php – 在siteurl上测试SQL注入的wordpress网站

<?php bloginfo(); ?>

在这次攻击中使用SQL Injection 0-day极不可能. WordPress是我曾经审核过的最不安全的PHP项目之一,它因为如此不安全而获得了奖励. “Wordpress黑客”是一个完整的笑话,他们拒绝了我的一个漏洞报告,因为他们无法掌握这个简单的缺陷,他们甚至没有打扰我的漏洞利用代码. (这个漏洞被打了补丁.)

使用FTP是一个非常糟糕的主意.您正在通过CLEAR TEXT中的开放式互联网传输纯文本密码和源代码,您必须完全疯了.使用SFTP !!!!我知道有一种病毒(不记得名字……)通过嗅探寻找FTP密码的网络流量传播,然后登录,并修改它找到的.php和.html文件.在具有FTP访问服务器的所有计算机上运行防病毒,AVG将删除此病毒.

我打赌wordpress或你的一个插件从未更新过.插件中的漏洞通常用于破解Web应用程序.检查所有已安装的库/ Web应用程序的所有版本号.

如果要测试站点的SQL注入,请在php.ini中打开display_errors = On并运行Sitewatch free service *或开源Wapiti.修补任何漏洞后,重新运行扫描以确保您的补丁保持不变.然后运行PhpSecInfo以锁定您的php安装.确保从报告中删除所有RED条目.

*我隶属于这个网站/服务.