Kali Linux e WordPress sono due nomi che compaiono spesso quando si parla di sicurezza informatica. Da una parte c’è una distribuzione Linux pensata per il security testing, dall’altra il CMS più usato al mondo. Proprio questa diffusione rende WordPress un bersaglio frequente di bot, scanner automatici, brute force e attacchi contro plugin o temi vulnerabili.
Chi gestisce un sito WordPress dovrebbe quindi conoscere almeno gli strumenti principali per eseguire controlli periodici, verificare la superficie di attacco e individuare configurazioni deboli prima che diventino un problema reale. In questo scenario, Kali Linux è una base di lavoro molto pratica perché include o rende facilmente disponibili molti tool utili per penetration test autorizzati e audit tecnici.
Attenzione: questi strumenti vanno usati solo su siti propri o con autorizzazione esplicita. Un test di sicurezza senza permesso non è un audit legittimo.
Cos’è Kali Linux e perché viene usato per la sicurezza WordPress
Kali Linux è una distribuzione focalizzata sulla sicurezza, mantenuta da Offensive Security. Viene usata da professionisti, amministratori di sistema e consulenti per attività di analisi, auditing e verifica di vulnerabilità.
Per chi lavora su WordPress, il vantaggio principale è semplice: Kali Linux permette di avere in un solo ambiente strumenti utili per analizzare rete, server web, richieste HTTP, plugin esposti, utenti enumerabili e vulnerabilità note. Non risolve da solo i problemi di sicurezza, ma accelera il lavoro e rende più ordinato il processo di verifica.
I migliori programmi per testare la sicurezza di WordPress
WPScan
WPScan è il riferimento principale per l’analisi della sicurezza di WordPress. È uno scanner specializzato che aiuta a identificare la versione del core, i plugin installati, i temi rilevabili, gli utenti esposti e diverse vulnerabilità note.
Il suo valore sta nella specializzazione: invece di fare una scansione generica del server, controlla elementi specifici del mondo WordPress. Per questo motivo è quasi sempre il primo strumento da usare durante un audit tecnico su un sito WordPress.
WPScan è particolarmente utile per:
- identificare plugin e temi installati
- rilevare versioni obsolete o vulnerabili
- verificare l’enumerazione utenti
- controllare esposizioni tipiche del CMS
Burp Suite
Burp Suite è una piattaforma molto usata per il testing delle web application. Non è specifica per WordPress, ma diventa preziosa quando bisogna capire come il sito si comporta davvero durante login, invio form, chiamate AJAX, endpoint REST API o interazioni con plugin personalizzati.
Con Burp Suite si possono osservare richieste e risposte HTTP, analizzare cookie e sessioni, verificare la gestione dell’autenticazione e individuare flussi applicativi deboli. È particolarmente utile nei casi in cui il rischio non dipende solo da un plugin vulnerabile, ma dal comportamento complessivo dell’applicazione web.
Nikto
Nikto è uno scanner orientato ai web server. Su un sito WordPress è utile per intercettare file sensibili esposti, configurazioni deboli, componenti obsoleti o disclosure informative che non dovrebbero essere pubbliche.
Non sostituisce WPScan, ma lo completa bene perché amplia l’analisi oltre il CMS e guarda anche il contesto server che ospita WordPress.
Nmap
Nmap è uno strumento storico per la network discovery e il security auditing. Serve a capire quali porte e servizi risultano esposti, quali componenti rispondono e quanto è ampia la superficie di attacco del server.
Anche quando WordPress sembra aggiornato, una configurazione di rete troppo aperta può aumentare il rischio. Per questo Nmap è utile per non limitare l’audit al solo frontend del sito.
Gobuster
Gobuster è molto utile per la content discovery. In pratica consente di cercare directory, file e percorsi non linkati pubblicamente ma ancora raggiungibili. In un contesto WordPress può aiutare a far emergere backup dimenticati, cartelle di test, installazioni parallele o percorsi amministrativi secondari.
sqlmap
Quando c’è il sospetto di input non filtrati o vulnerabilità SQL injection in componenti custom o plugin poco curati, sqlmap può essere un supporto tecnico molto importante. Non è uno strumento da lanciare alla cieca, ma in mani esperte può aiutare a verificare in modo strutturato il rischio di injection.
Qual è la combinazione migliore per un audit WordPress
Se l’obiettivo è fare un controllo serio e pragmatico, la combinazione più utile è spesso questa:
- WPScan per l’analisi specifica del CMS
- Burp Suite per il comportamento reale dell’applicazione
- Nikto per misconfigurazioni e risorse esposte lato server
- Nmap per porte e servizi esposti
- Gobuster per directory e file nascosti
- sqlmap per verifiche mirate su possibili injection
Questa combinazione permette di coprire in modo più completo le aree critiche di un sito WordPress moderno.
Cosa controllare davvero su un sito WordPress
Un buon test di sicurezza non si limita a lanciare tool automatici. I controlli più importanti riguardano anche configurazione, manutenzione e hardening operativo.
- versione di WordPress aggiornata
- plugin e temi mantenuti e non abbandonati
- utenti enumerabili pubblicamente
- REST API troppo esposta
- XML-RPC attivo senza reale necessità
- password deboli o login senza protezioni aggiuntive
- backup accessibili via web
- permessi file e directory troppo permissivi
- header HTTP di sicurezza assenti
- servizi server non necessari ma esposti
Conclusione
Kali Linux è un ambiente molto utile per chi vuole testare in modo professionale la sicurezza di WordPress, ma il vero valore non sta solo negli strumenti: sta nel metodo. WPScan resta il punto di partenza ideale per il mondo WordPress, mentre Burp Suite, Nikto, Nmap, Gobuster e sqlmap aiutano a costruire un audit più completo e realistico.
La sicurezza di WordPress non dipende da una singola scansione, ma da aggiornamenti costanti, configurazione corretta, hardening e verifiche periodiche. Per chi gestisce un sito in produzione, conoscere questi strumenti significa ridurre i rischi e intervenire prima che una vulnerabilità diventi un incidente.