WordPress:使用WPScan检测易受攻击的插件和主题

这篇文件介绍wpscan的安装,和怎么使用wpscan定位wordpress网站易受攻击的主题、插件。wpscan的行为类似一个攻击者,它能检测到很多wordpress主题和插件的安全问题。

下载和安装WPScan

注意wpscan不能在Windows上运行。你需要一个Linux或Mac OS X系统,如果当前只有Windows系统,可以使用Virtualbox虚拟机。

WPScan托管在Github。它在Readme.md中进行了详细介绍,包含在各系统中的安装方法。

我的系统是Ubuntu 16.04,安装命令:

安装完成之后,我们可以用wpscan来扫描wordpress网站的潜在漏洞。wpscan不仅可以扫描主题和插件,它还可以检测用户,甚至可以进行暴力破解攻击。

扫描插件漏洞

如果网站为https,改为https://your_website.com。

示例输出如下:

或者只显示易受攻击的插件:

扫描主题漏洞

使用的命令和上面类似,只是把参数替换为–enumerate t:

或者只显示易受攻击的主题:

使用WPScan扫描可登录用户

使用WPScan扫描可登录的用户名。这个用户列表通常会被攻击者利用来执行暴力破解。

示例输出:

扫描timthumb文件

更新wpscan数据库

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注