Herramienta profesional de auditoría de seguridad para sitios WordPress (uso ético exclusivo).
🔗 Sitio web oficial: https://wpat.netlify.app/
-
🔍 Módulos Especializados:
- 🕵️ Detección de Enumeración de Usuarios
- 🛑 Análisis de Vulnerabilidades XML-RPC
- 📂 Escáner de Archivos Sensibles Expuestos
- 🔖 Fingerprinting de Versión de WordPress
- 📡 Auditoría de Endpoints REST API
- 🧩 Escáner de Plugins (detecta instalaciones activas)
- 🎨 Escáner de Temas (detección por estilo CSS)
- 🔓 Fuerza Bruta Optimizada (Login WordPress)
- 🔐 Auditoría SSL/TLS (Certificados y Cifrado)
- 🗒️ Detección de archivo
security.txt - 🌐 Detector de configuración CORS
- 🧾 **Generador de Reportes HTML (Nuevo) **
-
🛠 Funcionalidades Clave:
- 🎨 Interfaz intuitiva con sistema de colores y banners ASCII
- 🖥️ GUI interactiva
- 📁 Generación automática de logs detallados con marca temporal
- ⚡ Escaneo multi-hilos configurable (1-50 hilos)
- 🔄 Menú interactivo con navegación simplificada
- 🚨 Sistema mejorado de manejo de errores y Ctrl+C
- 📦 Generador de Wordlists Oficiales (Plugins/Temas)
# Instalar WPAT (solo consola, sin GUI)
pip install wpat
# Ejecutar WPAT en modo CLI
wpat# Instalar WPAT con soporte para GUI (PyQt5)
pip install "wpat[gui]"
# Ejecutar la GUI
wpat-gui
pipxpermite una instalación global y aislada, ideal para herramientas CLI.
# Instalar pipx si no está disponible
python -m pip install --user pipx
python -m pipx ensurepath
# Instalar WPAT (solo CLI)
pipx install wpat
# Ejecutar
wpat# Versión GUI usando pipx (con dependencias gráficas)
pipx install "wpat[gui]"
# Ejecutar GUI
wpat --guiOpción A – Solo CLI:
pipx install git+https://github.com/Santitub/WPAT.gitOpción B – Con soporte GUI:
pipx install 'git+https://github.com/Santitub/WPAT.git#egg=wpat[gui]'Ideal para colaboradores o desarrolladores.
git clone https://github.com/Santitub/WPAT.git
cd WPAT
pip install ".[gui]"# Descargar la imagen oficial de WPAT
sudo docker pull santitub/wpat
# Ejecutar WPAT en contenedor Docker
sudo docker run -it --rm santitub/wpat- Python 3.8 o superior
- pip / pipx
- Acceso a internet para actualizaciones
- Entorno de escritorio si vas a usar la GUI (PyQt5)
Estas son las bibliotecas necesarias para el correcto funcionamiento de WPAT:
colorama— Sistema de colores para consolarequests— Peticiones HTTP avanzadasbeautifulsoup4— Analizador HTMLtqdm— Barras de progreso interactivaspyqt5— Soporte para la interfaz gráfica de usuario (GUI)PyQtWebEngine— Motor de renderizado web embebido en la GUIurllib3— Manejo avanzado de conexiones HTTP
# Desde pip/pipx
wpat / wpat --gui)
# Desde Docker
docker run -it --rm santitub/wpat
# Desde GUI
python main.py --guiFlujo de trabajo:
- Ingresa URL objetivo
- Selecciona módulos desde el menú interactivo o GUI
- Analiza resultados en tiempo real con salida limpia
- Revisa logs detallados en
/logs
[1] Detectar Enumeración de Usuarios [97] Auditoría Completa
[2] Analizar XML-RPC [98] Generar Wordlists
[3] Escáner de Archivos Sensibles [99] Salir
[4] Detectar Versión de WordPress
[5] Auditar REST API
[6] Escáner de Plugins
[7] Escáner de Temas
[8] Fuerza Bruta en Login
[9] Verificar Certificado SSL
[10] Verificar Security.txt
[11] Verificar CORS
WPAT/
├── main.py # Script principal
├── gui.py # Interfaz gráfica (nueva)
├── requirements.txt # Dependencias
├── logs/ # Registros de auditorías
├── wordlists/ # Listas oficiales generadas
└── scripts/ # Módulos de auditoría
├── __init__.py
├── ssl_checker.py
├── cors_detector.py
├── user_enumeration.py
├── xmlrpc_analyzer.py
├── sensitive_files.py
├── wp_version.py
├── rest_api_analyzer.py
├── security_txt.py
├── plugin_scanner.py
├── theme_scanner.py
└── brute_force.py
└── html_report.py # Nuevo
- 🧾 Nuevo módulo de reportes en HTML
- ⚙️ Mejoras en las peticiones de los módulos
Distribuido bajo licencia GPL-3.0. Ver LICENSE para más detalles.
Este software debe usarse únicamente en sistemas con permiso explícito del propietario. Incluye características avanzadas que podrían ser consideradas intrusivas si se usan sin autorización. El mal uso es responsabilidad exclusiva del usuario final.