wp安全扫描软件 - wpscan和一些安全推荐

luguokankan · 发表于 2013-9-14 07:33:59

本帖最后由 luguokankan 于 2013-9-14 07:35 编辑

wpscan是一款wp远程安全扫描软件

枚举wp核心,插件和主题的已公布漏洞.

下载地址 https://github.com/wpscanteam/wpscan

这里的主题和插件是指wordpress.org上.

枚举所有主题和插件

几千个, 所以速度会比较慢...

还有一个功能, 是专门针对 timthumbs

还能暴力破击用户密码. 有人会说, 我又不是用admin.

其实wp的用户是可以扫出来的.

大概是这样的test.com/?author=1

--------------

安全推荐:

#1 隐藏wp版本信息. 尤其是那些不喜欢更新wordpress的.....

http://wordpress.org/plugins/search.php?q=remove+version

#2 删除readme和license等文件.

wp的根目录会有个readme.html和license.txt 还有各个插件一般都会带readme.txt

#3 屏蔽用户枚举

这是一段我写的代码,可以加到主题functions.php

add_action('template_redirect','disable_users_enumeration');
function disable_users_enumeration () {
$url = wp_guess_url();
if (preg_match('/\?author=([0-9]*)/', $url)) {
wp_die("What are you doing!!!");
}
}

复制代码

#4, 更新wp核心...........

3.6.1出来了,属于安全更新... 更新不更新,你们看着办

有其他想法,欢迎补充.

月光飞燕 · 发表于 2013-9-14 09:13:37

开源的程序就是不安全，天天折腾

001 · 发表于 2013-9-14 09:31:08

不错的安全防范,

th3grouplet · 发表于 2013-9-14 09:57:37

月光飞燕发表于 2013-9-14 09:13

登录/注册后可看大图

开源的程序就是不安全，天天折腾

不开源的也一样的

懂技术的人可以自己修改，比官方快一点

luguokankan · 发表于 2013-9-14 10:38:23

th3grouplet 发表于 2013-9-14 09:57

登录/注册后可看大图

不开源的也一样的

懂技术的人可以自己修改，比官方快一点

哈哈, windows就是个例子.

从侧面说明, wordpress是非常流行的程序.

dealer · 发表于 2013-9-14 12:55:18

呵呵安全问题要重视起来不然有问题再搞就晚啦

花生米 · 发表于 2013-9-14 13:15:41

这么不安全啊，太可怕了。

jayhkun · 发表于 2013-9-14 13:42:15

我觉得不开源的也不安全

dailrr · 发表于 2013-9-14 14:25:29

见到wp就恶心

:lol到处漏洞哦

luguokankan · 发表于 2013-9-14 14:27:46

吓倒了好多人

phozan · 发表于 2013-9-14 16:48:27

不错安全第一啊现在就担心出点问题

jx007888 · 发表于 2013-9-14 17:43:56

嗯,好象不错,试试先

ryan2101 · 发表于 2013-9-24 15:59:13

不开源是你不知道它有漏洞，但是有人知道，有人会利用
开源是大家都知道它有漏洞，不及时升级肯定会被人利用

RomeoPreble · 发表于 2013-10-2 02:28:20

自己写的程序最安全，就是开发成本高

wjk861025 · 发表于 2014-9-8 17:52:26

谢谢分享~~~~~~~~~~~~~~~~~~~~~~~~~~

seaky · 发表于 2014-9-9 07:25:09

希望从此无忧！不知道好不好用！

		自动登录	找回密码
密码			免费注册

wp安全扫描软件 - wpscan和一些安全推荐

评分