文章大纲：

• 1、看看老外黑客是怎么黑掉一个wordpress站点的
• 2、如何利用SQL注入漏洞攻破一个WordPress网站
• 3、如何检测wordpress网站被入侵
• 4、使用WordPress系统网站被暴力破解了，应该怎么解决以及预防
• 5、我的wordpress 又被黑客入侵了
• 6、如何渗透测试WordPress网站

看看老外黑客是怎么黑掉一个wordpress站点的

不好黑，也没啥必要黑，毕竟都是小网站而且WordPress还很安全，黑的性价比太高了，费劲不讨好。

如何利用SQL注入漏洞攻破一个WordPress网站

WordPress的后台登陆地址是

，这个地址是可以公共访问的，我们进入这个页面后，点击 Lost your password? 链接，输入上面获取的管理员邮件。

这样做了之后，Wordpress会向这个邮件地址发送一封含有激活码的密码重置地址。我们无法登陆这个邮箱获取这个地址，但我们可以使用上面同样的 *** 获取这个激活码，自己拼装出密码重置地址。存放激活码的字段是 user_activation_key ，我们的sql注入地址改成下面这样：

在浏览器里输入上面的地址，页面上会显示下面的信息：

有了激活码，我们就可以拼装出装置密码的地址了：

利用这个地址进入重置密码页面：

总结

我们的黑客行动到此基本上是大功告成，但事实上我并没有去执行最后一步。本文的目的不是要告诉人们如何进行黑客攻击，而是要提醒大家防范安全漏洞，所谓知己知彼，方能百战不殆，程序员应当对基本的黑客攻击方式有一些了解，针对性的在编程时避免造成类似sql注入的安全漏洞，构筑更健壮的软件。

如何检测wordpress网站被入侵

现在网上很多的 WordPress 主题都含有恶意代码，这些恶意代码要么含有后门，要么会直接窃取你的信息，甚至有的还有感染功能，一个带恶意代码的主题被启用，网站所有的主题都会被感染上，删干净非常麻烦。

这些垃圾代码大多来自一些所谓的破解付费主题，在一些下载网站（比如网盘）分享，因为借着高权重网站分享，排名很容易在前，让人随手就下载到。

一般主题作者都不会主动在自己的主题里添加垃圾代码，因为这无疑是砸自己的招牌，得不偿失，所以，更好在知名的主题下载网站或者作者的博客上下载主题，比较安全。

但是，即使遵循上边的做法，也不能保证主题一定就是安全的。下载好主题更好检测一下再使用，对于普通小白来说，检测主题是否安全实在是不可能，即使对于高手来说，如果代码藏得深也很麻烦。

考虑到这里，有个大神开发了一个主题安全性一键检测插件 Theme Authenticity Checker（简称 TAC），可以帮助你一键检测主题是否安全、是否含有恶意代码。

Theme Authenticity Checker

安装并启用 Theme Authenticity Checker 插件，进入后台的 “外观” → “TAC”。

这里就可以看到所有主题的安全情况了，提示 “Theme OK！” 证明是安全的。

不安全的主题则会有一个红色的提示框告诉你 “Encrypted Code Found!”。

不安全的文件还可以一键使用编辑器打开，方便你修改。

误报

这个插件误报情况比较严重，因为机器现在还不能像人一样智能。

比如我的主题使用了 base64 作为后台设置的导入导出代码的加密 *** ，然而用 base64 相关的函数在 Theme Authenticity Checker 插件看来是不安全的。

使用WordPress系统网站被暴力破解了，应该怎么解决以及预防

WordPress优化一直以来是各位wordpress站长所关心的问题，wordpress本身已经有强大的安全防护措施，但是无聊人士之多，今天就跟大家谈谈如何保护你的wordpress网站。什么是暴力破解?不是每一个WordPress站长或者Web开发人员都不错。总有一些邪恶的人。 暴力破解是当一个人或一些机器上尝试通过反复发送的登录尝试破解您的用户名密码组合。 他们会使用一些常见的和随机的用户名和密码组合进行连续登录尝试到你的WordPress。如何保护你的wordpress防止被暴力破解?当然这是我们今天讨论的主题，暴力破解是邪恶的，但是你可以很容易地通过采取下面这些简单的预防措施保护您的WordPress的强力攻击：强大的用户名：您还是使用的是admin为你的WordPress的用户名? 这是默认的用户名也很容易被黑客猜出此用户名。 请务必使用您的姓名或不同的东西作为你的WordPress的管理员用户名。强密码：就像强大的用户名，你需要一个强大的密码! 暴力破解者试图猜测一些随机密码组合，字典中的单词，并使用所有常用的密码破解您的密码。 使用password作为您的密码是不是一个明智的举动，因为暴力破解将马上破解这个密码。 强大的wordpress密码应该使用随机字母，数字和特殊字符。 不要使用类似123456或QWERTY字符串。您也可以通过访问howsecurei *** ypassword.net 来检查您的密码强度。限制登录尝试：您也应该在你的WordPress网站限制登录尝试。 限制登录尝试的插件(Limit Login Attempts)会阻止管理员指定的限制登陆次数后的操作。 它不会让暴力破解尝试破解你的密码。通过IP限制进入wp-admin和wp-login：如果你是一个人在管理你的WordPress，那么只需要你自己能进入wordpress后台即可，你可以设定一个固定的IP地址段，通过.htaccess文件来限制进入wp-login和wp-admin。 你可以这样写：Order deny,allowDeny from allAllow from xx.xx.xx.0/24#Another IPAllow from xx.xx.xx.xx替换xx.xx.xx.xx 成你的IP地址. 要知道你的IP地址，你可以在百度中输入IP即可查询，也可以访问ip138。WordPress插件：其实这方面的插件很多，今天主要是介绍这款插件Wordfence Security，后台搜索即可安装，此款插件可以保护你的wordpress的安全，防止被暴力破解等攻击。所有这些步骤一定会保护你的WordPress网站从所有这些无用和邪恶的暴力破解攻击，你认为这些 *** 怎么样?转账请注明：/save-wordpress-brute-force-attacks/ 谢谢合作

我的wordpress 又被黑客入侵了

查看系统文件，查看入侵的ip，用ip定位来查

windows系统文件会记录每一次其他电脑连接的时刻、ip地址等信息，很难删掉

我也很讨厌这些闲的没事黑别人的黑客啊

建议用LOIC，猛打ip

如何渗透测试WordPress网站

渗透测试需要专业的工具和专业的人士来操作吧，个人没有技术的话还是不太建议。

拿一个APP来做渗透测试来举例，需要以下流程（网站渗透测试虽然没有这么难，但是对于非专业人士也很困难啦~），

一、工具原料：

1、android APP包

2、安应用

二、APP和网站的渗透测试不太一样，我给你介绍一个android的渗透测试步骤吧：

1、组件安全检测。

对Activity安全、Broadcast Receiver安全、Service安全、Content Provider安全、Intent安全和WebView的规范使用检测分析，发现因为程序中不规范使用导致的组件漏洞。

2、代码安全检测

对代码混淆、Dex保护、SO保护、资源文件保护以及第三方加载库的代码的安全处理进行检测分析，发现代码被反编译和破解的漏洞。

3、内存安全检测。

检测APP运行过程中的内存处理和保护机制进行检测分析，发现是否存在被修改和破坏的漏洞风险。

4、数据安全检测。

对数据输入、数据存储、存储数据类别、数据访问控制、敏感数据加密、内存数据安全、数据传输、证书验证、远程数据通信加密、数据传输完整性、本地数据通讯安全、会话安全、数据输出、调试信息、敏感信息显示等过程进行漏洞检测，发现数据存储和处理过程中被非法调用、传输和窃取漏洞。

5、业务安全检测。

对用户登录，密码管理，支付安全，身份认证，超时设置，异常处理等进行检测分析，发现业务处理过程中的潜在漏洞。

6、应用管理检测。

1）、下载安装：检测是否有安全的应用发布渠道供用户下载。检测各应用市场是否存在二次打包的恶意应用；

2）、应用卸载：检测应用卸载是否清除完全，是否残留数据；

3）、版本升级：检测是否具备在线版本检测、升级功能。检测升级过程是否会被第三方劫持、欺骗等漏洞；

三、如果是涉及到服务流程的话，通用流程是这样的：

1、确定意向。

1）、在线填写表单：企业填写测试需求；

2）、商务沟通：商务在收到表单后，会立即和意向客户取得沟通，确定测试意向，签订合作合同；

2、启动测试。

收集材料：一般包括系统帐号、稳定的测试环境、业务流程等。

3、执行测试。

1）、风险分析：熟悉系统、进行风险分析，设计测试风险点；

2）、漏洞挖掘：安全测试专家分组进行安全渗透测试，提交漏洞；

3）、报告汇总：汇总系统风险评估结果和漏洞，发送测试报告。

4、交付完成。

1）、漏洞修复：企业按照测试报告进行修复；

2）、回归测试：双方依据合同结算测试费用，企业支付费用。