WordPress

使用PHP語言開發(fā)的博客平臺

WordPress是使用PHP語言開發(fā)的博客平臺，用戶可以在支持PHP和MySQL數(shù)據(jù)庫的服務(wù)器上架設(shè)屬于自己的網(wǎng)站。也可以把 WordPress當(dāng)作一個內(nèi)容管理系統(tǒng)（CMS）來使用。

WordPress是一款個人博客系統(tǒng)，并逐步演化成一款內(nèi)容管理系統(tǒng)軟件，它是使用PHP語言和MySQL數(shù)據(jù)庫開發(fā)的，用戶可以在支持 PHP 和 MySQL數(shù)據(jù)庫的服務(wù)器上使用自己的博客。

WordPress有許多第三方開發(fā)的免費模板，安裝方式簡單易用。不過要做一個自己的模板，則需要你有一定的專業(yè)知識。比如你至少要懂的標(biāo)準(zhǔn)通用標(biāo)記語言下的一個應(yīng)用HTML代碼、CSS、PHP等相關(guān)知識。

WordPress官方支持中文版，同時有愛好者開發(fā)的第三方中文語言包，如wopus中文語言包。WordPress擁有成千上萬個各式插件和不計其數(shù)的主題模板樣式。

?

WPScan

項目地址：GitHub - wpscanteam/wpscan: WPScan WordPress security scanner. Written for security professionals and blog maintainers to test the security of their WordPress websites. Contact us via contact@wpscan.com

WPScan 是一款使用 ruby 編寫、基于白盒測試的?WordPress?安全掃描器，它會嘗試查找 WordPress 安裝版的一些已知的安全弱點。WPScan 可以輔助專業(yè)安全人員或是 WordPress 管理員評估他們的 WordPress 安裝版的安全狀況。?

常用命令?

這個工具kali自帶的工具，所以我們直接到kali運行相關(guān)命令就行

查看幫助信息

wpscan -h

更新掃描器

wpscan --update

?

?目標(biāo)信息探測

wpscan --url http://xxx.xxx.xxx.xxx

主題信息掃描

wpscan --url http://xxx.xxx.xxx.xxx --enumerate t

?

插件信息掃描

wpscan --url http://xxx.xxx.xxx.xxx --enumerate p

?wordpress用戶猜測

wpscan --url http://xxx.xxx.xxx.xxx --enumerate u

命令集合?

命令	功能
--url	掃描目標(biāo)url
--help	顯示簡單的幫助
--version	顯示W(wǎng)PScan的版本信息
-o	輸出文件到指定位置
-f	指定文件輸出的格式
--user-agent	使用指定的ua頭
--random-user-agent	使用隨機UA頭
--max-threads	最大線程數(shù)，默認最大線程為5
--proxy	加載代理
--update	更新漏洞庫
--force	不檢測目標(biāo)是否在運行wordpress
--api-token	使用token用于顯示漏洞信息
--wp-content DIR	自定義指定檢測內(nèi)容
--cookie	指定cookie
vp	結(jié)果中顯示有漏洞的插件
ap	結(jié)果中顯示目標(biāo)的所有插件
vt	結(jié)果中顯示存在漏洞的主題
at	結(jié)果中顯示所有主題
tt	列舉縮略圖相關(guān)的文件
--enumerate/-e	枚舉[option](要枚舉的目標(biāo))
u	枚舉用戶名
p	枚舉插件
t	枚舉主題

?