wp安全掃瞄軟件 - wpscan和一些安全推薦

wpscan是一款wp遠程安全掃瞄軟件

枚舉wp核心,插件和主題的已公佈漏洞.

下載地址 https://github.com/wpscanteam/wpscan
4 z; ?# x! C& `
這裡的主題和插件是指wordpress.org上.
8 `1 j! Z) p4 G$ t5 f
2 `, n0 T3 S9 C  I+ l枚舉所有主題和插件 幾千個, 所以速度會比較慢...
/ g; P% U1 d! z8 p# I% I
還有一個功能, 是專門針對 timthumbs

還能暴力破擊用戶密碼. 有人會說, 我又不是用admin.
% `! c6 p9 B% w- Q7 v
其實wp的用戶是可以掃出來的.
9 v( M: q3 \# v; W# B9 M( p
大概是這樣的test.com/?author=1
. [: F1 z9 |8 Z/ n* M1 r( R
--------------
: v9 R  D5 T1 \1 M0 V5 i3 e3 D$ \
/ D6 A' o* ~; f+ G安全推薦:
  J9 o( q3 `7 g
# F2 K- |3 \0 {; W4 g3 x; n2 B) ]#1 隱藏wp版本信息. 尤其是那些不喜歡更新wordpress的.....
  `% c6 V7 ^) x+ w4 W2 o% H0 N
http://wordpress.org/plugins/search.php?q=remove+version

; |; c8 U4 x8 N( T" O+ }#2 刪除readme和license等文件.
; x! U- C; V1 }4 Y: p
wp的根目錄會有個readme.html和license.txt 還有各個插件一般都會帶readme.txt


#3 屏蔽用戶枚舉

  G1 W( I6 X' o; }這是一段我寫的代碼,可以加到主題functions.php

1. add_action('template_redirect','disable_users_enumeration');
   
2. function disable_users_enumeration () {
   
3.     $url = wp_guess_url();
   
4.     if (preg_match('/\?author=([0-9]*)/', $url)) {
   
5.         wp_die("What are you doing!!!");         
   
6.     }
   
7. }

複製代碼

#4, 更新wp核心...........

3.6.1出來了,屬於安全更新... 更新不更新,你們看著辦
0 E( k$ }, ?$ B4 O$ O0 A
有其他想法,歡迎補充.


- K2 h8 H1 C4 Z7 B  S$ J) }- p


3 E$ @2 }6 x$ K6 ]# y

開源的程序就是不安全，天天折騰
) [; p! U, G+ G

不錯的安全防範,               
  l6 L7 t, }5 _0 u& w! }1 o0 ]" @/ q

月光飛燕 發表於 2013-9-14 09:13
# G  E( w) |9 E2 e開源的程序就是不安全，天天折騰

6 e. m8 w, i9 g+ z不開源的也一樣的
$ `7 E0 p* C/ v1 q+ t
懂技術的人可以自己修改，比官方快一點
) s- i" O5 t7 b$ _
- @# T: z" t: }$ S0 u) y' d7 M
$ `6 ^/ }3 |( p2 g! E! C" d5 N

th3grouplet 發表於 2013-9-14 09:57
# M3 [7 p4 g2 d: S* R( y2 s不開源的也一樣的

懂技術的人可以自己修改，比官方快一點

哈哈, windows就是個例子.

" r2 D( V; t, T- x2 N從側面說明, wordpress是非常流行的程序.
2 x6 |- E1 y+ w  P; T. b5 l

呵呵 安全問題要重視起來 不然有問題再搞就晚啦
: `; f: n8 |! p+ I+ ?, P! p, U3 @

這麼不安全啊， 太可怕了。
. ?  f. P9 u6 A2 R3 {( P- u

我覺得不開源的也不安全                  

見到wp就噁心:lol到處漏洞哦
& b% [' ?% j) q

嚇倒了好多人