WPScan

WPScan é o banco de dados público especializado em vulnerabilidades do ecossistema WordPress, mantido desde 2014 pela equipe da WPScan (hoje parte da Automattic). Cataloga falhas em core, plugins e temas com mais de 30 mil CVEs publicados, com detalhes técnicos, impacto, severidade e indicação da versão corrigida. É a referência da indústria de segurança WordPress, consumida por plugins de proteção, ferramentas de auditoria e administradores que precisam saber se sua stack está exposta.

O que é o WPScan

WPScan tem dois pilares complementares. O primeiro é o banco de dados (vulnerability database) onde cada falha é catalogada com identificador interno, CVE associado, descrição técnica, prova de conceito quando aplicável e versão fix. O segundo é o scanner de linha de comando que audita um site WordPress contra esse banco, identificando plugins, temas e versões em uso e cruzando com as vulnerabilidades conhecidas.

A pergunta sobre o que é wpscan vem geralmente de profissionais de segurança, agências e administradores de site que precisam responder a uma pergunta direta: “esse site WordPress tem alguma vulnerabilidade ativa hoje?”. WPScan responde exatamente isso, com nível de detalhe que ferramentas genéricas de scanner de aplicação web não alcançam.

O nome inicial do projeto era WPVulnDB. Mudou para WPScan em 2020, unificando o nome do scanner CLI com o do banco de dados. Em 2021, foi adquirido pela Automattic, ganhando recursos para expandir cobertura, automatizar pesquisa e manter advisories com mais regularidade. A equipe segue independente no dia a dia, mas com infraestrutura e financiamento da empresa por trás do WordPress.com.

O wpscan database hoje é alimentado por três fontes: pesquisa interna da equipe, contribuições da comunidade (pesquisadores submetendo via formulário) e parceria com organizações que descobrem CVEs em massa. Cada relatório passa por curadoria editorial antes de virar advisory público — equilibrando velocidade de divulgação com qualidade dos dados.

Como WPScan cataloga vulnerabilidades

Cada vulnerabilidade no banco recebe um registro estruturado com slug do plugin/tema afetado, versões vulneráveis, versão de correção, tipo de falha (XSS, SQL injection, IDOR, RCE, privilege escalation, CSRF), severidade (CVSS score), referência CVE oficial quando existir e crédito do pesquisador que descobriu. Quanto mais informação no registro, mais valor para quem consome.

O fluxo de catalogação segue padrão de CVE da indústria. WPScan é uma CNA (CVE Numbering Authority) reconhecida — pode atribuir números CVE diretamente para vulnerabilidades dentro do escopo do ecossistema WordPress, sem precisar passar por outra autoridade. Isso acelera publicações e mantém numeração consistente com os padrões internacionais.

O ritmo é alto. WPScan publica em média várias vulnerabilidades por dia, com picos em datas de lançamento de versão maior. Em 2024, o banco ultrapassou 30 mil registros únicos. Para cada wpscan vulnerabilidades catalogada, o time notifica os autores antes de publicar — divulgação responsável. Em casos onde o autor não responde no prazo, o advisory sai com aviso explícito de que a vulnerabilidade está sem correção, alertando administradores para mitigações alternativas.

WPScan vs FULL Security

WPScan é especializado em catalogar vulnerabilidades. Não é firewall, não é WAF, não é solução de proteção em tempo real. O banco de dados informa o que existe; aplicar correções continua sendo trabalho do administrador do site, que precisa atualizar plugins, remover componentes vulneráveis ou migrar para alternativas seguras quando o autor abandona o projeto.

Soluções como Wordfence, AIOS e Sucuri operam outra camada — proteção ativa do site. Bloqueiam tentativas de exploração via WAF, escaneiam arquivos em busca de malware, aplicam virtual patching para vulnerabilidades antes da correção oficial sair. Consomem dados de bancos como WPScan (e outros) para alimentar suas regras, mas o foco é defesa em tempo real.

Plugins de monitoramento dedicados como Patchstack e WPScan Plugin (sim, há um plugin oficial WPScan para WordPress) fazem a ponte: rodam scan periódico no seu site, comparam com o banco WPScan e disparam alerta sobre componentes vulneráveis. Não bloqueiam ataques, mas avisam exatamente o que precisa ser atualizado e qual a severidade.

O ecossistema brasileiro de segurança WordPress também conta com a FULL Services como CNA reconhecida — a empresa atribui CVEs aos plugins que mantém e segue padrões de divulgação responsável compatíveis com WPScan. Para administradores que operam sites WordPress sérios, faz sentido combinar consulta ao banco WPScan com proteção ativa via plugin de segurança e fornecedores que entendam o ciclo completo de descoberta, divulgação e correção de vulnerabilidades.

Como usar WPScan na sua estratégia

O caminho mais simples é a API. WPScan oferece API gratuita com 25 requests por dia (suficiente para auditoria pontual) e planos pagos para escala. Você consulta /api/v3/plugins/{slug} e recebe todas as vulnerabilidades conhecidas em JSON. Plugins de segurança consomem automaticamente; agências usam para auditar lotes; ferramentas internas integram para checagem contínua.

O scanner CLI (instalável via Ruby gem) audita um site rodando wpscan –url https://exemplo.com. Identifica versão do WordPress, plugins instalados (mesmo que escondidos), temas, usuários enumeráveis e cruza com o banco. Útil para pentest, auditoria de migração e checkups periódicos. Roda em qualquer Linux, macOS ou WSL.

O wpscan api pode ser combinada com outras camadas. Scripts customizados integram-se com sistemas de monitoramento (Datadog, New Relic, Sentry) para disparar alerta automático quando uma vulnerabilidade aparece em componente já instalado. Para agências com dezenas de sites sob gestão, esse tipo de automação é o que escala segurança sem aumentar headcount linear.

Vale consultar manualmente antes de instalar plugin novo. Busque em wpscan.com pelo nome — se houver histórico de vulnerabilidades sérias, sinal de cautela. Plugins com muitos CVEs e correções tardias merecem alternativa. Histórico limpo mostra maturidade da equipe.

Para sites WordPress que querem combinar consulta contínua ao WPScan, proteção ativa contra exploração de vulnerabilidades e monitoramento integrado de tentativas de ataque em um único painel, a FULL Services entrega o AIOS (All-In-One Security) já licenciado dentro da stack profissional, com firewall, scanner de malware e bloqueio automático de IPs maliciosos. Em vez de combinar API WPScan com plugins separados de proteção e monitoramento, você roda em um conjunto curado e validado em produção desde o primeiro dia.