本帖最後由 luguokankan 於 2013-9-14 07:35 編輯 # ^/ A9 Z2 \8 O5 u/ g8 k6 a! _: V. U
0 W5 M" v- e, Q& [! `
wpscan是一款wp遠程安全掃瞄軟件0 c* K. p( |: Z4 N5 |/ h6 E* @- f
3 c# [: M$ v) Q枚舉wp核心,插件和主題的已公佈漏洞.3 y/ U7 t! h, J; O) Y
3 S# h( ]" ?; ]下載地址 https://github.com/wpscanteam/wpscan3 M8 M/ K8 v( @ I7 p
% }, U/ `; Y" K* Q9 {3 H這裡的主題和插件是指wordpress.org上.3 V7 d- ?: B5 t( j% u1 Z5 u m
+ k7 O* ~/ S9 X, z$ R枚舉所有主題和插件  幾千個, 所以速度會比較慢...
+ } F" a! `! p! x) h+ `1 d3 h2 W3 m% l+ m; G8 u
還有一個功能, 是專門針對 timthumbs  ( ]" q' f% d* n+ Z
+ J, f9 x- ?$ t4 p
還能暴力破擊用戶密碼. 有人會說, 我又不是用admin.
& Y. {: T/ t3 D5 m
6 r. L9 a9 |. p其實wp的用戶是可以掃出來的.% k& G7 e. B5 F. M X- B3 A
) h( G! h& M( X; t, t# a
大概是這樣的test.com/?author=1
, v u U2 d+ k) S' ~- v
4 J" y5 c2 L1 s: c--------------
$ x) {9 e t: k
7 s. r! W% I' v% D5 w. p* e安全推薦:
* I& H/ ?2 ^. ]% l' ?% t+ s: ]
7 j5 s# }: I% w, V @#1 隱藏wp版本信息. 尤其是那些不喜歡更新wordpress的..... 9 d2 {+ S+ T5 c) X* q
. ?: H) k7 s7 S( _. U1 `6 O
http://wordpress.org/plugins/search.php?q=remove+version
4 t8 P9 ^( r% o2 c/ s8 h! v' y- D# z4 }& F
#2 刪除readme和license等文件. + [5 g* ]* f% |- U2 i! A i$ r8 X# j
: Y/ P$ y7 v$ \5 g: M8 u% Zwp的根目錄會有個readme.html和license.txt 還有各個插件一般都會帶readme.txt
9 r, S$ |; U6 i V6 M$ m2 }/ e: s& O$ F1 a
1 b+ N1 ?1 r: q' r0 s
#3 屏蔽用戶枚舉
4 y p* n! j% P! Q1 o, m8 Y' i# b. u: m% U3 z. K
這是一段我寫的代碼,可以加到主題functions.php- add_action('template_redirect','disable_users_enumeration');6 F9 J+ b) C) P4 n" J5 q
- function disable_users_enumeration () {( O, k8 a. @! n9 O& B" T# ~ V
- $url = wp_guess_url();
! n( E2 n$ W0 k& ^" U - if (preg_match('/\?author=([0-9]*)/', $url)) {
$ v- h9 W' ?/ Q4 X - wp_die("What are you doing!!!");
5 o/ v" f% m2 E2 f, W$ f - }/ B0 R- V" g4 X& B3 h* r" u- P+ ^, t" B
- }
( f0 x3 [6 ?! }, O/ T& |+ w* |5 e; S9 d: H" w
3.6.1出來了,屬於安全更新... 更新不更新,你們看著辦
5 r% _3 n) R3 s$ x' v8 z0 d
; o+ k* S8 G" f# v4 }- l% ^2 E有其他想法,歡迎補充.
7 n. m1 m, Z" C4 F9 W* k a8 h1 c* i
7 o4 g4 q5 M1 B2 Y# S$ f
1 J, [ T# N. T' H
8 u) }% }3 F/ P& m2 J3 m8 y: V ~0 G/ E
|
發表於 2013-9-14 07:33:59
提升卡
沉默卡
变色卡