Как стать автором
Обновить
  • по релевантности
  • по времени
  • по рейтингу

Как найти уязвимости и защитить свой сайт на WordPress

Поисковая оптимизация
Подавляющее большинство проблем безопасности у сайтов на WordPress на самом деле легко контролировать. Ядро этой системы прошло долгий путь развития и является достаточно безопасным. Это может казаться неожиданным для многих, но разработчики серьёзно относятся к безопасности и очень быстро выпускают патчи. Одна из сильных сторон WordPress – это простота обновления и высокая скорость цикла разработки.

Немалая часть проблем обусловлена недальновидностью конечного пользователя, выбором тем и плагинов с небезопасным кодом, а также плохим качеством хостинга. Это руководство поможет обеспечить безопасность для сайтов на WordPress и устранить наиболее распространённые лазейки для взлома.
Читать дальше →
Всего голосов 13: ↑8 и ↓5 +3
Просмотры 11K
Комментарии 20

WPScan — мощный фреймворк для пентеста WordPress

Блог компании AlexHost Разработка веб-сайтов *Тестирование веб-сервисов *
Перевод
Tutorial


Сегодня более половины всех сайтов работают на CMS, а согласно данным W3Techs 63,7% из них используют WordPress. Если ваш сайт один из таких, тогда в этой статье вы узнаете о том, как проверить его на прочность с помощью одного из самых мощных инструментов для пентеста Wordpress – WPScan.


Содержание:


  • Введение
  • Сканирование версии WordPress
  • Сканирование установленных тем оформления
  • Сканирование установленных плагинов
  • Сканирование пользователей
  • Сканирование тем, плагинов и пользователей одной командой
  • Брутфорс с помощью WPScan
  • Загрузка шелла с помощью Metasploit
  • Использование уязвимостей в плагинах
  • Сканирование через прокси-сервер
  • Сканирование с включенной HTTP-аутентификацией

Введение


«WPScan» – blackbox сканер уязвимостей WordPress, написанный на Ruby. Позволяет выявлять уязвимости в:


  • В версии движка.
  • Темах оформления.
  • Плагинах.

WPScan уже предустановлены в ряде ОС для белого хакинга, таких как:


  • Kali Linux
  • SamuraiWTF
  • Pentoo
  • BlackArch

WPScan сканирует свою базу данных, чтобы найти устаревшие версии и уязвимости в движке целевого сайта.


Возможности WPScan:


  • Определяет версию установленного на данный момент WordPress.
  • Обнаруживает конфиденциальные файлы, такие как:
    • readme;
    • robots.txt;
    • файлы замены базы данных и т. Д.
  • Обнаруживает включенные функции на текущем установленном сервере WordPress, таких как file_upload.
  • Перечисляет темы оформления и плагины вместе с их версиями. Вдобавко WPScan сообщает о том, устарели они или нет.
  • Находит все доступные имена пользователей.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 9K
Комментарии 0

Создаем пентест-лабораторию для WordPress

Блог компании AlexHost WordPress *Разработка веб-сайтов *Тестирование веб-сервисов *
Перевод


В данной статье мы рассмотрим процесс создания собственной пентест-лаборатории для WordPress на:


  • Ubuntu 20.04
  • Docker
  • Windows с использованием XAMPP

Непосредственно тесты на проникновения можно делать с помощью WPScan, о котором мы уже писали.


WordPress в Ubuntu 20.04


Для работы WordPress необходимы:


  • Apache
  • База данных (MySQL / Mariadb)
  • PHP

Apache


Запустим службу HTTP с помощью Apache, используя учетную запись с root-правами. Для этого выполним следующую команду в терминале:


apt install apache2
Читать дальше →
Всего голосов 8: ↑0 и ↓8 -8
Просмотры 2.9K
Комментарии 3

Различные методы брутфорс атак WordPress

Блог компании AlexHost Разработка веб-сайтов *Тестирование веб-сервисов *
Tutorial


В этой статье вы узнаете о том, как взламывать учетные данные сайтов на WordPress с помощью различных брутфорс атак.


Содержание:


  • Предварительные требования
  • WPscan
  • Metasploit
  • Люкс Burp
  • Как обезопасить сайт от брутфорса?

Предварительные требования


  • Сайт на WordPress. Здесь мы будем использовать собственную лабораторию для пентеста, о созданию которой был посвящен наш предыдущий пост.
  • Kali Linux (WPscan). Более подробно о WPScan и его возможностях мы уже писали, а вместо Kali Linux можно использовать любую другую из ОС для белого хакинга.
  • Burp Suite (Intruder). Более подробно о данном инструменте можно узнать здесь.

WPscan


WPscan – это фреймворк, который используется в качестве сканера уязвимостей методом «черного ящика». WPscan предустановлен в большинстве дистрибутивов Linux, ориентированных на безопасность, а также доступен в виде подключаемого модуля.


Здесь мы будем использовать WordPress, размещенный на локальном хосте.



Во время перебора можно использовать:


  • Собственные общие списки логинов и паролей
  • Базы логинов и паролей, которые уже есть в Kali Linux
Читать дальше →
Всего голосов 3: ↑2 и ↓1 +1
Просмотры 7K
Комментарии 7