22.12.2016 13:50
OlegON
 


Огромное число блогов в сети Интернет работают на движке WordPress. Не буду сейчас останавливаться на своем мнении о его качестве, для большинства выбравших пользователей - это лучшее, что они могут выбрать.

Однако, мало кто знает, что битва между желающими сломать этот движок и теми, кто держит оборону, никогда не прекращается. Именно поэтому необходимо регулярно обновлять WordPress, все установленные плагины, а многим из них предпочесть ручную правку и собственные дописки функционала.

Есть замечательный инструмент проверки WordPress, называется wpscan. К сожалению, его установка достаточно нетривиальная и в большинстве дистрибутивов его нет. В связи с этим хочу предложить вашему вниманию wpscan online, инструмент для аудита блога на WordPress. Посмотрите, какие компоненты блога видны атакующему, есть ли какие-то уже известные уязвимости, exploit'ы и т.п.

Обращаю внимание, что инструмент можно использовать исключительно с разрешения владельца блога.


Все вопросы и замечания прошу оставлять здесь, в этой теме.

https://olegon.ru/wpscan/
23.12.2016 10:47
nadkhachaturova
 
Олег, расшифруйте, пожалуйста, мои черточки.
23.12.2016 18:10
twix
 
wpsan не работает с последней версией WP (4.7). Говорит, что сайт не работает на вордпресс.
23.12.2016 19:22
OlegON
 
Пример в студию :) работает, например.
23.12.2016 20:47
twix
 
, например, не работает.
23.12.2016 20:57
OlegON
 
Все работает, тычь сюда
Специально сделал GET, чтобы ссылки давать можно было.
23.12.2016 22:48
twix
 
Я полагаю, нужно было указывать не просто домен, но и протокол тоже. Так работает, вроде, да...
Не совсем понял, где и как там должны уязвимости указываться. Были лишь восклицательные знаки из-за листинга директорий. Пофиксил.
24.12.2016 07:33
OlegON
 
Да, по умолчанию подразумевается HTTPS. А у тебя там не вордпресс (кстати, это не понравится поисковикам).
Если бы плагины или тема были с известными дырками, то они были бы отмечены. База обновляется ежедневно.
Пример:
Скрытый текст (вы должны войти под своим логином или зарегистрироваться и иметь 21 сообщение(ий)):
У вас нет прав чтобы видеть скрытый текст, содержащийся здесь.
28.12.2016 15:13
OlegON
 
Переделал, по умолчанию теперь HTTP.
И, да, если говносайт тормозит адски, то аудит, скорее всего, не закончится, в конце будет
|:=======
тормоза анализировать не имеет смысла, вы все равно не всплывете в поиске из-за этих тормозов. Поставил лимит в две минуты на аудит.

ПРОЕКТ ЗАКРЫТ

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.