Чем провести пентест wordpress ? Желательна тулза чекающая сайт на последние эксплойты.

Изя said:
Чем провести пентест wordpress ? Желательна тулза чекающая сайт на последние эксплойты.



Уже обсуждалось:

/showthread.php?t=290018

Поиск рулит.

А вообще exploit-db.com и ищи эксплойты под нужную версию.

Если вам лениво работать руками - пробуйте wpscan.

Определять версию можно руками по txt\ini файлам вп и плагинов. Также с этим неплохо справляются тулзы wpscan и BlindElephant.

а где брать обновления под wpscan ?

Изя said:
Чем провести пентест wordpress ? Желательна тулза чекающая сайт на последние эксплойты.


Руками и головой, анализируя исходники и изначально настроив систему безопасности сайта, плюс если есть необходимость жесткого слежения за ним, то систему оповещения! Как правила в основном WP ломают за счет бажности плагинов, слабо-стойким паролем, или фтп... от сюда и начинайте свой пинтест!

winstrool said:
Как правила в основном WP ломают за счет бажности плагинов


Именно! Всё не запомнишь, софт поверит версии по белым и черным спискам, целостность CMS и плагинов, подозрительные изменения.

winstrool said:
Руками и головой, анализируя исходники и изначально настроив систему безопасности сайта, плюс если есть необходимость жесткого слежения за ним, то систему оповещения! Как правила в основном WP ломают за счет бажности плагинов, слабо-стойким паролем, или фтп... от сюда и начинайте свой пинтест!


Верно. Всякие акучеки ИМХО чушь полнейшая. Сколько проектов проверял - везде 0 красных. А работа руками за 15 минут дала critical SQLi Больше программам не доверяю...

да конечно эти сканеры и т.п. бред полный... 99,9 процентов что он ерунду покажет, тем более если хостится на wordpress.com у них там защиты от этого... и плагинов 0 покажет... легче нормальному человеку отдать денег 50-100 баксов и тебе ещё плюсом покажут слабые места... которые всяко есть... сам wp вообще чуть ли не идеальная весч... проблема на стороне была и будет... ну и плюс руки, которые придумывают мощные пароли))))