WordPress博客系统的安全
随着计算机网络的流行,越来越多的人开始创建自己的博客,论起博客系统,全球用的最多的博客系统就是wordpress(以下简称WP)。
但是如果用过WP的人都应该知道,WP的站点想要做的好看,插件是必不可少的,也因此插件上爆出的漏洞还是特别多的,个人感觉,对于WP的站点的安全测试,除了0Day常规的思路很难搞定:比如扫目录、找敏感文件和目录、查旁站等...再或者找到管理员帐号进行密码爆破、社工等思路...
今天我们要说的是一款专业针对WP的安全检测工具——那就是wpscan和wpstools,我们可以使用wpscan扫描WP的漏洞或者插件,甚至找出响应漏洞的***思路和方法...
Wpscan和wpstools在Kali Linux中已经默认安装了,是一款针对WordPress的安全扫描软件。Wpscan可以扫描WP的版本、主题、插件、后台用户及爆破后台账户密码等。wpstools可以检测wp的文件安全。
常用的选项:
--update #更新
-u / --url #要扫描的url路径
-f / --force #不检查是否wordpress站点
-e / --enumerate #枚举
u #用户名从1-10
u[10-20] #用户名从10-20
p #插件
ap #所有插件
vp #容易受到***的插件
tt #timthumbs
t #主题
vt #有漏洞的主题
at #所有的主题
-c / --config-file #使用自定义配置文件
--follow-redirection #跟随目标重定向
--wp-content-dir #扫描指定目录
--wp-plugins-dir #自定义插件目录
-w / --wordlist #加载破解账户密码字典
-t / --threads #扫描线程
-v / --verbose #显示版本
简单使用的过程:
wpscan -u/--url www.xxx.com #扫描基本信息
wpscan -u/--url www.xxx.com -e p #扫描插件基本信息
wpscan -u/--url www.xxx.com -e vp #扫描容易被***的插件
wpscan -u/--url www.xxx.com -e u #扫描后台用户
wpscan -u/--url www.xxx.com -w wordlist.lst --username wp #通过用户爆破密码
实例说明:
wpscan -u http://192.168.10.3
wpscan -u http://192.168.10.3 -e ap
破解管理员密码(wp默认admin帐号)
wpscan -u https://192.168.10.3 -e u vp -w /test/zidian/2.txt
字典需要自己提供定义路径
如何避免WordPress用户被枚举
如果你想要避免WordPress用户列表被列举,不要把用户名作为昵称,并且不要使用已经被大众使用或者默认的用户名。最好的方式是选择一个包含随机字符的名字做用户名并且使用其他名字作为昵称。WPScan扫描URL来获取用户名,所以如果你不使用这个用户名,你肯定不会被WPScan搜索到。
如何避免WordPress密码被暴力破解
最好的方式避免暴力破解就是限制登录次数和IP地址。最新版本的WordPress默认有这个选项。确保你限制输入条目最大为3,增加锁定功能(即6次密码尝试就上锁)。
扫描自定义目录
wpscan -u https://192.168.10.3 --wp-content-dir custom-content
WPSTOOLS工具的使用
WP的漏洞扫描工具
--check-vuln-ref-urls
--check-local-vulnerable-files #递归扫描本地wp中的漏洞文件
--generate-plugin-list #生成一个新的data/plugins.txt文件(默认150页)
--generate-theme-list #生成一个新的data/plugins.txt文件(默认20页)
使用实例:
wpstools --generate-plugin-list 150
wpstools --check-local-vulnerable-files /var/www/wordpress/
由于wpstools该模块实在本地使用,所以建议在wp服务器上安装一个wpstools工具。
项目主页:https://www.wpscan.org
END!!!
WordPress博客系统的安全相关推荐
- 在CentOS 6.7部署wordpress博客系统Discuz论坛系统
在CentOS 6.7部署wordpress博客系统Discuz论坛系统 服务器操作系统:CentOS6.7 博客部署服务器:Httpd-2.2 后台语言:PHP 数据库:MySql 前端框架:Wor ...
- 2022全新适配微信登录接口 wordpress博客系统资讯资源变现下载小程序源码
介绍: 2022全新适配微信登录接口 Wordpress博客系统资讯资源变现下载小程序源码 因为由于微信的新规从11月9号后新上线的小程序将不能获取用户头像和名字了 所以微信放需要适配全新的,支持让用 ...
- Boostnote 笔记搭配 WordPress 博客系统发布博客
Boostnote 笔记搭配 WordPress 博客系统发布博客 简介 如果需要图片或者视屏插入怎么办? 搭配 WordPress 发布博客 简介 boostnote 是一款跨平台,极客风的笔记软件 ...
- 巨杉Tech | 十分钟快速搭建 Wordpress 博客系统
介绍 很多互联网应用程序开发人员第一个接触到的网站项目就是博客系统.而全球使用最广的Wordpress常常被用户用来快速搭建个人博客网站.默认情况下,Wordpress一般在后台使用MySQL关系型数 ...
- lnmp环境搭建 wordpress 博客系统
安装编译工具及库文件(使用CentOS yum命令安装) yum install make apr* autoconf automake curl-devel gcc gcc-c++ zlib-dev ...
- 在centOS上搭建wordpress博客系统
购买VPS后,很多人都会选择自己搭建一个网站,其中使用LAMP+wordpress可以说是最简单的建站方案,下面我就将详细介绍一下具体的建站过程.我使用的是阿里云的服务器,系统是centOS6.5,使 ...
- 手把手教您安装WordPress博客系统初装篇
WordPress安装初衷: 今天受朋友所托付,负责帮忙搞一个周易八字预测网,域名是(www.zy8z.com) 域名注册好一段时间了,也备案通过了,就差程序了,跟朋友小聊天一会儿,感觉也就是弄一个简 ...
- Lamp安装wordpress(博客系统)
安装环境 服务器集群 单节点,机器最低配置:双核 CPU.4GB 内存.20G 硬盘 运行环境 CentOS 7.4 服务和组件 php.httpd.mysql:wordpress-4.7.3-zh_ ...
- WordPress博客系统搜索引擎优化seo全攻略-新华站长网
1.空间的选择 wordpress要求 php mysql的支持,rewrite功能,比如apache的mod-rewrite或iis rewrite. 空间的速度,Google已经明确把空间的速度列 ...
最新文章
- 消除数组中重复元素的方法
- 【应用】Lambda表达式
- 为什么我们仍然坚持用C++做游戏服务器
- 趣学 C 语言(十)—— 控制台交互(getch() vs. getchar())
- PHP调用powershell权限,浏览器挂起执行运行Powershell的PHP
- 发动机电控系统:T3温度模型标定
- 如何压缩照片大小,压缩照片大小的方法
- 灭霸级——如何选择最适合你的Linux发行版
- 计算机桌面调音量的图标不见了,声音图标不见了,音量图标不见了怎么办?
- 0基础光缆/光纤熔接教程
- 石墨笔记,为知笔记, Effie ,哪个更适合写稿爱好者?
- Download Example
- 【小样本分割 2020 ICCV】PANet
- 兔子生兔子循环python_python 实现兔子生兔子示例
- jc机制是什么_单片机中jc指令表示什么?有什么用?
- 抖音私信名片_抖音消息卡片_抖音跳转微信_抖音私信跳转_抖音落地页
- 【java】案例:猫与狗 【继承】【多态】
- 智慧检务大数据平台 电子检务大数据整体解决方案解决方案
- Oracle 分析函数 over 和MySQL 实现类似效果写法
- 【笔记分享】RS触发器