Запустите грубую атаку WordPress с помощью WPScan

  1. WordPress словарь паролей пользователей
  2. Проверка надежности пароля одного пользователя с помощью WPScan
  3. Проверка надежности пароля нескольких пользователей WordPress с помощью WPScan

Как администратор сайта WordPress вы несете ответственность за безопасность вашего сайта. Скорее всего, вы уже многое сделали, чтобы улучшить Безопасность WordPress а как же пользователи? Все ли они используют надежный пароль? Обычно пользователи не любят надежные пароли, и единственный способ убедиться, что они используют надежные пароли, - это применение политик паролей WordPress ,

Даже если вы используете плагин для принудительного использования надежных паролей пользователей на вашем сайте, все равно рекомендуется периодически проверять и сканировать ваш сайт на наличие слабых паролей. Это похоже на запуск контролируемого атака грубой силой против вашего сайта WordPress. В этой статье объясняется, как использовать бесплатный инструмент WPScan для такого сканирования.

WordPress словарь паролей пользователей

Чтобы запустить проверку надежности пароля с помощью инструмента WPScan, вам нужен хороший словарь паролей. WP White Security.com имеет словарь паролей пользователей WordPress, который содержит миллион часто используемых паролей. Скачать WordPress Password Dictionary использовать его в ваших проверках безопасности пароля WordPress.

Проверка надежности пароля одного пользователя с помощью WPScan

Если вы уже знаете имя пользователя, используйте следующую команду для проверки надежности пароля WordPress с помощью WPScan WordPress Security Scanner:

ruby wpscan –url www.local.com –wordlist wpw_pwd_dictionary.txt –username admin

Приведенная выше команда и аргументы WPScan объясняются ниже:

–Url: этот аргумент используется для указания URL-адреса целевого сайта WordPress. В этом примере мы запустили атаку методом подбора паролей против www.local.com.

–Wordlist: Используйте это, чтобы указать имя файла словаря паролей. В этом примере имя словаря паролей - wpw_pwd_dictionary.txt . Нет необходимости указывать путь к каталогу, если словарь паролей находится в том же каталоге, что и сканер WPScan.

–Username: используйте это, чтобы указать имя пользователя WordPress. В нашем примере была предпринята атака методом перебора паролей против учетной записи администратора .

На приведенном ниже снимке экрана показан результат работы инструмента WPScan при запуске атаки с использованием перебора пароля против администратора WordPress. Он также показывает результат сканирования, который показывает, что учетная запись администратора использовала пароль adminpass .

Атака с использованием пароля WPScan WordPress может быть немного медленной, особенно если вы используете большой словарь паролей, такой как наш. Чтобы ускорить процесс, вы можете настроить WPScan на использование нескольких потоков с помощью аргумента –threads . В приведенном ниже примере мы запускаем атаку методом перебора паролем с помощью WPScan, используя 50 потоков.

ruby wpscan –url www.local.com –wordlist wpw_pwd_dictionary.txt –пользователь admin –потоков 50

WP White Security.com Совет для веб-мастеров. Используя несколько потоков, вы увеличиваете нагрузку на ваш сайт, что может нарушить его работу. Быть осторожен.

Проверка надежности пароля нескольких пользователей WordPress с помощью WPScan

Чтобы проверить надежность пароля нескольких или всех пользователей WordPress с помощью сканера безопасности WPScan WordPress, используйте те же команды, что и в предыдущих примерах, но без аргумента –username. Пример следует:

ruby wpscan.rb www.local.com –wordlist wpw_pwd_dictionary.txt

Если целевой сайт WordPress имеет большое количество пользователей, проверка атаки паролем и надёжности пароля может занять очень много времени и может повлиять на производительность веб-сайта или блога. В таком случае рекомендуется сначала перечислять пользователей WordPress с помощью WPScan а затем выберите пользователей, для которых вы хотите проверить надежность своих паролей.

Все ли они используют надежный пароль?