Как обнаружить WP плагины, используемые на сайте

10

Можно ли вообще определить список плагинов, используемых на сайте WP.

Кроме того, помимо моей первоначальной догадки, как можно подтвердить тот факт, что блог действительно работает на WP?


источник
Кочет! очень хорошие советы. обнаружение WP: попробуйте добавить / wp-admin!
Недостаточно повторений, чтобы ответить, так как это защищенный вопрос, но я бы хотел сказать, что иногда я просто ищу «www. [Sitename] / wp-content / plugins» и, если он доступен, показывает список плагинов. , В любом случае не работает, но это определенно просто и стоит попробовать.
Нобита
Вы можете найти его, используя wppluginchecker.earthpeople.se

Ответы:

8

Обычно вы можете обнаружить сам WordPress, посмотрев исходный код сайта для метатега генератора WordPress:

<meta name="generator" content="WordPress 3.0.1" />

Однако некоторые сайты удаляют этот тег, чтобы скрыть тот факт, что они работают под управлением WP.

Однако не существует надежного способа определить список плагинов, которые работают на сайте. IMO, это дополнительный бонус безопасности - не все разработчики так заинтересованы в обновлении своих систем, когда что-то ломается (или возникают уязвимости), как основная команда ... если плагин представляет потенциальную уязвимость моей системы, последние думают Я хочу сделать, это рекламировать этот факт.

Однако любой плагин, который добавляет код на дисплей (добавление скриптов, стилей, мета-тегов и т. Д.), Может вызывать сам себя. Большинство сценариев и стилей будут отображаться /wp-content/plugins/{plug-in name}/в URL. Некоторые другие интерфейсные системы будут использовать имя плагина в виде HTML-комментария <!-- Begin Super Cool Plug-in Code -->.

Но, как правило, нет простого способа создать список плагинов, используемых на сайте, если а) вы уже не знаете, какие плагины искать, или б) владелец сайта хочет, чтобы вы знали.

EAMann
источник
можно также попробовать перейти в подпапку wp-admin и другие файлы, найденные в установке WordPress
Том Дж. Новелл
/readme.html также покажет номер версии
soulseekah
Было время, когда readme.htmlраскрывали только последнюю главную версию. Иногда он не обновляется в срочном выпуске безопасности и, поскольку это статический файл, номер версии не увеличивается. Но чаще всего вы правы. Предполагая, что это все еще на сервере ...
EAMann
3

Я хотел бы добавить, чтобы также посмотреть в исходном коде для вызовов в их расположение темы, которая по умолчанию будет /wp-content/themes/[themename]. Вы также можете попробовать загрузить файлы WP по умолчанию, оставшиеся после установки, например license.txtили, readme.htmlно если они достаточно умны, чтобы скрыть плагин и расположение тем, они, вероятно, тоже удалили эти файлы.

Пра
источник
2

Чтобы извергнуть и добавить к тому, что говорили все остальные, кажется, есть несколько способов, которыми вы можете отследить версию, тему и плагины WordPress других людей.

Версия WordPress:

  1. Это можно найти в метатеге в голове в виде <meta name="generator" content=
  2. Это также обычно можно найти в нижнем колонтитуле, хотя иногда комментируют, где вы все еще можете просмотреть его в HTML

Тема WordPress:

  1. Самый простой способ - просмотреть исходный текст и найти таблицу стилей темы, в которой будет содержаться вся информация о теме (название темы, автор, сайт автора и т. Д.).
  2. Это также часто встречается в нижнем колонтитуле бесплатных тем, поэтому первоначальный разработчик может получить бесплатную ссылку на свой сайт.

Плагины WordPress:

  1. Самый простой способ - найти страницу «Я использую эти плагины WordPress», которую делают некоторые блоггеры.
  2. Вы также можете просмотреть исходный код и найти любые скрипты и таблицы стилей, которые могут быть загружены, а также любые уникальные идентификаторы или имена классов, вставленные плагинами. Итак class='socialize', <link rel="stylesheet" href=".../wp-content/plugins/socialize/socialize.css" type="text/css" /> и <script type="text/javascript" src=".../wp-content/plugins/socialize/socialize.js"></script> все это намекает на то, что в теме используется плагин Socialize.
Джон
источник
2

Есть пара инструментов, которые будут перебирать все известные плагины WordPress.

Обычно они просто пытаются получить доступ к / wp-content / plugins / $ pluginname, и если вы получаете запрет, вы нашли плагин, если он 404, то плагин не установлен.

http-wp-plugins.nse - это делает скрипт nmap

http://code.google.com/p/cms-explorer/ - как и этот инструмент

Этот сайт, кажется, использует методы чтения кода, упомянутые ранее, чтобы попытаться обнаружить плагины http://hackertarget.com/wordpress-security-scan/

Полк
источник
Мы тоже об этом поинтересовались, и сделали общедоступный инструмент для своего рода грубой силы, проверяя сайт на наличие плагинов: wppluginchecker.earthpeople.se
Pär
1

добавление к тому, что было сказано:

обнаружение WP: попробуйте добавить / wp-admin к адресу сайта, возможно они его не меняли

обнаружение плагинов: Firebug - расширение firefox :)

Мирей Раад
источник