切換到寬版
过期域名预定抢注

用戶名  找回密碼
 免费注册
點基跨境 數位編輯創業論壇»forum 英文站交流專區 wordpress 疑難 wp安全掃瞄軟件 - wpscan和一些安全推薦
12下一頁
返回列表 發新帖

wp安全掃瞄軟件 - wpscan和一些安全推薦

 火.. [複製鏈接]
發表於 2013-9-14 07:33:59 | 顯示全部樓層 |閱讀模式
本帖最後由 luguokankan 於 2013-9-14 07:35 編輯
$ I3 {, t- w. h9 D' X
$ g5 w! K8 _. R) ~wpscan是一款wp遠程安全掃瞄軟件
+ i! J% o0 N: q/ W, D$ A
% e6 B# C/ q7 P0 T. ~枚舉wp核心,插件和主題的已公佈漏洞.
7 X. r+ B6 `" g( Y; |0 L+ U* f* w+ K0 ?
下載地址 https://github.com/wpscanteam/wpscan4 u# |1 h+ H8 T+ a$ S- ?. A

* }/ [, y4 u" C  d" b9 r  i  i  R這裡的主題和插件是指wordpress.org上.; y; H$ C+ C0 s. k% ?4 x

8 ^8 r4 k8 r2 G枚舉所有主題和插件 幾千個, 所以速度會比較慢...
. k$ q3 i3 H8 x+ `& r3 B" V. t+ ]
還有一個功能, 是專門針對 timthumbs
+ \& E% A" i2 d3 o0 l  N% F7 \; f! o0 ]2 l0 O
還能暴力破擊用戶密碼. 有人會說, 我又不是用admin.
$ ~7 p# U6 Q4 l, y# G1 n% m2 t
: ^- m# Y. a* F/ r# G/ K: n" u其實wp的用戶是可以掃出來的.
. q$ _& o5 I) y% u$ f5 m6 U/ H0 x8 x3 C; x" g
大概是這樣的test.com/?author=1
/ A) `; F9 Q0 G" J  b( ]0 k. R
* M( |- q# y" M0 ?! ~2 k! R9 z' G--------------5 J4 C  S2 ?9 Z& J" C& I
4 C! y8 W. B. w3 @; d  e0 C5 ]
安全推薦:) ^) S4 y% ~# q# U( l4 D
) Z6 o4 @$ o) d' @) ]' K
#1 隱藏wp版本信息. 尤其是那些不喜歡更新wordpress的.....
( a/ _* d5 c( n% q; Y6 R( O7 m$ s1 P9 f: S/ Y. f5 Y8 ^  M- X2 d
http://wordpress.org/plugins/search.php?q=remove+version
' w2 b6 i6 ~) X* ~+ r8 f' J  v) c2 O: E1 h/ s/ ~" b# ?5 {* a
#2 刪除readme和license等文件.
- P2 j) v" M- Z1 X' C3 w" u7 h& X4 `* s- @  f2 N6 {
wp的根目錄會有個readme.html和license.txt 還有各個插件一般都會帶readme.txt
: z8 n3 Z3 K6 t0 A
) F3 V2 a; ], V( s' ^4 U7 o9 N0 q5 o! s. w: o! H& w+ q2 x. _
#3 屏蔽用戶枚舉5 U7 [6 m; {9 E7 q$ Z& h
% i% q  L: p' |- {8 h
這是一段我寫的代碼,可以加到主題functions.php
  1. add_action('template_redirect','disable_users_enumeration');  G- E% ^( L2 u4 [' q5 ~
  2. function disable_users_enumeration () {
    9 x  n& q7 `: @& h
  3.     $url = wp_guess_url();
    % \. n8 y4 ~+ v2 l/ F# C( ^) H
  4.     if (preg_match('/\?author=([0-9]*)/', $url)) {
    5 w8 k0 K2 o* Y6 Y
  5.         wp_die("What are you doing!!!");         
    6 D% _$ U+ ?/ j0 @; g
  6.     }
    % X; s" @( K% h- j2 U8 ], I6 E
  7. }
複製代碼
#4, 更新wp核心...........
" h8 n% F' X) N* F2 L: t5 f
. M; E, _& P. L+ Y3.6.1出來了,屬於安全更新... 更新不更新,你們看著辦
; T" A2 `* O$ I! ^+ Y  x: H  ]; m0 u, [, a: I9 d& l
有其他想法,歡迎補充.
3 K) j  z* @4 Y* b6 ~
& J9 c, O8 l$ z6 V' b+ Y$ }/ p- }+ k
9 z& w6 R6 I. z( k5 E% L

) |+ X6 z  e  ^& a5 y& i) t9 d, e6 c% j& c9 ~5 |- Z$ d9 g; P

評分

參與人數 5點點 +13 收起 理由
gger + 3
daniel6769 + 1 楼主好牛
idcspy + 5 鼓勵
dealer + 1 鼓勵
001 + 3 有見地

查看全部評分

回復

使用道具 舉報

發表於 2013-9-14 09:13:37 | 顯示全部樓層
開源的程序就是不安全,天天折騰: d3 X: u6 g' n; R. ?& K& A) L3 T! D& M  R
回復 给力 爆菊

舉報

發表於 2013-9-14 09:31:08 | 顯示全部樓層
不錯的安全防範,               
4 d! T) R! E# Q( t$ U1 b5 S! v2 _* `
回復 给力 爆菊

舉報

發表於 2013-9-14 09:57:37 | 顯示全部樓層
月光飛燕 發表於 2013-9-14 09:13
. G$ h$ y: i! r8 N: q# `+ h' H, A開源的程序就是不安全,天天折騰
' ]* G; x2 p$ H; u0 u
不開源的也一樣的& i- \( I  v$ @4 X

; W! d! S4 H& C) _" N. Q懂技術的人可以自己修改,比官方快一點
: x4 _# U8 J" ?: X; T4 N' ^5 i) ?8 N3 R( O) }

+ Q+ J$ r* p% q0 ^; c* L& ]' N
回復 给力 爆菊

舉報

 樓主| 發表於 2013-9-14 10:38:23 | 顯示全部樓層
th3grouplet 發表於 2013-9-14 09:57
$ S- X1 y9 c2 F1 r" q不開源的也一樣的
! \" |# [8 M" r, y
9 `, X  m) S, R4 N懂技術的人可以自己修改,比官方快一點
: w7 k% e0 i. J6 d# c
哈哈, windows就是個例子.7 K8 \8 q& l6 I% ~$ Y2 i( Q
: [- b# O- D4 `$ G
從側面說明, wordpress是非常流行的程序.6 c, Y" B+ x3 ?$ `6 u2 O: n
回復 给力 爆菊

舉報

發表於 2013-9-14 12:55:18 | 顯示全部樓層
呵呵 安全問題要重視起來 不然有問題再搞就晚啦
4 H( ?! Y' m9 ?0 Z" s
回復 给力 爆菊

舉報

發表於 2013-9-14 13:15:41 | 顯示全部樓層
這麼不安全啊, 太可怕了。7 j+ [- g. N7 T4 ~6 N% v
回復 给力 爆菊

舉報

發表於 2013-9-14 13:42:15 | 顯示全部樓層
我覺得不開源的也不安全                   4 T$ R: l# [% m2 g2 M( ]$ U
回復 给力 爆菊

舉報

發表於 2013-9-14 14:25:29 | 顯示全部樓層
見到wp就噁心:lol到處漏洞哦! d0 Q8 F  h# T5 C9 f
回復 给力 爆菊

舉報

 樓主| 發表於 2013-9-14 14:27:46 | 顯示全部樓層
嚇倒了好多人
- x$ p) P. i; V, z+ n- @1 i
回復 给力 爆菊

舉報

下一頁 »
12下一頁
返回列表 發新帖
高級模式
B Color Image Link Quote Code Smilies
您需要登錄後才可以回帖 登錄 | 免费注册

本版積分規則

过期高净值品牌域名预定抢注

點基跨境 數位編輯創業論壇

GMT+8, 2025-7-18 00:15

By DZ X3.5

小黑屋

快速回復 返回頂部 返回列表