WordPress Pentest Lab 🧪

👾 Laboratorio Dockerizado para prácticas de ciberseguridad

---

---

🚀 ¿Qué es este proyecto?

Este es un laboratorio diseñado para estudiantes, entusiastas de la seguridad y personas curiosas que quieran experimentar con un entorno vulnerable de WordPress... ¡sin romper nada real!

Se compone de:

• 🧱 Un WordPress vulnerable, con plugins inseguros y configuraciones débiles.
• 💣 Un Kali Linux atacante con herramientas listas para lanzar escaneos, ataques y auditorías controladas.
• 🐳 Todo orquestado con Docker para que puedas levantarlo en segundos.

---

📚 Mini Guías útiles

• ✅ Guía rápida de Git
• ✅ Guía Docker en 5 minutos
• ✅ Cómo trabajar con ramas (sin miedo a romper)
• ✅ Chuleta de como trabajar con modulos Git

---

Documentación relevante

• ✅ Nuestro Kali con herramientas de ataque
• ✅ Entorno con herramientas forense

---

🔧 Requisitos previos

Antes de lanzarte al ataque, asegúrate de tener:

• Docker y Docker Compose instalados
• Sistema operativo compatible: Linux, macOS o Windows (con WSL o Docker Desktop)
• [Opcional] Conexión a internet para instalar dependencias y clonar repos

---

🎯 Objetivo del laboratorio

Este proyecto forma parte de un Trabajo de Fin de Máster en Ciberseguridad, cuyo objetivo es crear un entorno práctico, controlado y documentado que permita:

• 📦 Analizar vulnerabilidades reales de WordPress y plugins
• 🛠️ Ejecutar pruebas de explotación con herramientas OSINT y pentest
• 🧪 Simular ataques como enumeración de usuarios, fuerza bruta y XSS
• 📓 Documentar todo el proceso como recurso educativo

---

📁 Estructura de carpetas

wordpress-pentest-lab/
├── docker-compose.local-ofensiva.yml <-- Kali local
├── docker-compose.local-forense.yml  <-- Herramientas forense
├── docker-compose.vps.yml   <-- WordPress en la VPS
├── wordpress/
│ ├── Dockerfile <-- Personalizado
│ └── plugins/
├── kali/
│ └── Dockerfile <-- Herramientas escogidas para el tfm
├── forense/
│ └── cyberchef/ <-- submodulo codigo fuente
│ └── spiderfoot/
│   └── Dockerfile <-- Personalizado por falta de imagen en docker hub
└── docs/
├── MiniGuiaGit.md
├── MiniGuiaDocker.md
└── GuiaTrabajoConRamasGit.md
└── TrabajarConModulosGit.md

---

🐳 ¿Cómo levantar el entorno?

🔹 Paso 1: Clona este repositorio

git clone https://github.com/usuario/wordpress-pentest-lab.git
cd wordpress-pentest-lab

🔹 Paso 2: Lanza los contenedores

Entorno de práctica LOCAL (Kali atacante)

docker compose -f docker-compose.local.yml up --build -d
docker exec -it kali_attacker bash

• Manual del Dockerfile

Entorno en VPS (WordPress vulnerable expuesto)

docker compose -f docker-compose.vps.yml up --build -d

WordPress quedará accesible desde la IP pública o subdominio asignado (ej. http://tfm.ikikidev.es)

---

🛠 Servicios disponibles

• WordPress vulnerable (5.8.3) + plugins inseguros
• Base de datos MySQL (5.7)
• Kali Linux atacante con:
  • WPScan
  • SpiderFoot (en el puerto 5001)
  • sqlmap
  • theHarvester
  • John the Ripper
  • Diccionario rockyou.txt descomprimido
  • nano 😎

---

📌 Pruebas realizadas

Desde el contenedor de Kali se ejecutaron los siguientes ataques:

• ✅ Enumeración de usuarios con wpscan
• ✅ Fuerza bruta contra xmlrpc.php
• ✅ Detección de plugins vulnerables con WPScan + token
• ✅ Análisis pasivo con SpiderFoot (modo web en http://localhost:5001)
• ✅ Ataques con sqlmap contra parámetros vulnerables

Imágenes de ejemplo incluidas en la carpeta /docs/img/ (puedes añadir las tuyas).

---

⚠️ Aviso Legal

Este entorno está pensado exclusivamente para fines educativos y de investigación controlada.
No utilices estas herramientas contra sistemas sin autorización.
El uso indebido puede ser ilegal y está completamente fuera del propósito de este proyecto.

---

❤️ Créditos

Este laboratorio forma parte del TFM del Máster en Ciberseguridad y ha sido desarrollado con mucha dedicación para ofrecer un recurso práctico, documentado y realista.
Cualquier feedback o mejora será más que bienvenida.

---

Documento en actualización.