本帖最后由 hardrock 于 2014-9-29 17:41 编辑
wpscan是一款wp远程安全扫描软件
枚举wp核心,插件和主题的已公布漏洞.
下载地址 https://github.com/wpscanteam/wpscan
这里的主题和插件是指wordpress.org上.
枚举所有主题和插件 几千个, 所以速度会比较慢...
还有一个功能, 是专门针对 timthumbs
还能暴力破击用户密码. 有人会说, 我又不是用admin.
其实wp的用户是可以扫出来的.
大概是这样的test.com/?author=1
--------------
安全推荐:
#1 隐藏wp版本信息. 尤其是那些不喜欢更新wordpress的.....
http://wordpress.org/plugins/search.php?q=remove+version
#2 删除readme和license等文件.
wp的根目录会有个readme.html和license.txt 还有各个插件一般都会带readme.txt
#3 屏蔽用户枚举
这是一段我写的代码,可以加到主题functions.php
add_action('template_redirect','disable_users_enumeration');
function disable_users_enumeration () {
$url = wp_guess_url();
if (preg_match('/\?author=([0-9]*)/', $url)) {
wp_die("What are you doing!!!");
}
}
#4, 更新wp核心...........
http://www.thegrouplet.com/forum.php?mod=viewthread&tid=110253
|
发表于 2014-9-9 11:37:47
发表于 2014-9-9 13:46:12
