Как взломать сайт на WordPress

Сегодня мы расскажем о том, как взломать сайты, сделанные на CMS WordPress.

Всем салют, дорогие друзья!
Сегодня мы расскажем о том, как взломать сайты, сделанные на CMS WordPress.

Почему наше внимание привлекает именно CMS WordPress?

Это самая популярная платформа с CMS. Движок WordPress используется на 43.3% сайтов во всём интернете.

Уже представляете перспективы удачной охоты? :)

За дело!

Для поиска дыр на WordPress-сайтах мы будем использовать утилиту WPScan, которая предустановлена в Kali Linux.

• Для вывода справки:

wpscan --hh

• Для сканирования сайта на наличие уязвимостей:

wpscan --url <URL>

Где вместо <URL> вам нужно указать адрес тестируемого сайта:

• Утилита начнёт сканировать сайт и отображать итоги:

• Например утилита отобразила инфу, что файл wp-cron защищён лишь на 60% и отобразила ссылки на примеры эксплуатации:

• Если программа не смогла раздобыть инфу о юзерах, это можно сделать более агрессивным методом:

wpscan --url <URL> -enumerate u

Зная имя пользователя, можно попробовать подобрать пароль.

Но перед этим посмотрим, нет ли защитных плагинов от данного типа атаки. Для этого переходим в админку (URL/wp-admin) и вводим рандомные данные 5 раз.

• Если нет никаких ограничений для ввода - можем начинать атаку:

wpacan --url <URL> -P <Файл со словарём> -U <user>

Напомню, что недавно я давал вам словари для брута. Они отлично подойдут и для этой работы. Найти их можно в конце этой статьи - Вскрытие любого пароля за 30 минут

• В случае удачного перебора в терминале отобразится пароль:

👉Да, хочу!ᅠ