对WordPress网站进行渗透测试 – 详解

最新推荐文章于 2024-05-01 23:38:38 发布
最新推荐文章于 2024-05-01 23:38:38 发布
阅读量5.2k 收藏 3
点赞数
分类专栏: 渗透测试

WordPress是一个专注于PHP和MySQL的免费在线开源内容托管系统。这是一个功能强大且使用最多的博客工具。

由于WordPress使用过程中出现了太多的错误,所以需要提高安全性。WordPress渗透测试对于发现漏洞并保护您的WordPress博客非常重要。

安全研究人员丹尼尔·西德说,在2016年,至少有15769个甚至更多的WordPress网站已经被入侵。

根据Sucuri报告可知,几乎78%的受感染网站建立在WordPress平台上。

使用WPScan进行WordPress渗透测试

WPscan是由Ryan Dewhurst创建的WordPress漏洞扫描器,由Sucuri赞助。它预装了BackBox Linux、Kali Linux、Pentoo、SamuraiWTF、BlackArch,并且不支持Windows。

使用Wpscan我们可以扫描主题、插件、用户、HTTP代理和Wpscan不会检查页面的源代码。

扫描WordPress版本、主题和插件

wpscan -url http://tutorials.gbhackers.com/test/ -enumerate p

wpscan -url http://tutorials.gbhackers.com/test/ -enumerate t

扫描WordPress用户

wpscan -url http://tutorials.gbhackers.com/test/ -enumerate u

发起暴力破解攻击

wpscan -url http://tutorials.gbhackers.com/test/ -wordlist /root/Desktop/password.txt -username kcwto

列举timthumbs

如果在一个非常严重的漏洞之后你仍在使用TimThumb,你更应该关注。

wpscan -url http://tutorials.gbhackers.com/test/ -enumerate tt

将输出存储在单独的文件中

wpscan -url http://tutorials.gbhackers.com/test/ -debug-output 2> debug.log

渗透测试是一门艺术,主动分析取决于安全研究人员,在这里我们仅仅评估了一些需要在WordPress驱动的网站上进行的基本和重要的检查。

逝之君
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
46.网络安全渗透测试—[穷举篇9]—[wordpress博客后台破解]
qwsn
01-12 2924
一、常见cms穷举 1、wordpress穷举方法一:`CMSmap` 2、wordpress穷举方法二:[wpscan](https://blog.csdn.net/qq_45555226/article/details/105116459)
Wordpress网站渗透测试(进阶详细思路)
weixin_51957047的博客
05-26 6483
web渗透测试wordpress网站渗透测试思路
2024年网络安全最新干货 Wordpress网站渗透方法指南_wordpress渗透(1)
最新发布
2401_84302628的博客
05-01 1083
feed=rss2author=1或者​​​​​​​或者​​​​​​​## 注册启用。
渗透wordpress过程
weixin_44205564的博客
10-16 2014
渗透wordpress过程
干货 | Wordpress网站渗透方法指南
leah126的博客
05-03 2290
如果您遇到使用 WordPress网站,您会怎么做,渗透思路和安全检测思路?
WPCracker:WordPress 渗透测试工具
05-29
WP破解器 适用于 Windows 和 Linux 的 WordPress 用户枚举和登录 Brute Force 工具 使用“蛮力”工具,您可以控制要执行的攻击的攻击程度,这会影响所需的攻击时间。 该工具可以调整线程数量以及每次测试每个线程的密码批次大小。 但是,过多的攻击力会导致受害者的服务器变慢。 例如,当我攻击我的本地服务器时,当我使用程序预设的线程数(12)和批处理大小(1000)时,大约需要两天时间才能通过rockyou.txt(14,341,564个唯一密码) )。 在本文中,“受害者”是指 pentest 实验室中被攻击的 WordPress 站点。 攻击您无权访问的 WordPress 站点可能是非法的。 使用: 用户枚举 . \W PCracker.exe --enum -u < Url> -o < Output
对日本某Wordpress博客站的一次渗透测试
白帽渗透笔记的博客
08-26 617
阅读本文大概需要 2.3 分钟 今天,又是忙碌且充实的一天。 下班回到家的我,又在用 FOFA 扫网站,然后便扫到一个日本网友的博客站点。这界面风格,一看就是 Wordpress 了,网站底部也可以看到 Wordpress 的字样。 只有寥寥无几的博文,并且最近一条还是在 3 年前。 我浏览器装了 Wappalyzer 插件,插件显示了如下信息。 4.5.3 ?这是好久以前的版本了,看来博主确实很久没打理这个网站了。 不过看到这个版本号,我顿时来了精神了。因为我想起 Wordpress <= .
Kali linux 渗透测试技术之搭建WordPress Turnkey Linux及检测WordPress 应用程序漏洞
freeking101的博客
06-30 4955
From:https://bbs.ichunqiu.com/thread-15716-1-1.html 怎样用 WPScan,Nmap 和 Nikto 扫描和检查一个 WordPress 站点的安全性:https://www.cnblogs.com/chayidiansec/p/7989274.html 为了收集用于测试的应用程序, Turnkey Linux是一个非常好的资源。 ...
用wpscan进行wordpress渗透测试
D-R0s1的博客
01-25 3506
一、wpscan的介绍         这是一款Wordpress的专用扫描器,Wordpress作为三大建站模板之一,在全世界范围内有大量的用户,这也导致白帽子都会去跟踪wordpress的安全漏洞,Wordpress自诞生起也出现了很多漏洞。Wordpress还可以使用插件、主题。于是Wordpress本身很难挖掘什么安全问题的时候,安全研究者开始研究其插件、主题的漏洞。通过插件、主题的漏洞...
如何渗透测试WordPress网站
kuxing100的专栏
07-26 3190
原文:http://www.freebuf.com/articles/web/5264.html 前言 英语水平有限,许多地方翻译的不是很通顺,请各位海涵。初见该文章便对文章作者很是佩服,因为在文章中详细的讲述了每一个步骤,这对于初学者来说尤为难得。所以决定将该文章翻译出来,供大家借鉴学习。 正文 原文题目:How Hackers Target and Hack Your Site
wordpress-exploit-framework:一个旨在帮助WordPress系统进行渗透测试的Ruby框架
02-05
一个旨在帮助WordPress系统进行渗透测试的Ruby框架。 安装 要安装最新的稳定版本,请运行gem install wpxf 。 安装后,您可以通过运行wpxf启动WordPress Exploit Framework控制台。 我需要运行什么? 要运行...
wordpress网站转移到本地运行测试的方法
10-20
主要为大家详细介绍了wordpress网站转移到本地运行测试的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
如何进行Wordpress的后台设置
09-29
关键字描述:设置 后台 进行 如何 这里 Wordpress 选项 可以 网站你已经浏览了这个 Wordpress 架设的站点,那么你会发现 Wordpress 架设站点的前台和后台管理系统是分开。所有的选项在后台(控制台)进行设置,然后再...
【CyberSecurityLearning 71】DC系列之DC-2渗透测试WordPress
_Co1a
04-18 746
目录 DC-2靶机渗透测试 一、实验环境 二、实验要求 三、渗透过程演示 flag1: flag2: flag3: flag4: final-flag: DC-2靶机渗透测试 一、实验环境 实验环境: kali2021:192.168.3.151/24(桥接到vmnet0) 靶机环境DC-2(桥接到vmnet0,MAC地址:00:0C:29:3F:B7:2B) 保证kali和DC-2在同一个网段 二、实验要求 靶机中一共有五个flag文件,我们需要找到它们,即可完成任务.
Vulnhub靶场渗透测试系列DC-6(WordPress的activity monitor插件漏洞)
qq_45722813的博客
12-07 768
Vulnhub靶场渗透测试系列DC-6 下载地址:https://www.vulnhub.com/entry/dc-6,315/ 将下载好的靶机导入到VMware中,修改网络模式为NAT模式,开启靶机虚拟机 在kali机使用命令nmap -Pn 192.168.172.1/24主机发现,获取靶机IP地址 ...
搭建WordPress渗透测试靶机
D-R0s1的博客
01-24 3372
        想要提高自己在实战中渗透的技术,就要在靶机中不断地训练,今天和大家一起搭建一个WordPress网站渗透环境,文章很基础,希望可以帮到像我一样的技术小白。 第一步:         我们需要在https://www.turnkeylinux.org/wordpress中下载镜像,因为网站是全英文的,所以在这里我给大家附上几张图,大家根据图示就可以轻松的找到下载的地方。 ...
Kali linxu搭建WordPress渗透测试环境
xznzyq的博客
04-03 602
1.启动 apache 和 mysql service apache2 start service mysql start 2.安装mariadb 并启动服务【是MySQL的一个分支】 apt-get install mariadb-server apt-get install mariadb-client service mariadb start 3.下载WordPress(到官网下载)并将其解压到 /var/www/html 下 4.进入MySQL并创建新用户和密码 mysql -u
WordPress站点的渗透过程
热门推荐
whatiwhere的博客
06-02 1万+
实验环境 操作机 :Kali 2017 操作机IP:172.16.11.2 目标机:Windows 7 目标机IP:172.16.12.2 实验目的 学习WordPress站点的渗透过程 掌握WordPress后台暴力破解方法 知晓弱密码对网站的危害 实验工具 WPscan:WordPress站点漏洞扫描探测工具,用于探测站点存在的漏洞情况,可检测插件的漏洞 WordBrute...
python渗透测试入门之wordpress登录
ailx10
06-13 639
近期收到了电子工业出版社赠送的一本网络安全书籍《python黑帽子》,书中一共24个实验,今天复现第14个实验(密码猜测),我的测试环境是mbp电脑+同事的wordpress站点+conda开发环境。有一说一,弱口令是脆弱的,但是复杂密码根本猜不出来,需要分析站点POST请求和响应是值得肯定的,但是等着耗着CPU和网络是不可取的~1、查阅wordpress站点登录页面源代码首先GET请求,接受返回...
Pingdom网站速度测试工具使用教程
06-14
Pingdom是一家总部位于瑞典的公司(现归SolarWinds所有),提供各种不同的服务,例如正常运行时间监控、页面速度监控、交易监控、服务器监控和访问者洞察 (RUM)。他们最著名的事情之一可能是他们的免费网站速度测试工具。它是WordPress 社区中最受欢迎的性能测试工具之一。 为什么如此受欢迎?嗯,首先,它可能是最容易使用的速度测试工具!并非每个人都是网络性能专家,因此对于典型的WordPress用户来说,其他一些替代工具可能会让人不知所措。有时正如他们所说,少即是多。毕竟,您只关心两件事:您的网站有多快以及如何使其更快。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值