Wpscan是专门检查Wordpress网站漏洞的工具,它可以全面检查wp网站的漏洞,有助于我们增加网站安全防护。但是也有人使用Wpscan渗透别人的网站,最近我客户的网站就被黑了,现在简单把使用wpsan检查网站漏洞的教程分享给大家,同时会有教程检查自己网站的密码强度。
Wpscan不支持Windows系统,只支持Linux和Mac系统,因此如果我们是Windows系统,可以安装虚拟机来实现。
一 更新wpscan到最新版本:
命令:wpscan –update
更新完成后,我们看到最新的版本是3.3.1。
二 输入我们要检查的WP网站
我以某个网站为例 ,首先扫描这个网站可能出现的漏洞
命令:wpscan -url (网站)
通过扫描我们发现网站有一个插件过期了,这就需要我们及时更新,出现感叹号提示就是需要我们注意的,如果出现红色,就说明网站有漏洞,现在来看这个网站是没有插件漏洞的。
同时我们可以使用其他命令,检查我们网站的其他信息,wpscan安装和命令教程请访问:https冒号//wpscan。org
三 对网站用户进行枚举
命令:wpscan –url (网站链接) –enumerate u
接下来我们找到 User identified 就可以看到网站的登录用户名:
四 对网站密码进行暴力破解
首先我们需要密码字典,在这里我们用curnch创建密码字典(需要安装curnch),curnch是一款专门的密码字典生成软件,我们简单测试,使用curnch创建2位数密码,并且保存到wd.txt文件。
更新crunch,命令:crunch –update
使用curnch创建2位数密码,并且保存到wd.txt文件
命令:crunch 2 2 >>wd.txt
生成密码文件字典后,我们开始用wpscan暴力破解密码。
命令:wpscan –url (网站链接) –wordlist wd.txt –username 用户名
如果找到了相匹配的用户名与密码,工具将直接以admin:password的形式显示出来。
破解的关键是密码字典要足够强大。
针对暴力破解最安全的方法就是限制用户登录尝试次数,这样我们的网站才能更加安全。
有问题欢迎给我们留言。
Do you need to increase your credit score?
回复删除Do you intend to upgrade your school grade?
Do you want to hack your cheating spouse Email, whatsapp, Facebook, instagram or any social network?
Do you need any information concerning any database.
Do you need to retrieve deleted files?
Do you need to clear your criminal records or DMV?
Do you want to remove any site or link from any blog?
you should contact this hacker, he is reliable and good at the hack jobs..
contact : cybergoldenhacker at gmail dot com
回复删除I can’t say much but with my experience through divorce, I had no one until I met hackingsetting50@gmail.com online then I contacted him, surprisingly he helped me hack into my partner's phone and all his social media platforms and i can now access everything and even documented and printed stuffs to show as evidence , now I’m happy with my kids and working for Riches. I hope this helps anyone in need.
Thanks.