Dragon
  • 注册、登陆后即可全站无广告畅快浏览本博客了!
  • 本博客已开启支持百度AI智能内容自动审核机制!
明月登楼明月登楼  2017-04-25 07:28 明月登楼的博客 隐藏边栏 |   33 条评论  39,465 
文章评分 1 次,平均分 5.0
导语: 说了这么多 WPScan 命令的使用方法和样例,无非是告诉大家很多站点的重要信息别人是很容易获取到的,有了这些信息后可以做的事儿也有很多,所以必要及时的安全防御措施一定要有。并且技术是以“日新月异”的速度在发展中,安全防御工作也是一个无休止的工作,像 WPScan 这样的扫描工具在 Linux 下还有很多,类似的工具更是比比皆是, WPScan 还支持在线更新漏洞数据库,所以了解和使用这些工具也是一个网站运维人员必备的一个技能,作为一个站长可以不用熟练掌握和经常使用,但一定要有所了解。

说起 WordPress 的安全来,明月自己都是一肚子苦水呀。我的博客被黑历史可以追溯到开博伊始了都,可以说我的博客安全一直伴随着我的博客至今,虽然采取了很多的方法和措施,但是依然感觉有效性很值得商榷。用“道高一尺、魔高一丈”来形容真的是太贴切了。特别是 WordPress 的安全性真的是太差了,因为 WordPress 太出名了,市场占有率又是多年的全球第一。所以很多人都在盯着 WordPress 的漏洞随时随地的展开攻击和破坏,作为一个站长仅仅只做“防御”有的时候显得过于被动了,正所谓“知己知彼,百战不殆”,了解一些攻击者使用的工具和思路有时候也可以起到事半功倍的奇效的。

明月最近一直在折腾学习 VPS 相关的东西,于是顺便也开始研究一些安全方面的知识,不可避免的就会涉及到一些 Linux 下的这些漏洞扫描工具了,这些工具虽然是以“扫描漏洞”为主,但是都具备一定的攻击和破坏能力,其实就是看使用者的态度而已。明月不想攻击任何站点,仅仅是做一些简单的技术学习而已,这些工具可以很好的验证防御措施、安全性评估、及时发现漏洞等问题。今天明月就给大家介绍一个扫描 WordPress 漏洞的黑盒子扫描器——WPScan

WPScan 最新版 2.9.2

WPScan 是一个扫描 WordPress 漏洞的黑盒子扫描器,它可以为所有 Web 开发人员扫描 WordPress 漏洞并在他们开发前找到并解决问题。我还使用了 Nikto,它是一款非常棒的 Web 服务器评估工具,我认为这个工具应该成为所有针对 WordPress 网站进行的渗透测试的一部分。

WPScan 已经被预安装在以下 Linux 系统中:

BackBox Linux(http://www.backbox.org/

Kali Linux(http://www.kali.org/

Pentoo(http://www.pentoo.ch/

SamuraiWTF(http://samurai.inguardians.com/

ArchAssault(https://archassault.org/

BlackArch(http://blackarch.org/

(PS:Windows 不支持 WPScan。最新版本的 WPScan 可以在 Linux 或 Mac 上下载使用http://wpscan.org/

[ad]

那么使用 WPScan 可以用来干什么呢?明月就站在一个草根站长的角度来总结回答这个问题。

1、扫描 WordPress 站点的用户列表

具体命令如下:

[code]wpscan –url [wordpress url] –enumerate u[/code]

以明月的测试站点【吃货小栈』为例:

[code]wpscan –url https://eat.ymanz.com –enumerate u[/code]

运行图片结果截图

可以看出 WPScan 毫不费力的获得了 WordPress 的登录用户名、ID 了,那么有了用户名以后可以做什么呢?答案就是:“暴力破解用户甚至 root 密码”。

如何避免 WordPress 用户列表暴露呢?

如果你想要避免 WordPress 用户列表被列举,不要把用户名作为昵称,并且不要使用已经被大众知道的用户名。最好的方式是选择一个包含随机字符的名字做用户名并且使用其他名字作为昵称。WPScan 扫描 URL 来获取用户名,所以如果你不使用这个用户名,你肯定不会被 WPScan 搜索到。

2、暴力破解 root 密码

具体命令如下:

[code]wpscan –url [wordpress url] –wordlist [密码字典] –username [要破解的用户名称] –threads [开启的线程数][/code]

因为需要密码字典,所以明月也就没有过多的去实际测试了,说的这里只是告诉大家密码设定复杂和简单的必要性,好的密码字典应包含常见的弱密码、手机号、姓名生日组合、各大网站泄露的密码、英语单词等等。如果使用字典破解不了,说明密码还算复杂;暴力穷举破解更是费时费力。

怎么防止 wordpress 网站被人使用上面方法破解呢?

防止暴力破解的最好方式是限制一个 IP 地址的尝试登录次数。WordPress 有 n 多插件可以实现这个功能。我使用的一个插件叫Login Security Solution 。大家可以安装体验一下。

3、扫描插件漏洞

插件可以说是 WordPress 最大的安全隐患了,特别是那些非 WordPress 官方插件库获取安装的插件(比如:破解版等)很容易存在漏洞和后门,使用 WPScan 扫描就可以获得这些信息。

具体命令如下:

[code]ruby wpscan.rb --url [wordpress url] --enumerate p[/code]

4、扫描主题漏洞

主题方面其实跟插件是一个道理的,特别是那些所谓收费主题破解版的一般很少没有漏洞和后门的,越出名的主题这个现象越严重。

具体命令如下:

使用的命令和上面类似,只是把参数替换为–enumerate t:

[code]ruby wpscan.rb --url [wordpress url] --enumerate t[/code]

或者只显示易受攻击的主题:

[code]ruby wpscan.rb --url [wordpress url] --enumerate vt[/code]

5、扫描 TimThumb 文件

TimThumb 是一个非常简洁方便用于裁图的 PHP 程序,只要给他设置一些参数,它就可以生成缩略图。现在很多 WordPress 主题中,都使用 TimThumb 这个 PHP 类库进行缩略图的处理。通过 TimThumb 的漏洞很容易获得站点 root 权限。

具体命令如下:

[code]ruby wpscan.rb --url [wordpress url] --enumerate tt[/code]

如何防范扫描插件、主题、TimThumb 文件呢?

就目前明月的经验来看,使用Block Bad Queries (BBQ)插件,就可以屏蔽和禁止这类扫描,我在【Block Bad Queries 插件防止遭受恶意 URL 请求』一文里也专门有过介绍。

说了这么多 WPScan 命令的使用方法和样例,无非是告诉大家很多站点的重要信息别人是很容易获取到的,有了这些信息后可以做的事儿也有很多,所以必要及时的安全防御措施一定要有。并且技术是以“日新月异”的速度在发展中,安全防御工作也是一个无休止的工作,像 WPScan 这样的扫描工具在 Linux 下还有很多,类似的工具更是比比皆是, WPScan 还支持在线更新漏洞数据库,所以了解和使用这些工具也是一个网站运维人员必备的一个技能,作为一个站长可以不用熟练掌握和经常使用,但一定要有所了解。

明月用 WPScan 测试了几个友链的博客网址,发现很多人都没有升级到 WordPress 最新版 4.7.4,以及很多的插件也是用的旧版本,在这里明月提醒各位尽快升级至最新版本,减小漏洞暴露的风险。其实无论是插件还是 WordPress 简单的修复式更新几乎是不存在什么兼容性的,不用过于担心的。

 

「点点赞赏,手留余香」

还没有人赞赏,快来当第一个赞赏的人吧!

明月登楼给明月登楼打赏
×
予人玫瑰,手有余香
  • 2
  • 5
  • 10
  • 20
  • 50
2
支付

本文来自投稿,不代表明月登楼的博客立场,版权归原作者所有,欢迎分享本文,转载请保留出处!

明月登楼
明月登楼 关注:8    粉丝:0 最后编辑于:2019-07-06
玉满斋(www.ymanz.com)网站创始人,☑玉器爱好者 ☑微博控 ☑手机控 ☑历史控 ☑宅 ☑网络控 ☑Wordpress控

发表评论

表情 链接 私密 格式 签到
  1. 狂放
    狂放 评论达人 LV.3 来自天朝的朋友 火狐浏览器 58.0 Linux

    支持 Debian 不,Deepin 是 Debian 的二次开发版本

    16楼 2018-02-23 22:28
    0 0 回复
  2. 祭夜
    祭夜 来自天朝的朋友 火狐浏览器 57.0 Windows 7

    不错不错

    15楼 2017-10-29 08:08
    0 0 回复
  3. 我赚啦

    闲着没事,随便逛逛,心静自然凉。

    14楼 2017-04-28 15:55
    0 0 回复
  4. 森七
    森七 来自天朝的朋友 谷歌浏览器 49.0.2623.87 Windows 7

    棒极了

    13楼 2017-04-27 21:50
    0 0 回复
  5. BanYuner
    BanYuner 评论达人 LV.2 来自天朝的朋友 谷歌浏览器 58.0.3029.81 Windows 10

    经常被扫,已经习惯了

    12楼 2017-04-27 21:31
    0 0 回复
  6. 大香蕉

    写不错,大力支持

    11楼 2017-04-27 18:13
    0 0 回复
扫一扫二维码分享