma base de dados proprietária que regista falhas conhecidas em plugins, temas e no próprio núcleo do CMS, permitindo detetar pontos fracos em instalações WordPress remotas sem necessidade de credenciais de acesso. Incluído por defeito no Kali Linux e distribuído gratuitamente, o WPScan ultrapassou as marcas de 25 mil estrelas no GitHub e tornou-se referência obrigatória em auditorias de segurança de sites baseados em WordPress.

  • Desenvolvedor: WPScan Team
  • Linguagem: Ruby
  • Ano de lançamento: 2011
  • Alvo: Instalações WordPress remotas
  • Base de dados: WordPress Vulnerability Database própria
  • Distribuição: Gratuito (CLI), API comercial

O que é o WPScan

O WPScan é um scanner de segurança desenhado especificamente para o ecossistema WordPress. Ao contrário de scanners web genéricos que testam qualquer aplicação, o WPScan conhece a arquitetura interna do WordPress: a estrutura de diretórios (/wp-content/plugins/, /wp-content/themes/), a localização de ficheiros de configuração (wp-config.php), a API REST em /wp-json/ e os mecanismos de enumeração de utilizadores.

O motor da ferramenta cruza três fontes de informação. Primeiro, faz fingerprinting da versão do WordPress em execução — lendo o ficheiro readme.html, metadados em feeds RSS ou hashes de ficheiros estáticos conhecidos. Segundo, enumera plugins e temas instalados através de técnicas de força bruta sobre nomes de diretórios comuns. Terceiro, consulta a WordPress Vulnerability Database, a base de dados própria da WPScan Team que regista mais de 25 mil vulnerabilidades específicas do CMS.

O WordPress alimenta 43% de todos os websites do mundo, segundo dados do W3Techs. Essa dominância torna o WPScan uma ferramenta de valor crítico: a maioria das intrusões em sites WordPress não explora falhas no núcleo do CMS — que é mantido por uma equipa robusta — mas sim em plugins desatualizados ou abandonados por terceiros. O WPScan foi concebido para encontrar precisamente essas falhas.

Funcionalidades principais

O WPScan executa múltiplos tipos de verificação contra um alvo WordPress:

  • Deteção de versão: identifica a versão exata do núcleo WordPress em execução através de múltiplas técnicas de fingerprinting
  • Enumeração de plugins: lista plugins instalados por força bruta sobre lista de mais de 100 mil nomes conhecidos, com deteção de versão por ficheiro readme ou metadados
  • Enumeração de temas: aplica o mesmo princípio aos temas WordPress
  • Enumeração de utilizadores: extrai nomes de utilizadores via API REST, feeds de autor ou mensagens de erro de login diferenciadas
  • Deteção de backups: procura ficheiros de backup expostos (wp-config.php.bak, .sql) em diretórios acessíveis
  • Ataque de palavra-passe: executa brute-force de login contra contas enumeradas, com suporte a múltiplos métodos de autenticação (XML-RPC, REST API, formulário de login)
  • Relatório de vulnerabilidades: para cada plugin/tema/version identificado, apresenta CVEs associados, referências e níveis de criticidade

A ferramenta distingue-se por consultar dados em tempo real. Ao contrário de scanners que dependem de listas estáticas embutidas no código, o WPScan liga-se à API da WordPress Vulnerability Database e obtém as vulnerabilidades mais recentes — incluindo falhas divulgadas há poucas horas. A API gratuita permite 25 pedidos diários; planos pagos elevam o limite para uso profissional.

Casos de uso práticos

Pentestores contratados para avaliar a postura de segurança de um site WordPress executam o WPScan na fase de reconhecimento. Uma varredura típica demora entre 15 e 40 minutos, dependendo da configuração de agressividade. O relatório final identifica plugins desatualizados com CVEs conhecidos — frequentemente o vetor de entrada mais fácil para um atacante. Equipas usam esta informação para priorizar atualizações.

Administradores de sistemas aplicam o WPScan em modo passivo como parte de auditorias de compliance. Em ambientes com dezenas de sites WordPress geridos pela mesma organização — cenário comum em agências governamentais e universidades — o scanner pode ser automatizado via script para verificar todos os domínios periodicamente e gerar alertas quando novos CVEs surgem contra versões instaladas.

Ferramentas de gestão de vulnerabilidades empresariais, como o Qualys VMDR, integram dados do WPScan para enriquecer os seus próprios relatórios de postura de segurança web. A combinação de um scanner genérico de rede com um especialista em WordPress dá cobertura completa a organizações que operam infraestruturas mistas.

Posição no mercado

O WPScan domina o nicho de scanners específicos para WordPress sem concorrente direto de peso no segmento de código aberto. Ferramentas genéricas como o SQLMap focam-se em tipos de vulnerabilidade individual (injeção SQL); scanners web comerciais como Burp Suite Professional e Nessus cobrem WordPress como mais um alvo entre centenas. Nenhum oferece a profundidade de enumeração específica do WPScan.

A empresa por trás da ferramenta — WPScan, sediada no Reino Unido — monetiza através da API de vulnerabilidades e de serviços de monitorização contínua para clientes enterprise. A ferramenta CLI permanece gratuita e open-source sob licença GNU GPL, garantindo adoção massiva na comunidade de segurança.

A equipa mantém parcerias com plataformas de bug bounty e investigadores que submetem novas vulnerabilidades antes da divulgação pública. Este fluxo garante que a base de dados do WPScan contém frequentemente entradas que outros repositórios de CVE ainda não registaram — uma vantagem competitiva decisiva num cenário onde horas fazem diferença.

Considerações finais

O WPScan é uma ferramenta ativa: envia pedidos HTTP ao servidor alvo e pode gerar tráfego significativo. Varreduras agressivas de enumeração de plugins podem disparar sistemas de deteção de intrusão e regras de rate-limiting em servidores protegidos. Em ambientes de produção, recomenda-se executar o scanner fora do horário de pico e com autorização documentada.

A enumeração de utilizadores, funcionalidade que expõe nomes de contas WordPress, é o primeiro passo de ataques de brute-force. Sites WordPress expostos à internet devem desativar a API REST de utilizadores ou aplicar filtros que ocultem essa informação — uma defesa simples que o WPScan revela de imediato como vulnerabilidade de enumeração.

Para profissionais que administram ou auditam instalações WordPress, o WPScan oferece diagnóstico rápido e preciso da postura de segurança do CMS. A sua base de dados própria, atualizada diariamente, torna-o insubstituível num panorama onde novos plugins vulneráveis surgem semanalmente.