Огромное число блогов в сети Интернет работают на движке WordPress. Не буду сейчас останавливаться на своем мнении о его качестве, для большинства выбравших пользователей - это лучшее, что они могут выбрать.
Однако, мало кто знает, что битва между желающими сломать этот движок и теми, кто держит оборону, никогда не прекращается. Именно поэтому необходимо регулярно обновлять WordPress, все установленные плагины, а многим из них предпочесть ручную правку и собственные дописки функционала.
Есть замечательный инструмент проверки WordPress, называется . К сожалению, его установка достаточно нетривиальная и в большинстве дистрибутивов его нет. В связи с этим хочу предложить вашему вниманию wpscan online, инструмент для аудита блога на WordPress. Посмотрите, какие компоненты блога видны атакующему, есть ли какие-то уже известные уязвимости, exploit'ы и т.п.
Обращаю внимание, что инструмент можно использовать исключительно с разрешения владельца блога.
Все вопросы и замечания прошу оставлять здесь, в этой теме.
Я полагаю, нужно было указывать не просто домен, но и протокол тоже. Так работает, вроде, да...
Не совсем понял, где и как там должны уязвимости указываться. Были лишь восклицательные знаки из-за листинга директорий. Пофиксил.
Да, по умолчанию подразумевается HTTPS. А у тебя там не вордпресс (кстати, это не понравится поисковикам).
Если бы плагины или тема были с известными дырками, то они были бы отмечены. База обновляется ежедневно.
Пример:
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 21 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
Переделал, по умолчанию теперь HTTP.
И, да, если говносайт тормозит адски, то аудит, скорее всего, не закончится, в конце будет
|:=======
тормоза анализировать не имеет смысла, вы все равно не всплывете в поиске из-за этих тормозов. Поставил лимит в две минуты на аудит.