사이트에서 사용되는 WP 플러그인을 감지하는 방법

10

WP 사이트에서 사용되는 플러그인 목록을 감지하는 것이 가능합니까?

또한 내 첫 직감을 넘어서서 블로그가 실제로 WP에 의해 구동되고 있음을 어떻게 확인할 수 있습니까?

plugins

고추! 아주 좋은 팁. WP 감지 : / wp-admin을 추가해보십시오!

이것은 보호 된 질문이므로 대답 할 충분한 담당자가 없지만 때로는 'www. [sitename] / wp-content / plugins'를 찾고 액세스 할 수 있으면 플러그인 목록을 표시한다고 말하고 싶습니다. . 어떤 경우에도 작동하지 않지만 확실히 쉽고 가치가 있습니다.

— 노비타

다음을 사용하여 찾을 수 있습니다 wppluginchecker.earthpeople.se

8

일반적으로 WordPress 생성기 메타 태그에 대한 사이트의 소스 코드를 보면 WordPress 자체를 감지 할 수 있습니다.

<meta name="generator" content="WordPress 3.0.1" />

그러나 일부 사이트는이 태그를 제거하여 WP를 실행 하고 있다는 사실 을 숨 깁니다 .

그러나 사이트에서 실행중인 플러그인 목록을 감지하는 완벽한 방법은 없습니다. IMO 이것은 추가 보안 보너스입니다-모든 개발자가 핵심 팀처럼 문제가 발생하거나 취약점이 발생할 때 시스템을 업데이트하는 데 열중하지는 않습니다 ... 플러그인이 내 시스템에 잠재적 약점을 노출시키는 경우, 마지막 생각 나는 그 사실을 광고하고 싶습니다.

그러나 코드를 디스플레이에 추가하는 플러그인 (스크립트, 스타일, 메타 태그 추가 등) 은 자체적으로 호출 될 수 있습니다 . 대부분의 스크립트와 스타일은 /wp-content/plugins/{plug-in name}/URL에 노출 됩니다. 일부 다른 프론트 엔드 시스템은와 같은 HTML 주석에서 플러그인 이름을 사용합니다 .

그러나 일반적으로 a) 찾을 플러그인을 이미 알고 있거나 b) 사이트 소유자가 귀하에게 알리기를 원하지 않는 한 사이트에서 사용되는 플러그인 목록을 생성하는 쉬운 방법은 없습니다.

— EAMann
소스

wp-admin 하위 폴더로 이동하거나 WordPress 설치에있는 다른 파일로 이동하십시오.

— Tom J Nowell

/readme.html도 버전 번호를 공개합니다

— soulseekah

readme.html최신 메이저 버전 만 공개 할 때가있었습니다 . 때로는 긴급 보안 릴리스에서 업데이트되지 않으며 정적 파일이기 때문에 버전 번호가 충돌하지 않습니다. 그러나 그렇지 않은 경우가 종종 있습니다. 서버에 여전히 있다고 가정하면 ...

— EAMann

3

또한 소스 코드에서 테마 위치에 대한 호출을 찾아 보도록 추가합니다 /wp-content/themes/[themename]. 기본적으로는입니다 . 또한 설치에서 남은 기본 WP 파일을로드 license.txt하거나 readme.html플러그인과 테마 위치를 숨길 정도로 영리한 경우 해당 파일도 제거했을 수 있습니다.

— 프루
소스

2

다른 사람들이 말한 것을 역설하고 덧붙이려면 다른 사람들의 WordPress 버전, 테마 및 플러그인을 스누핑 할 수있는 몇 가지 방법이있는 것 같습니다.

워드 프레스 버전 :

이것은 헤드의 메타 태그에서 <meta name="generator" content=
HTML에서 볼 수있는 위치가 언젠가 주석 처리되어 있지만 바닥 글에서 일반적으로 찾을 수 있습니다.

워드 프레스 테마 :

가장 쉬운 방법은 소스를보고 모든 테마 정보가 포함 된 테마 스타일 시트 (테마 이름, 작성자, 작성자 사이트 등)를 찾는 것입니다.
이것은 일반적으로 무료 테마의 바닥 글에서 발견되므로 원래 개발자는 웹 사이트로 무료 링크를 다시 얻을 수 있습니다

워드 프레스 플러그인 :

가장 쉬운 방법은 일부 블로거들이하는 "이 워드 프레스 플러그인 사용"페이지를 찾는 것입니다.
또한 소스 코드를 살펴보고 플러그인에 의해 삽입 된 고유 한 ID 또는 클래스 이름뿐만 아니라로드 될 수있는 스크립트 및 스타일 시트를 찾을 수 있습니다. 그래서 class='socialize', <link rel="stylesheet" href=".../wp-content/plugins/socialize/socialize.css" type="text/css" /> 그리고 <script type="text/javascript" src=".../wp-content/plugins/socialize/socialize.js"></script> 모든 테마 사교라는 플러그인을 사용하고있는 힌트가 될 것입니다.

— 존
소스

2

알려진 모든 워드 프레스 플러그인을 무력화시키는 몇 가지 도구가 있습니다.

기본적으로 그들은 / wp-content / plugins / $ pluginname에 액세스하려고 시도하고 금지 된 경우 플러그인이 404 인 경우 플러그인이 설치되지 않은 것을 발견했습니다.

http-wp-plugins.nse-nmap 스크립트가이를 수행합니다

http://code.google.com/p/cms-explorer/- 이 도구와 마찬가지로

이 사이트는 플러그인을 감지하기 위해 앞에서 언급 한 코드 메소드 읽기를 사용하는 것 같습니다 http://hackertarget.com/wordpress-security-scan/

— 폴크
소스

우리는 이것에 대한 호기심을 갖고, 공개적으로 사용할 수있는 도구를 만들어 무차별 강제로 플러그인 사이트를 확인했습니다 : wppluginchecker.earthpeople.se

— Pär

1

말한 것에 추가 :

WP 감지 : 사이트 주소에 / wp-admin을 추가해보십시오. 아마도 변경하지 않았습니다.

플러그인 감지 : Firebug-firefox extension :)

— 미 릴레 라드
소스