文章大纲：

• 1、如何检测wordpress网站被入侵
• 2、新手小白想学习渗透和 *** 安全，从哪里入手？
• 3、As培训技术内容 : 渗透，编程，社工，入侵，web前端，免杀，DDOS，抓鸡，爆破，远控，劫
• 4、作为小白如何学习Kali linux渗透测试技术

如何检测wordpress网站被入侵

现在网上很多的 WordPress 主题都含有恶意代码，这些恶意代码要么含有后门，要么会直接窃取你的信息，甚至有的还有感染功能，一个带恶意代码的主题被启用，网站所有的主题都会被感染上，删干净非常麻烦。

这些垃圾代码大多来自一些所谓的破解付费主题，在一些下载网站（比如网盘）分享，因为借着高权重网站分享，排名很容易在前，让人随手就下载到。

一般主题作者都不会主动在自己的主题里添加垃圾代码，因为这无疑是砸自己的招牌，得不偿失，所以，更好在知名的主题下载网站或者作者的博客上下载主题，比较安全。

但是，即使遵循上边的做法，也不能保证主题一定就是安全的。下载好主题更好检测一下再使用，对于普通小白来说，检测主题是否安全实在是不可能，即使对于高手来说，如果代码藏得深也很麻烦。

考虑到这里，有个大神开发了一个主题安全性一键检测插件 Theme Authenticity Checker（简称 TAC），可以帮助你一键检测主题是否安全、是否含有恶意代码。

Theme Authenticity Checker

安装并启用 Theme Authenticity Checker 插件，进入后台的 “外观” → “TAC”。

这里就可以看到所有主题的安全情况了，提示 “Theme OK！” 证明是安全的。

不安全的主题则会有一个红色的提示框告诉你 “Encrypted Code Found!”。

不安全的文件还可以一键使用编辑器打开，方便你修改。

误报

这个插件误报情况比较严重，因为机器现在还不能像人一样智能。

比如我的主题使用了 base64 作为后台设置的导入导出代码的加密 *** ，然而用 base64 相关的函数在 Theme Authenticity Checker 插件看来是不安全的。

新手小白想学习渗透和 *** 安全，从哪里入手？

基础到入门的学习路线

一、 *** 安全

*** 基础

*** 概述

（行业背景+就业方向+课程体系结构）

Vmware

IP地址的概述与应用

DOS命令与批处理

Windows服务安全

用户管理

破解系统用户密码

NTFS权限

文件服务器

DNS服务

DHCP服务

IIS服务

活动目录

域控管理

组策略（一）

组策略（二）

安全策略

PKI与证书服务

windows安全基线

Windows server 2003安全配置基线

阶段综合项目一

以太网交换与路由技术

回顾windows服务

OSI协议簇

交换机的基本原理与配置

IP包头分析与静态路由

分析ARP攻击与欺骗

虚拟局域网VLAN

VTP

单臂路由与DHCP

子网划分VL ***

高级 *** 技术

回顾

三层交换

ACL-1

ACL-2

*** 地址转换

动态路由协议RIP

ipsec VPN

VPN远程访问

*** 安全基线

Cisco基础 *** 设备安全配置基线

安全设备防护

防火墙原理及部署方式

防火墙高级配置

IDS

WAF

阶段综合项目二

二、服务安全

Linux安全运维

Linux操作系统介绍与安装与目录结构分析

Linux系统的基本操作与软件安装

Linux系统下用户以及权限管理

*** 配置与日志服务器建立应急思路

建立php主页解析以及主页的访问控制

Nginx服务都建立以及tomcat负载均衡

iptables包过滤与 *** 地址转换

实用型脚本案例

阶段综合项目三

三、代码安全

前端代码安全

HTML语言

CSS盒子模型

*** 概述与变量

*** 数据类型

*** 函数

程序的流程控制

条件判断与等值判断结构

循环结构

*** 数组

数据库安全

sqlserver

access

oracle

mysql

后台代码安全

PHP基础

PHP语法

PHP流程控制与数组

PHP代码审计中常用函数

PHP操作mysql数据库

PHP代码审计（一）

PHP代码审计（二）

Python安全应用

初识python上篇

初识python下篇

基础进阶与对象和数字

字符串列表和元祖

字典条件循环和标准输入输出

错误异常函数基础

函数的高级应用和模块

面向对象编程与组合及派生

正则表达式和爬虫

socket套接字

四、渗透测试

渗透测试导论

渗透测试 *** 论

法律法规与道德

Web 工作机制

HTTP 协议

Cookie 与session

同源策略

情报收集

DNS

DNS 解析

IP 查询

主机测探与端口扫描

*** 漏洞扫描

Web 漏洞扫描

其他工具

口令破解

口令安全威胁

破解方式

windows 口令破解

Linux 口令破解

*** 服务口令破解

在线密码查询网站

常见的漏洞攻防

SQL 注入基础

四大基本手法

其他注入手法

SQLmap 的使用

XSS 漏洞概述

XSS 的分类

XSS的构造

XSS 的变形

Shellcode 的调用

XSS 通关挑战

实战：Session 劫持

PHP 代码执行

OS 命令执行

文件上传漏洞原理概述

WebShell 概述

文件上传漏洞的危害

常见的漏洞攻防

PUT *** 上传文件

.htaccess 攻击

图片木马的 ***

upload-labs 上传挑战

Web容器解析漏洞

开源编辑器上传漏洞

开源CMS 上传漏洞

PHP 中的文件包含语句

文件包含示例

漏洞原理及特点

Null 字符问题

文件包含漏洞的利用

业务安全概述

业务安全测试流程

业务数据安全

密码找回安全

CSRF

SSRF

提权与后渗透

服务器提权技术

隧道技术

缓冲区溢出原理

Metasploit Framework

前言

urllib2

SQL 注入POC 到EXP

定制EXP

案例：Oracle Weblogic CVE2017-10271 RCE

案例：JBoss AS 6.X 反序列化

五、项目实战

漏洞复现

内网靶机实战

内网攻防对抗

安全服务规范

安全众测项目实战

外网渗透测试实战

六、安全素养

*** 安全行业导论

*** 安全岗位职责分析

*** 安全法认知

*** 安全认证

职业人素质

As培训技术内容 : 渗透，编程，社工，入侵，web前端，免杀，DDOS，抓鸡，爆破，远控，劫

代码审计：顾名思义就是检查源代码中的安全缺陷，检查程序源代码是否存在安全隐患，或者有编码不规范的地方，通过自动化工具或者人工审查的方式，对程序源代码逐条进行检查和分析，发现这些源代码缺陷引发的安全漏洞，并提供代码修订措施和建议。

作为小白如何学习Kali linux渗透测试技术

首先你要明白你学KALI的目的是什么，其次你要了解什么是kali，其实你并不是想要学会kali你只是想当一个hacker

kali是什么：

只是一个集成了多种渗透工具的linux操作系统而已，抛开这些工具，他跟常规的linux没有太大区别。

你可能想学的是渗透技巧，相当一个黑客是吧？我建议你先从基础开始学起，比如漏洞是如何形成的，然后如何被利用，例：SQL注入漏洞。

如何成为一个黑客？：

- 具有极高的兴趣以及能够持之以恒的心

- 多结交良师益友很重要

-学习编程语言（python，php，html，JavaScript，java，c等，只有你会编程才能知道为什么会形成漏洞，才知道怎么利用漏洞）

-学习服务器运维（winservice和linux操作系统，域管理，权限管理等等等等不一一阐述）学习系统了解系统，因为你要了解一个站长是如何管理服务器的，服务器有哪些可以被你利用的地方，到时候用nmap扫描出来的结果你才能分析，才明白是什么意思

-英文好很重要，国外文献才能看得懂，英文好不好直接影响你能不能成为顶级黑阔

-多多实战演练，从基础的注入漏洞，XSS，弱口令，抓包等开始你的渗透生涯，等你拿到webshell的时候，你会有成就感 并且想学习的欲望越发强烈，等你拿到cmdshell的时候，你已经具备成为一个脚本小子的资格了，再往下走就要看你自己的天赋了，毕竟我的水平也仅限于此。

记住哦，一个hacker是要摆脱工具的，只会用工具永远只是脚本小子。你要自己了解原理，然后自己写工具出来。kali只是一个系统级渗透工具箱，只要你学会了渗透，有没有kali一样牛逼

此段摘自知乎Toom