Plecost responde a la inquietud creada en los miembros de este blog ante la precaria configuración de las instalaciones de WordPress, tanto del motor como de los plugins disponibles.

Plecost recupera la información contenida en el sitio Web que se desea analizar, y además permite realizar una busqueda sobre los resultados indexados por Google.

Basa su análisis en la información contenida en los ficheros de desarrollo incluidos por WordPress y sus plugins. El listado de plugins se genera en base al listado “Most populars” de wordpress.org, unido con las entradas relacionadas con WordPress en CVE.mitre.org.

Plecost está disponible en:

http://code.google.com/p/plecost

Plecost es capaz de trabajar en dos modos. Por un lado analizando una única URL y por otro analizando los resultados de las búsquedas de Google. Analizaremos ahora las opciones más importantes.

  • Google search mode
    • Recupera la información contenida en los resultados de Google en base al listado de plugin que se le entrega como entrada de datos.
  • Reload plugin list
    • Genera una lista de plugins a partir del listado “Most popular” de WordPress.org.
  • URL mode
    • Analiza la información para una sola URL indicada como parámetro.

Uso para la versión plecost-0.2.2-8-beta.py:

Usage: ./plecost-0.2.2-8-beta.py [options] [ URL | [-l num] -G]

Google search options:
 -l num    : Limit number of results for each plugin in google.
 -G        : Google search mode

Options:
 -n        : Number of plugins to use (Default all - more than 7000).
 -c        : Check plugins only with CVE associated.
 -R file   : Reload plugin list. Use -n option to control the size (This take several minutes)
 -o file   : Output file. (Default "output.txt")
 -i file   : Input plugin list. (Need to start the program)
 -s time   : Min sleep time between two probes. Time in seconds. (Default 10)
 -M time   : Max sleep time between two probes. Time in seconds. (Default 20)
 -t num    : Number of threads. (Default 1)
 -h        : Display help. (More info: http://iniqua.com/labs/)

Examples:

 * Reload first 5 plugins list:
 plecost -R plugins.txt -n 5
 * Search vulnerable sites for first 5 plugins:
 plecost -n 5 -G -i plugins.txt
 * Search plugins with 20 threads, sleep time between 12 and 30 seconds for www.example.com:
 plecost -i plugin_list.txt -s 12 -M 30 -t 20 -o results.txt www.example.com

Uso para la versión 0.0.1-5beta:

Usage: ./plecost_0.0.1-5beta.py [options] URL | [options] -G

Options:
-G      : Google search mode
-n      : Number of plugins to use (Default all - more than 7000).
-c      : Check plugins only with CVE associated.
-R file : Reload plugin list. Use -n option to control the extension[...]
-o file : Output file. (Default "output.txt")
-i file : Input plugin list. (Need to start the program)
-s time : Min sleep time between two probes. Time in seconds. (Default 10)
-M time : Max sleep time between two probes. Time in seconds. (Default 20)
-h      : Display help. (More info: http://iniqua.com/labs/)

Examples:

* Reload first 5 plugins list:
    plecost -R plugins.txt -n 5
* Search vulnerable sites for first 5 plugins:
    plecost -n 5 -G -i plugins.txt
* Search plugins with sleep time between 12 and 30 seconds to www.example.com:
    plecost -i plugin_list.txt -s 12 -M 30  -o results.txt www.example.com

A continuación un par de capturas de Plecost.