<?xml version="1.0"?>
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="en">
	<id>https://onnocenter.or.id/wiki/index.php?action=history&amp;feed=atom&amp;title=DVWP</id>
	<title>DVWP - Revision history</title>
	<link rel="self" type="application/atom+xml" href="https://onnocenter.or.id/wiki/index.php?action=history&amp;feed=atom&amp;title=DVWP"/>
	<link rel="alternate" type="text/html" href="https://onnocenter.or.id/wiki/index.php?title=DVWP&amp;action=history"/>
	<updated>2026-07-05T10:09:58Z</updated>
	<subtitle>Revision history for this page on the wiki</subtitle>
	<generator>MediaWiki 1.35.4</generator>
	<entry>
		<id>https://onnocenter.or.id/wiki/index.php?title=DVWP&amp;diff=73697&amp;oldid=prev</id>
		<title>Onnowpurbo at 01:21, 4 July 2026</title>
		<link rel="alternate" type="text/html" href="https://onnocenter.or.id/wiki/index.php?title=DVWP&amp;diff=73697&amp;oldid=prev"/>
		<updated>2026-07-04T01:21:07Z</updated>

		<summary type="html">&lt;p&gt;&lt;/p&gt;
&lt;table class=&quot;diff diff-contentalign-left diff-editfont-monospace&quot; data-mw=&quot;interface&quot;&gt;
				&lt;col class=&quot;diff-marker&quot; /&gt;
				&lt;col class=&quot;diff-content&quot; /&gt;
				&lt;col class=&quot;diff-marker&quot; /&gt;
				&lt;col class=&quot;diff-content&quot; /&gt;
				&lt;tr class=&quot;diff-title&quot; lang=&quot;en&quot;&gt;
				&lt;td colspan=&quot;2&quot; style=&quot;background-color: #fff; color: #202122; text-align: center;&quot;&gt;← Older revision&lt;/td&gt;
				&lt;td colspan=&quot;2&quot; style=&quot;background-color: #fff; color: #202122; text-align: center;&quot;&gt;Revision as of 01:21, 4 July 2026&lt;/td&gt;
				&lt;/tr&gt;&lt;tr&gt;&lt;td colspan=&quot;2&quot; class=&quot;diff-lineno&quot; id=&quot;mw-diff-left-l1&quot; &gt;Line 1:&lt;/td&gt;
&lt;td colspan=&quot;2&quot; class=&quot;diff-lineno&quot;&gt;Line 1:&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt;−&lt;/td&gt;&lt;td style=&quot;color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #ffe49c; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;&lt;del class=&quot;diffchange diffchange-inline&quot;&gt;Ahh siap — &lt;/del&gt;'''DVWP = Damn Vulnerable WordPress'''.&lt;/div&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt;+&lt;/td&gt;&lt;td style=&quot;color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #a3d3ff; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;'''DVWP = Damn Vulnerable WordPress'''.&lt;/div&gt;&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;/td&gt;&lt;/tr&gt;
&lt;tr&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;DVWP lebih realistis dibanding DVWA untuk latihan WordPress security, karena kamu belajar hal-hal yang sering muncul di pentest WordPress sungguhan: plugin, theme, `/wp-admin`, `/wp-login.php`, `/wp-content/`, XML-RPC, plugin vulnerable, file terbuka, credential lemah, dan salah konfigurasi.&lt;/div&gt;&lt;/td&gt;&lt;td class='diff-marker'&gt; &lt;/td&gt;&lt;td style=&quot;background-color: #f8f9fa; color: #202122; font-size: 88%; border-style: solid; border-width: 1px 1px 1px 4px; border-radius: 0.33em; border-color: #eaecf0; vertical-align: top; white-space: pre-wrap;&quot;&gt;&lt;div&gt;DVWP lebih realistis dibanding DVWA untuk latihan WordPress security, karena kamu belajar hal-hal yang sering muncul di pentest WordPress sungguhan: plugin, theme, `/wp-admin`, `/wp-login.php`, `/wp-content/`, XML-RPC, plugin vulnerable, file terbuka, credential lemah, dan salah konfigurasi.&lt;/div&gt;&lt;/td&gt;&lt;/tr&gt;
&lt;/table&gt;</summary>
		<author><name>Onnowpurbo</name></author>
	</entry>
	<entry>
		<id>https://onnocenter.or.id/wiki/index.php?title=DVWP&amp;diff=73696&amp;oldid=prev</id>
		<title>Onnowpurbo: Created page with &quot;Ahh siap — '''DVWP = Damn Vulnerable WordPress'''.  DVWP lebih realistis dibanding DVWA untuk latihan WordPress security, karena kamu belajar hal-hal yang sering muncul di p...&quot;</title>
		<link rel="alternate" type="text/html" href="https://onnocenter.or.id/wiki/index.php?title=DVWP&amp;diff=73696&amp;oldid=prev"/>
		<updated>2026-07-04T01:20:56Z</updated>

		<summary type="html">&lt;p&gt;Created page with &amp;quot;Ahh siap — &amp;#039;&amp;#039;&amp;#039;DVWP = Damn Vulnerable WordPress&amp;#039;&amp;#039;&amp;#039;.  DVWP lebih realistis dibanding DVWA untuk latihan WordPress security, karena kamu belajar hal-hal yang sering muncul di p...&amp;quot;&lt;/p&gt;
&lt;p&gt;&lt;b&gt;New page&lt;/b&gt;&lt;/p&gt;&lt;div&gt;Ahh siap — '''DVWP = Damn Vulnerable WordPress'''.&lt;br /&gt;
&lt;br /&gt;
DVWP lebih realistis dibanding DVWA untuk latihan WordPress security, karena kamu belajar hal-hal yang sering muncul di pentest WordPress sungguhan: plugin, theme, `/wp-admin`, `/wp-login.php`, `/wp-content/`, XML-RPC, plugin vulnerable, file terbuka, credential lemah, dan salah konfigurasi.&lt;br /&gt;
&lt;br /&gt;
== 1. Aturan utama: jalankan hanya di lab lokal==&lt;br /&gt;
&lt;br /&gt;
Gunakan DVWP hanya di lingkungan sendiri:&lt;br /&gt;
&lt;br /&gt;
 Kali Linux       = mesin attacker / latihan&lt;br /&gt;
 DVWP WordPress   = target vulnerable&lt;br /&gt;
 Network          = localhost / host-only / private VM network&lt;br /&gt;
&lt;br /&gt;
Jangan expose DVWP ke internet publik. Karena ini memang sengaja vulnerable.&lt;br /&gt;
&lt;br /&gt;
== 2. Tujuan awal: pahami struktur WordPress==&lt;br /&gt;
&lt;br /&gt;
Sebelum menyerang apa pun, buka websitenya manual dulu dan pahami struktur WordPress:&lt;br /&gt;
&lt;br /&gt;
 /wp-login.php        → halaman login&lt;br /&gt;
 /wp-admin/           → dashboard admin&lt;br /&gt;
 /wp-content/         → tempat theme, plugin, upload&lt;br /&gt;
 /wp-content/plugins/ → plugin yang terpasang&lt;br /&gt;
 /wp-content/themes/  → theme yang terpasang&lt;br /&gt;
 /xmlrpc.php          → endpoint XML-RPC WordPress&lt;br /&gt;
 /wp-json/            → REST API WordPress&lt;br /&gt;
&lt;br /&gt;
Dalam pentest WordPress, banyak celah berasal dari '''plugin dan theme''', bukan hanya dari WordPress core.&lt;br /&gt;
&lt;br /&gt;
== 3. Recon dasar dari Kali Linux==&lt;br /&gt;
&lt;br /&gt;
Misalnya DVWP kamu jalan di:&lt;br /&gt;
&lt;br /&gt;
 http://127.0.0.1:31337&lt;br /&gt;
&lt;br /&gt;
Mulai dari cek service:&lt;br /&gt;
&lt;br /&gt;
 nmap -sV -p 31337,31338 127.0.0.1&lt;br /&gt;
&lt;br /&gt;
Artinya:&lt;br /&gt;
&lt;br /&gt;
 -sV       = deteksi service dan versinya&lt;br /&gt;
 -p        = scan hanya port tertentu&lt;br /&gt;
 127.0.0.1 = mesin lokal&lt;br /&gt;
&lt;br /&gt;
Lalu cek response web:&lt;br /&gt;
&lt;br /&gt;
 curl -I http://127.0.0.1:31337&lt;br /&gt;
&lt;br /&gt;
Artinya:&lt;br /&gt;
&lt;br /&gt;
 -I = hanya tampilkan HTTP header&lt;br /&gt;
&lt;br /&gt;
Ini membiasakan kamu untuk mengamati dulu sebelum langsung pakai tool besar.&lt;br /&gt;
&lt;br /&gt;
== 4. Gunakan WPScan, tapi jangan bergantung 100% pada tool==&lt;br /&gt;
&lt;br /&gt;
WPScan adalah tool utama untuk enumerasi WordPress.&lt;br /&gt;
&lt;br /&gt;
Contoh:&lt;br /&gt;
&lt;br /&gt;
 wpscan --url http://127.0.0.1:31337 --enumerate u,p,t&lt;br /&gt;
&lt;br /&gt;
Artinya:&lt;br /&gt;
&lt;br /&gt;
 --url        = URL target WordPress&lt;br /&gt;
 --enumerate  = minta WPScan melakukan enumerasi&lt;br /&gt;
 u            = users&lt;br /&gt;
 p            = plugins&lt;br /&gt;
 t            = themes&lt;br /&gt;
&lt;br /&gt;
Alur belajar yang bagus:&lt;br /&gt;
&lt;br /&gt;
 1. Jalankan WPScan&lt;br /&gt;
 2. Lihat user/plugin/theme yang ditemukan&lt;br /&gt;
 3. Verifikasi manual lewat browser&lt;br /&gt;
 4. Cek path plugin di /wp-content/plugins/&lt;br /&gt;
 5. Pahami jenis vulnerability-nya&lt;br /&gt;
 6. Baru coba eksploitasi di lab&lt;br /&gt;
&lt;br /&gt;
Jangan hanya copy-paste exploit. Biasakan bertanya:&lt;br /&gt;
&lt;br /&gt;
 Input mana yang vulnerable?&lt;br /&gt;
 Butuh login atau tidak?&lt;br /&gt;
 Impact-nya apa?&lt;br /&gt;
 Buktinya apa?&lt;br /&gt;
 Cara fix-nya bagaimana?&lt;br /&gt;
&lt;br /&gt;
== 5. Fokus latihan pada plugin==&lt;br /&gt;
&lt;br /&gt;
WordPress sering vulnerable karena plugin. Jadi untuk tiap plugin, buat catatan kecil seperti ini:&lt;br /&gt;
&lt;br /&gt;
 Plugin:&lt;br /&gt;
 Versi:&lt;br /&gt;
 Vulnerability:&lt;br /&gt;
 Butuh login? ya/tidak&lt;br /&gt;
 Impact:&lt;br /&gt;
 Evidence / bukti:&lt;br /&gt;
 Cara memperbaiki:&lt;br /&gt;
 Referensi:&lt;br /&gt;
&lt;br /&gt;
Ini sangat mirip dengan cara kerja report pentest sungguhan.&lt;br /&gt;
&lt;br /&gt;
== 6. Attack surface WordPress yang perlu dipahami dulu==&lt;br /&gt;
&lt;br /&gt;
Prioritaskan belajar ini:&lt;br /&gt;
&lt;br /&gt;
 1. User enumeration&lt;br /&gt;
 2. Weak/default credentials&lt;br /&gt;
 3. Vulnerable plugins&lt;br /&gt;
 4. File upload weakness&lt;br /&gt;
 5. Directory listing / exposed files&lt;br /&gt;
 6. XML-RPC abuse&lt;br /&gt;
 7. REST API exposure&lt;br /&gt;
 8. phpMyAdmin/adminer exposure&lt;br /&gt;
 9. wp-config.php atau backup leak&lt;br /&gt;
 10. Privilege escalation di dalam wp-admin&lt;br /&gt;
&lt;br /&gt;
Penjelasan singkat:&lt;br /&gt;
&lt;br /&gt;
 User enumeration&lt;br /&gt;
 mencari username yang valid di WordPress.&lt;br /&gt;
&lt;br /&gt;
 Weak/default credentials&lt;br /&gt;
 login dengan password lemah atau default.&lt;br /&gt;
&lt;br /&gt;
 Vulnerable plugins&lt;br /&gt;
 plugin lama atau plugin yang punya CVE.&lt;br /&gt;
&lt;br /&gt;
 File upload weakness&lt;br /&gt;
 upload file berbahaya karena validasi buruk.&lt;br /&gt;
&lt;br /&gt;
 Directory listing&lt;br /&gt;
 folder bisa dibuka dan isinya kelihatan.&lt;br /&gt;
&lt;br /&gt;
 Exposed files&lt;br /&gt;
 file sensitif seperti backup, .sql, .zip, .bak, atau config terbuka.&lt;br /&gt;
&lt;br /&gt;
 XML-RPC abuse&lt;br /&gt;
 endpoint xmlrpc.php disalahgunakan untuk brute force atau pingback abuse.&lt;br /&gt;
&lt;br /&gt;
 REST API exposure&lt;br /&gt;
 informasi user/post/settings terlalu terbuka lewat /wp-json/.&lt;br /&gt;
&lt;br /&gt;
 phpMyAdmin/adminer exposure&lt;br /&gt;
 panel database terbuka ke web.&lt;br /&gt;
&lt;br /&gt;
 wp-config.php leak&lt;br /&gt;
 file konfigurasi WordPress bocor, bisa berisi credential database.&lt;br /&gt;
&lt;br /&gt;
&lt;br /&gt;
== 7. Tool yang bagus untuk latihan DVWP==&lt;br /&gt;
&lt;br /&gt;
Tool utama dari Kali:&lt;br /&gt;
&lt;br /&gt;
 Browser + Burp Suite&lt;br /&gt;
&lt;br /&gt;
Untuk melihat, intercept, dan memodifikasi HTTP request.&lt;br /&gt;
&lt;br /&gt;
 WPScan&lt;br /&gt;
&lt;br /&gt;
Untuk enumerasi WordPress, plugin, theme, user, dan vulnerability.&lt;br /&gt;
&lt;br /&gt;
 Nmap&lt;br /&gt;
&lt;br /&gt;
Untuk cek port dan service yang terbuka.&lt;br /&gt;
&lt;br /&gt;
 Gobuster / Feroxbuster&lt;br /&gt;
&lt;br /&gt;
Untuk mencari folder atau file tersembunyi.&lt;br /&gt;
&lt;br /&gt;
 Nikto&lt;br /&gt;
&lt;br /&gt;
Untuk cek basic web server misconfiguration.&lt;br /&gt;
&lt;br /&gt;
 Curl&lt;br /&gt;
&lt;br /&gt;
Untuk memahami HTTP request dan response secara manual.&lt;br /&gt;
&lt;br /&gt;
 Searchsploit&lt;br /&gt;
&lt;br /&gt;
Untuk mencari referensi exploit lokal dari Exploit-DB.&lt;br /&gt;
&lt;br /&gt;
== 8. Workflow beginner yang bagus==&lt;br /&gt;
&lt;br /&gt;
Pakai alur ini setiap latihan:&lt;br /&gt;
&lt;br /&gt;
 Step 1: Apakah target bisa diakses?&lt;br /&gt;
 Step 2: Port/service apa yang terbuka?&lt;br /&gt;
 Step 3: Apakah ini WordPress?&lt;br /&gt;
 Step 4: Versi WordPress berapa?&lt;br /&gt;
 Step 5: User apa saja yang terlihat?&lt;br /&gt;
 Step 6: Plugin/theme apa yang terpasang?&lt;br /&gt;
 Step 7: Apakah versi plugin/theme vulnerable?&lt;br /&gt;
 Step 8: Exploit-nya butuh login atau tidak?&lt;br /&gt;
 Step 9: Bisa tidak membuktikan impact dengan aman?&lt;br /&gt;
 Step 10: Bagaimana cara memperbaikinya?&lt;br /&gt;
&lt;br /&gt;
Kebiasaan ini lebih penting daripada menghafal payload.&lt;br /&gt;
&lt;br /&gt;
== 9. Rencana latihan 7 hari==&lt;br /&gt;
&lt;br /&gt;
 Hari 1:&lt;br /&gt;
 Install/start DVWP dan pahami struktur aplikasinya.&lt;br /&gt;
 &lt;br /&gt;
 Hari 2:&lt;br /&gt;
 Latihan nmap, curl, browser inspection, dan Burp Suite.&lt;br /&gt;
 &lt;br /&gt;
 Hari 3:&lt;br /&gt;
 Jalankan WPScan dan verifikasi user/plugin/theme secara manual.&lt;br /&gt;
 &lt;br /&gt;
 Hari 4:&lt;br /&gt;
 Pelajari path plugin di /wp-content/plugins/.&lt;br /&gt;
 &lt;br /&gt;
 Hari 5:&lt;br /&gt;
 Latihan directory discovery dan exposed file checking.&lt;br /&gt;
 &lt;br /&gt;
 Hari 6:&lt;br /&gt;
 Pilih satu vulnerability plugin, pelajari pelan-pelan, lalu tulis mini report.&lt;br /&gt;
 &lt;br /&gt;
 Hari 7:&lt;br /&gt;
 Ulangi dari awal tanpa melihat catatan.&lt;br /&gt;
&lt;br /&gt;
== 10. Buat folder catatan latihan==&lt;br /&gt;
&lt;br /&gt;
Bikin folder seperti ini:&lt;br /&gt;
&lt;br /&gt;
 mkdir -p ~/Apps/Pentest/DVWP-notes&lt;br /&gt;
 cd ~/Apps/Pentest/DVWP-notes&lt;br /&gt;
 &lt;br /&gt;
 touch 01-recon.md&lt;br /&gt;
 touch 02-wordpress-structure.md&lt;br /&gt;
 touch 03-wpscan.md&lt;br /&gt;
 touch 04-plugins.md&lt;br /&gt;
 touch 05-exposed-files.md&lt;br /&gt;
 touch 06-findings-report.md&lt;br /&gt;
 touch 99-cheatsheet.md&lt;br /&gt;
&lt;br /&gt;
Isi setiap file dengan format:&lt;br /&gt;
&lt;br /&gt;
 Target:&lt;br /&gt;
 Tool yang digunakan:&lt;br /&gt;
 Command:&lt;br /&gt;
 Arti command:&lt;br /&gt;
 Finding:&lt;br /&gt;
 Evidence / bukti:&lt;br /&gt;
 Risk:&lt;br /&gt;
 Fix:&lt;br /&gt;
 Lesson learned:&lt;br /&gt;
&lt;br /&gt;
== 11. Contoh catatan sederhana==&lt;br /&gt;
&lt;br /&gt;
 Target:&lt;br /&gt;
 http://127.0.0.1:31337&lt;br /&gt;
 &lt;br /&gt;
 Tool:&lt;br /&gt;
 WPScan&lt;br /&gt;
 &lt;br /&gt;
 Command:&lt;br /&gt;
 wpscan --url http://127.0.0.1:31337 --enumerate u,p,t&lt;br /&gt;
 &lt;br /&gt;
 Arti:&lt;br /&gt;
 Melakukan enumerasi user, plugin, dan theme WordPress.&lt;br /&gt;
 &lt;br /&gt;
 Finding:&lt;br /&gt;
 Ditemukan beberapa plugin yang bisa dicek lebih lanjut.&lt;br /&gt;
 &lt;br /&gt;
 Evidence:&lt;br /&gt;
 Plugin terlihat di path /wp-content/plugins/.&lt;br /&gt;
 &lt;br /&gt;
 Risk:&lt;br /&gt;
 Jika plugin versi lama dan vulnerable, attacker bisa mengeksploitasi website.&lt;br /&gt;
 &lt;br /&gt;
 Fix:&lt;br /&gt;
 Update plugin, hapus plugin tidak terpakai, batasi akses admin, dan aktifkan hardening WordPress.&lt;br /&gt;
 &lt;br /&gt;
 Lesson learned:&lt;br /&gt;
 Dalam WordPress pentest, plugin sering menjadi sumber vulnerability utama.&lt;br /&gt;
&lt;br /&gt;
== 12. Mindset penting saat latihan==&lt;br /&gt;
&lt;br /&gt;
Jangan berpikir:&lt;br /&gt;
&lt;br /&gt;
 Payload apa yang harus aku copy-paste?&lt;br /&gt;
&lt;br /&gt;
Tapi biasakan berpikir:&lt;br /&gt;
&lt;br /&gt;
 Data apa yang dikirim user?&lt;br /&gt;
 Server memproses input ini sebagai apa?&lt;br /&gt;
 Apakah input masuk ke SQL query, command, file path, upload handler, atau HTML output?&lt;br /&gt;
 Apa buktinya input saya memengaruhi backend?&lt;br /&gt;
 Impact-nya apa?&lt;br /&gt;
 Cara mitigasinya apa?&lt;br /&gt;
&lt;br /&gt;
Itu mindset pentester yang benar.&lt;br /&gt;
&lt;br /&gt;
== 13. Batas aman==&lt;br /&gt;
&lt;br /&gt;
Yang boleh dilakukan:&lt;br /&gt;
&lt;br /&gt;
 DVWP lokal&lt;br /&gt;
 VM sendiri&lt;br /&gt;
 Docker sendiri&lt;br /&gt;
 Lab kampus/kantor yang memang diizinkan&lt;br /&gt;
 CTF resmi&lt;br /&gt;
&lt;br /&gt;
Yang jangan dilakukan:&lt;br /&gt;
&lt;br /&gt;
 Scan website publik tanpa izin&lt;br /&gt;
 Brute force login asli&lt;br /&gt;
 Coba payload ke sistem kantor tanpa scope&lt;br /&gt;
 Upload shell ke server bukan milik sendiri&lt;br /&gt;
 Pakai WPScan ke domain publik tanpa izin&lt;br /&gt;
&lt;br /&gt;
Intinya: '''DVWP bukan hanya tempat “nge-hack WordPress”. DVWP adalah tempat belajar cara berpikir pentester WordPress: enumerasi, verifikasi, pahami impact, lalu tulis report dengan rapi.'''&lt;/div&gt;</summary>
		<author><name>Onnowpurbo</name></author>
	</entry>
</feed>