wp安全掃瞄軟件 - wpscan和一些安全推薦

wpscan是一款wp遠程安全掃瞄軟件

枚舉wp核心,插件和主題的已公佈漏洞.

* Y, j6 I& c6 C! ^% e# z; R下載地址 https://github.com/wpscanteam/wpscan

# z" r% K9 F* g, K8 C# e2 o這裡的主題和插件是指wordpress.org上.

枚舉所有主題和插件 幾千個, 所以速度會比較慢...
! Z3 w& h; B* S, w$ C0 p* y
還有一個功能, 是專門針對 timthumbs

" F! O9 i5 x7 k. o7 ?還能暴力破擊用戶密碼. 有人會說, 我又不是用admin.

8 I6 d! H3 {' z+ R! K" j其實wp的用戶是可以掃出來的.
+ z& o6 o9 a' l
7 i9 B4 z7 |( _大概是這樣的test.com/?author=1

--------------
0 u- y. C. m7 ?- X
: F$ m) H( F: `7 ~7 u2 s安全推薦:

: E. @4 v0 \; u2 ^) g! R  I#1 隱藏wp版本信息. 尤其是那些不喜歡更新wordpress的.....

: Y! z. o' }( p1 {# j( E3 whttp://wordpress.org/plugins/search.php?q=remove+version

" Y! h, z9 I0 C( ^1 b# C! P# g#2 刪除readme和license等文件.
( A. J% C' B# a! }8 Q5 i
6 [# l) O. d* T0 ?3 }0 [wp的根目錄會有個readme.html和license.txt 還有各個插件一般都會帶readme.txt

4 _, K/ M- ?! k9 n$ h: m3 G; j1 n
#3 屏蔽用戶枚舉

7 |8 _2 m, Y8 Z; q這是一段我寫的代碼,可以加到主題functions.php

1. add_action('template_redirect','disable_users_enumeration');
   
2. function disable_users_enumeration () {
   ) P! }. R0 @; N8 t
3.     $url = wp_guess_url();
   8 P$ U% c3 [; I9 |  K3 u
4.     if (preg_match('/\?author=([0-9]*)/', $url)) {
   
5.         wp_die("What are you doing!!!");         
   
6.     }
   2 W$ ^5 b, v; d; w+ P2 T# W
7. }

複製代碼

#4, 更新wp核心...........
( }8 v& f" m1 `; h5 j
! ~+ @5 q  f* y- Q3.6.1出來了,屬於安全更新... 更新不更新,你們看著辦

) n" T1 s) F. ?) ]有其他想法,歡迎補充.
0 Q" G+ r; g* j/ o) g

5 X8 n% @9 v9 H7 ]3 b9 Y9 O
! x& b8 |. p  z5 q0 M

開源的程序就是不安全，天天折騰

不錯的安全防範,               

月光飛燕 發表於 2013-9-14 09:13
開源的程序就是不安全，天天折騰

不開源的也一樣的
5 l: V$ \; w$ v( ]
7 Y0 X9 G" L0 X- z7 M懂技術的人可以自己修改，比官方快一點

" p: D& }6 `# y" g
) _2 e  L/ ~1 s) B' y& `

th3grouplet 發表於 2013-9-14 09:57
不開源的也一樣的

( q+ P, I0 U' e/ K懂技術的人可以自己修改，比官方快一點

哈哈, windows就是個例子.
* |$ m4 H8 u& M4 F2 D# V( c" k
從側面說明, wordpress是非常流行的程序.

呵呵 安全問題要重視起來 不然有問題再搞就晚啦

這麼不安全啊， 太可怕了。
; s* E- b2 ^+ E+ g4 ~

我覺得不開源的也不安全                  
* {& r( _; B' W9 u; g

見到wp就噁心:lol到處漏洞哦
; `! S! s. C1 F" u' F

嚇倒了好多人
1 e4 \; E: r4 u& c" P; u' h