使用WPScan破解wordpress站点密码

我这里使用的Kali Linux,它默认安装了WPScan。如果你使用的是Ubuntu,看这里:WPScan的安装使用-WordPress:使用WPScan检测网站漏洞

Screenshot from 2016-04-05 04-14-12

在使用WPScan之前,先更新它的漏洞数据库:

扫描wordpress用户

以我的网站为例:

注意:要用使用两个,否则报错-“The WordPress URL suppliedhttp://rl/’ seems to be down.

Screenshot from 2016-04-05 06-18-17

暴力破解:

我已test用户为例:

Screenshot from 2016-04-05 07-13-08

好的密码字典应包含常见的弱密码、手机号、姓名生日组合、各大网站泄露的密码、英语单词等等。如果使用字典破解不了,说明密码还算复杂;暴力穷举更是费时费力。

我使用的密码字典:

  • http://pan.baidu.com/s/1clxaCA (全,未压缩15G)
  • http://pan.baidu.com/s/1o7MCcHk (简,未压缩680M)

怎么防止wordpress网站被人使用上面方法破解呢?

防止暴力破解的最好方式是限制一个IP地址的尝试登录次数。WordPress有n多插件可以实现这个功能。我使用的一个插件叫:Brute Force Login Protection。

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注