Los mayores problemas de seguridad de los gestores de contenido más populares como Wordpress o Joomla, suelen venir por la instalación de plugins de terceros que no están lo suficientemente revisados y auditados. Analizar uno de estos CMS es sinónimo de conocer que plugins tiene e identificar las vulnerabilidades que les afecta.
Con ese propósito nacieron dos productos nacionales: Plecost (https://code.google.com/p/plecost/) para Wordpress y JoomlaScan (http://blog.pepelux.org/2011/10/30/joomlascan-v1-3/) para Joomla.
Plecost (https://github.com/iniqua/plecost/tree/python3), está desarrollada en Python por Daniel Garcia y Francisco Jesús Gomez de Iniqua, ya la mencionamos en una entrada específica de seguridad en Wordpress (http://www.securitybydefault.com/2010/03/seguridad-en-wordpress.html), pero merece la pena recordarla nuevamente. La última versión es la 1.0 (recién publicada) y está integrada en distribuciones como Kali, si bien esta nueva versión debe ser descargada e instalada nuevamente con Python 3.
(http://3.bp.blogspot.com/-OxbXznPXjU4/VfX7G2Sp3NI/AAAAAAAAPQ4/6BCTzj0JzpA/s400/plecost.png)
Joomlascan (http://blog.pepelux.org/2013/03/17/joomlascan-v1-5/), está desarrollado en Perl por Jose Luis y ha publicado recientemente la versión 1.5. Este script también permite auto actualizarse, identifica plugins y reporta vulnerabilidades potenciales, tanto del core del CMS, como de plugins instalados.
Fuente: blog.segu-info.com