|
本帖最后由 luguokankan 于 2013-9-14 07:35 编辑
wpscan是一款wp远程安全扫描软件
枚举wp核心,插件和主题的已公布漏洞.
下载地址 https://github.com/wpscanteam/wpscan
这里的主题和插件是指wordpress.org上.
枚举所有主题和插件 几千个, 所以速度会比较慢...
还有一个功能, 是专门针对 timthumbs
还能暴力破击用户密码. 有人会说, 我又不是用admin.
其实wp的用户是可以扫出来的.
大概是这样的test.com/?author=1
--------------
安全推荐:
#1 隐藏wp版本信息. 尤其是那些不喜欢更新wordpress的.....
http://wordpress.org/plugins/search.php?q=remove+version
#2 删除readme和license等文件.
wp的根目录会有个readme.html和license.txt 还有各个插件一般都会带readme.txt
#3 屏蔽用户枚举
这是一段我写的代码,可以加到主题functions.php- add_action('template_redirect','disable_users_enumeration');
- function disable_users_enumeration () {
- $url = wp_guess_url();
- if (preg_match('/\?author=([0-9]*)/', $url)) {
- wp_die("What are you doing!!!");
- }
- }
复制代码 #4, 更新wp核心...........
3.6.1出来了,属于安全更新... 更新不更新,你们看着办
有其他想法,欢迎补充.
|
评分
-
查看全部评分
|