luguokankan 发表于 2013-9-14 07:33:59

wp安全扫描软件 - wpscan和一些安全推荐

本帖最后由 luguokankan 于 2013-9-14 07:35 编辑

wpscan是一款wp远程安全扫描软件

枚举wp核心,插件和主题的已公布漏洞.

下载地址 https://github.com/wpscanteam/wpscan

这里的主题和插件是指wordpress.org上.

枚举所有主题和插件 :D 几千个, 所以速度会比较慢...

还有一个功能, 是专门针对 timthumbs :lol

还能暴力破击用户密码. 有人会说, 我又不是用admin.

其实wp的用户是可以扫出来的.

大概是这样的test.com/?author=1

--------------

安全推荐:

#1 隐藏wp版本信息. 尤其是那些不喜欢更新wordpress的.....

http://wordpress.org/plugins/search.php?q=remove+version

#2 删除readme和license等文件.

wp的根目录会有个readme.html和license.txt 还有各个插件一般都会带readme.txt


#3 屏蔽用户枚举

这是一段我写的代码,可以加到主题functions.phpadd_action('template_redirect','disable_users_enumeration');
function disable_users_enumeration () {
    $url = wp_guess_url();
    if (preg_match('/\?author=(*)/', $url)) {
      wp_die("What are you doing!!!");         
    }
}#4, 更新wp核心...........

3.6.1出来了,属于安全更新... 更新不更新,你们看着办 :lol

有其他想法,欢迎补充.





月光飞燕 发表于 2013-9-14 09:13:37

开源的程序就是不安全,天天折腾

001 发表于 2013-9-14 09:31:08

不错的安全防范,               

th3grouplet 发表于 2013-9-14 09:57:37

月光飞燕 发表于 2013-9-14 09:13 static/image/common/back.gif
开源的程序就是不安全,天天折腾

不开源的也一样的

懂技术的人可以自己修改,比官方快一点


luguokankan 发表于 2013-9-14 10:38:23

th3grouplet 发表于 2013-9-14 09:57 static/image/common/back.gif
不开源的也一样的

懂技术的人可以自己修改,比官方快一点

哈哈, windows就是个例子.

从侧面说明, wordpress是非常流行的程序.

dealer 发表于 2013-9-14 12:55:18

呵呵 安全问题要重视起来 不然有问题再搞就晚啦

花生米 发表于 2013-9-14 13:15:41

这么不安全啊, 太可怕了。

jayhkun 发表于 2013-9-14 13:42:15

我觉得不开源的也不安全                  

dailrr 发表于 2013-9-14 14:25:29

见到wp就恶心:lol:lol:lol:lol:lol:lol到处漏洞哦

luguokankan 发表于 2013-9-14 14:27:46

:lol 吓倒了好多人

phozan 发表于 2013-9-14 16:48:27

不错安全第一啊现在就担心出点问题

jx007888 发表于 2013-9-14 17:43:56

嗯,好象不错,试试先      

ryan2101 发表于 2013-9-24 15:59:13

不开源是你不知道它有漏洞,但是有人知道,有人会利用
开源是大家都知道它有漏洞,不及时升级肯定会被人利用

RomeoPreble 发表于 2013-10-2 02:28:20

自己写的程序最安全,就是开发成本高

wjk861025 发表于 2014-9-8 17:52:26

谢谢分享~~~~~~~~~~~~~~~~~~~~~~~~~~

seaky 发表于 2014-9-9 07:25:09

希望从此无忧!不知道好不好用!
页: [1]
查看完整版本: wp安全扫描软件 - wpscan和一些安全推荐