WordPress es un enfoque en el sistema libre de código abierto PHP y MySQL contenido en línea de alojamiento. Esta es una herramienta potente y más usado blog.
Desde la aparición de WordPress supuesto demasiados errores, por lo que es necesario para mejorar la seguridad. WordPress pruebas de penetración y el descubrimiento de vulnerabilidades es muy importante para la protección de su blog de WordPress.
Los investigadores de seguridad dijeron que Daniel República Federal de Alemania, en el año 2016, hay al menos 15.769 o más sitio de WordPress se ha visto comprometida.
De acuerdo con Sucuri informe muestra que casi el 78 por ciento de los sitios web infectados construidas sobre la plataforma WordPress.
conducta penetración WPScan pruebas utilizando WordPress
escáner de vulnerabilidades WPscan WordPress es creada por Ryan Dewhurst, patrocinado por Sucuri. Se precargado con caja posterior Linux, Linux Kali, Pentoo, SamuraiWTF, BlackArch, y no es compatible con Windows.
Uso Wpscan que puede escanear el código fuente temas, plugins, usuario, proxy HTTP y Wpscan no comprueba la página.
Escaneo de versión, temas y plugins de WordPress
wpscan -url http://tutorials.gbhackers.com/test/ -enumerate p
wpscan -url http://tutorials.gbhackers.com/test/ -enumerate t
los usuarios de WordPress escanean
wpscan -url http://tutorials.gbhackers.com/test/ -enumerate u
lanzar ataques de fuerza bruta
wpscan -url http://tutorials.gbhackers.com/test/ -wordlist /root/Desktop/password.txt -username kcwto
timthumbs enumerados
en caso de un defecto muy grave después de que usted todavía está utilizando TimThumb, usted debe preocuparse.
wpscan -url http://tutorials.gbhackers.com/test/ -enumerate tt
La salida se almacena en un archivo separado
estilo negrita
wpscan -url http://tutorials.gbhackers.com/test/ -debug-output 2> debug.log
medidas de protección de WordPress
- medidas de protección de contraseñas con respecto a la explosión
Si se quiere evitar la lista de usuarios de WordPress se enumeran, 不要把用户名作为昵称y no utilizar que ha sido conocido por el nombre de usuario público. La mejor manera es elegir un nombre que contiene caracteres aleatorios del nombre de usuario y utilizar otro nombre como apodo. WPScan URL de escaneo para obtener un nombre de usuario, por lo que si no se utiliza este nombre de usuario, que sin duda no será la búsqueda WPScan.
La mejor manera de prevenir la fuerza bruta es 限制一个IP地址的尝试登录次数. Hay muchos WordPress plug-ins pueden lograr esta función. Si la columna se llama un plug-in Brute Force Login Protection(por supuesto, se puede escribir un guión para prevenir la explosión PIN)
- ¿Cómo prevenir el escaneo de plugins, temas, archivos TimThumb
El uso de Block Bad Queries (BBQ)plug-ins, usted puede prohibir este tipo de escudo y escaneo
Las pruebas de penetración es un arte, análisis proactivo depende de los investigadores de seguridad, aquí nos limitamos a evaluar algunas de las necesidades básicas e importantes para el registro de entrada en WordPress página web impulsada.
