我这里使用的Kali Linux,它默认安装了WPScan。

在使用WPScan之前,先更新它的漏洞数据库:

# wpscan –update

扫描wordpress用户

wpscan -–url [wordpress网址] –-enumerate u

以我的网站为例:

# wpscan --url http://blog.topspeedsnail.com --enumerate u

注意:要用使用两个–,否则报错-“The WordPress URL supplied ‘http://rl/’ seems to be down.”

暴力破解:

wpscan --url [wordpress网址] --wordlist [字典文件] --username [要破解的用户] --threads [开启的线程数]

我已test用户为例:

# wpscan --url http://blog.topspeedsnail.com --wordlist ~/password.txt --username test --threads

好的密码字典应包含常见的弱密码、手机号、姓名生日组合、各大网站泄露的密码、英语单词等等。如果使用字典破解不了,说明密码还算复杂;暴力穷举更是费时费力。

怎么防止wordpress网站被人使用上面方法破解呢?

防止暴力破解的最好方式是限制一个IP地址的尝试登录次数。WordPress有n多插件可以实现这个功能。我使用的一个插件叫:Brute Force Login Protection。