虽然技术是百度学的，但是还是要记录一下，毕竟是一个脚本小子，记忆力不好。

WordPress安全检测工具

先说一下WordPress是一个什么东西，它是一个相当流行的内容管理系统，它的组件有很多。它怎么读呢，（我（此处为儿化音）的普瑞斯）。

那有没有自动的WordPress安全检测工具呢？

答案是有的。。

Plecost是一款非常棒的wordpress安全检测工具

WPSCAN是另外一款优秀的wordpress安全检测工具

CMS-Explorer是另外一款优秀的wordpress安全检测工具

Usage: /usr/bin/plecost [options] [ URL | [-l num] -G]

Google search options:

-l num    : Limit number of results for each plugin in google.（限制Google中每个插件的结果数量。）

-G        : Google search mode（谷歌模式）

Options:

-n        : Number of plugins to use (Default all - more than 7000).（使用插件数量，默认7000）

-c        : Check plugins only with CVE associated.（与插件关联）

-R file  : Reload plugin list. Use -n option to control the size (This take several minutes)（重新加载插件列表。）

-o file  : Output file. (Default "output.txt")（输入文件）

-i file  : Input plugin list. (Need to start the program)（加载插件列表。）

-s time  : Min sleep time between two probes. Time in seconds. (Default 10)（线程间隔时间）

-M time  : Max sleep time between two probes. Time in seconds. (Default 20)（单一线程间隔时间）

-t num    : Number of threads. (Default 1)（线程）

-h        : Display help. (More info: http://iniqua.com/labs/)

举栗子

快速扫描：plecost http://SITE.com

详细输出：plecost -v http://SITE.com -o results.json

不检查WordPress版本，仅适用于插件：plecost -nc http://SITE.com

强制扫描，即使没有检测到Wordpress：plecost -f http://SITE.com

列出可用的模块列表：plecost -nb -l

在列表中选择一个单词列表：plecost -nb -w plugin_list_10.txt http://SITE.com

多线程：plecost -c 10 http://SITE.com

github：https://github.com/iniqua/plecost

wpscan也差不多，直接github

https://github.com/wpscanteam/wpscan#wpscan-arguments

.htaccess and WordPress

不管是保护wordpress还是其他任何网页，.htaccess文件都是非常有用的。什么是.htaccess？

概述来说，htaccess文件是Apache服务器中的一个配置文件，它负责相关目录下的网页配置。通过htaccess文件，可以帮我们实现：网页301重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等功能。

我们下面会讲如何配置.htaccess保护wordpress：

首先，限制wp-admin文件夹被非管理员访问。

order deny,allow

allow from 116.76.45.1

deny from all

值得注意的是，你需要把.htaccess文件放在wp-damin目录下。

如果你想要阻止某个IP段访问（注意116.76.45.是一个IP段）

order allow,deny

deny from 116.76.45.

allow from all

我们可以再增加一些脚本执行的限制

RemoveHandler cgi-script .cgi .php .py

AddType text/plain .cgi .php .py

原文：http://www.freebuf.com/articles/808.html