转:wp安全扫描软件 - wpscan和一些安全推荐
本帖最后由 hardrock 于 2014-9-29 17:41 编辑wpscan是一款wp远程安全扫描软件
枚举wp核心,插件和主题的已公布漏洞.
下载地址 https://github.com/wpscanteam/wpscan
这里的主题和插件是指wordpress.org上.
枚举所有主题和插件 几千个, 所以速度会比较慢...
还有一个功能, 是专门针对 timthumbs
还能暴力破击用户密码. 有人会说, 我又不是用admin.
其实wp的用户是可以扫出来的.
大概是这样的test.com/?author=1
--------------
安全推荐:
#1 隐藏wp版本信息. 尤其是那些不喜欢更新wordpress的.....
http://wordpress.org/plugins/search.php?q=remove+version
#2 删除readme和license等文件.
wp的根目录会有个readme.html和license.txt 还有各个插件一般都会带readme.txt
#3 屏蔽用户枚举
这是一段我写的代码,可以加到主题functions.php
add_action('template_redirect','disable_users_enumeration');
function disable_users_enumeration () {
$url = wp_guess_url();
if (preg_match('/\?author=(*)/', $url)) {
wp_die("What are you doing!!!");
}
}
#4, 更新wp核心...........
http://www.thegrouplet.com/forum.php?mod=viewthread&tid=110253
本帖最后由 terranboy 于 2014-9-9 13:48 编辑
WPSCAN研究过 需要RUBY环境
扫扫自己 ,扫扫别人
WORDPRESS 安全最重要的2条:
一是及时更新到最新版本,包括插件
二是修改默认数据表的前缀,千万不要用默认的WP_ ,改了以后如果其他地方导致的SQL注入漏洞 黑客也利用不了
一直用WP 可是漏洞太多了 天天更新又维护不过来 感谢分享。不过装了 可能还不大用
页:
[1]