WordPress部落格系統的安全

2021-09-21 05:08:55 字數 2857 閱讀 2294

隨著計算機網路的流行,越來越多的人開始建立自己的部落格,論起部落格系統,全球用的最多的部落格系統就是wordpress(以下簡稱wp)。

但是如果用過wp的人都應該知道,wp的站點想要做的好看,外掛程式是必不可少的,也因此外掛程式上爆出的漏洞還是特別多的,個人感覺,對於wp的站點的安全測試,除了0day常規的思路很難搞定:比如掃目錄、找敏感檔案和目錄、查旁站等...再或者找到管理員帳號進行密碼爆破、社工等思路...

今天我們要說的是一款專業針對wp的安全檢測工具——那就是wpscan和wpstools,我們可以使用wpscan掃瞄wp的漏洞或者外掛程式,甚至找出響應漏洞的攻擊思路和方法...

wpscan和wpstools在kali linux中已經預設安裝了,是一款針對wordpress的安全掃瞄軟體。wpscan可以掃瞄wp的版本、主題、外掛程式、後台使用者及爆破後台賬戶密碼等。wpstools可以檢測wp的檔案安全。

常用的選項:

--update          #更新

-u / --url        #要掃瞄的url路徑

-f / --force      #不檢查是否wordpress站點

-e / --enumerate  #列舉

u             #使用者名稱從1-10

u[10-20]      #使用者名稱從10-20

p             #外掛程式

ap            #所有外掛程式

vp            #容易受到攻擊的外掛程式

tt            #timthumbs

t             #主題

vt            #有漏洞的主題

at            #所有的主題

-c / --config-file      #使用自定義配置檔案

--follow-redirection    #跟隨目標重定向

--wp-content-dir        #掃瞄指定目錄

--wp-plugins-dir        #自定義外掛程式目錄

-w / --wordlist         #載入破解賬戶密碼字典

-t / --threads          #掃瞄線程

-v / --verbose          #顯示版本

簡單使用的過程:

wpscan  -u/--url 

www.***.com

#掃瞄基本資訊

wpscan  -u/--url 

www.***.com

-e p   #掃瞄外掛程式基本資訊

wpscan  -u/--url 

www.***.com

-e vp  #掃瞄容易被攻擊的外掛程式

wpscan  -u/--url 

www.***.com

-e u   #掃瞄後台使用者

wpscan  -u/--url 

www.***.com

-w wordlist.lst --username wp  #通過使用者爆破密碼

例項說明:

破解管理員密碼(wp預設admin帳號)

wpscan -u 

-e u vp -w /test/zidian/2.txt 

字典需要自己提供定義路徑

如何避免wordpress使用者被列舉

如果你想要避免wordpress使用者列表被列舉,不要把使用者名稱作為暱稱,並且不要使用已經被大眾使用或者預設的使用者名稱。最好的方式是選擇乙個包含隨機字元的名字做使用者名稱並且使用其他名字作為暱稱。wpscan掃瞄url來獲取使用者名稱,所以如果你不使用這個使用者名稱,你肯定不會被wpscan搜尋到。

如何避免wordpress密碼被暴力破解

最好的方式避免暴力破解就是限制登入次數和ip位址。最新版本的wordpress預設有這個選項。確保你限制輸入條目最大為3,增加鎖定功能(即6次密碼嘗試就上鎖)。

掃瞄自定義目錄

wpstools工具的使用

wp的漏洞掃瞄工具

--check-vuln-ref-urls 

--check-local-vulnerable-files  #遞迴掃瞄本地wp中的漏洞檔案

--generate-plugin-list  #生成乙個新的data/plugins.txt檔案(預設150頁)

--generate-theme-list   #生成乙個新的data/plugins.txt檔案(預設20頁)

使用例項:

wpstools --generate-plugin-list 150

wpstools --check-local-vulnerable-files /var/www/wordpress/

由於wpstools該模組實在本地使用,所以建議在wp伺服器上安裝乙個wpstools工具。

專案主頁:

end!!!

新浪微博Wordpress外掛程式 部落格微博 安裝手冊

2.安裝 3.配置 0.0.1的版本要配置的只有乙個screenname,可能大家對這個概念比較陌生,舉個例子,我的微博 是那麼我的screenname就是lloydsheng,將screenname填寫好後,點 update options 按鈕就ok。4.授權 點選 授權鏈結 然後會進入到本外掛...

wordpress部落格搬家

這裡主要講解搬家後,之前的資料怎麼轉移。其實很容易,只需從舊部落格管理介面匯出xml檔案,在新部落格管理介面匯入xml檔案。1 設定相容模式。使用amh面板搭建的wp部落格,預設為安全模式,這種模式下公升級,安裝外掛程式,匯入都會錯誤,所以需要先設定為相容模式。執行完所有的操作後再將其切換回安全模式...

搭建Wordpress部落格

準備乙個網域名稱 準備乙個php mysql 空間 linux主機 網域名稱做好解析,空間繫結好網域名稱 安裝wordpress遇到的問題 偽靜態出錯 安裝外掛程式出錯 安裝主題出錯 設定無效 亂碼問題 解決方案 安裝wordpress選擇linux主機的空間 本地安裝wordpress程式 搭建m...