La seguridad de WordPress es crucial para mantener la integridad y seguridad de su sitio web. Al utilizar escáneres de vulnerabilidades de seguridad y herramientas de pentesting, puede identificar y abordar de manera proactiva vulnerabilidades potenciales en su sitio de WordPress.
Estas herramientas ofrecen varios beneficios y ventajas, que incluyen:
- Identificación de vulnerabilidades: Los escáneres de seguridad pueden escanear su sitio de WordPress en busca de vulnerabilidades conocidas, como complementos desactualizados o contraseñas débiles, lo que lo ayudará a identificar riesgos potenciales.
- Pruebas exhaustivas: Las herramientas de pentesting le permiten simular ataques del mundo real y probar la eficacia de sus medidas de seguridad. Esto le ayuda a identificar cualquier debilidad o laguna en la defensa de su sitio de WordPress.
- Protección mejorada: Al escanear y probar periódicamente su sitio de WordPress, puede estar un paso por delante de posibles atacantes y asegurarse de que su sitio web esté protegido contra amenazas de seguridad conocidas.
- Tranquilidad de espíritu: El uso de escáneres de vulnerabilidades de seguridad y herramientas de pentesting brinda la tranquilidad de saber que ha tomado medidas proactivas para salvaguardar su sitio de WordPress y los datos confidenciales que pueda contener.
Recuerde, realizar análisis de seguridad periódicos y realizar ejercicios de pentesting son esenciales para mantener su sitio de WordPress seguro y protegido de posibles amenazas.
En esta lista, encontrará 20 herramientas gratuitas de código abierto que pueden ayudarlo a hacer que sus sitios de WordPress sean seguros.
1- WPForce – Paquete de ataque de WordPress
WPForce es un conjunto de herramientas de ataque de WordPress. Actualmente, contiene 2 scripts: WPForce, que fuerza bruta los inicios de sesión a través de la API, y Yertle, que carga shells una vez que se han encontrado las credenciales de administrador. También contiene una serie de módulos posteriores a la explotación.
Características
- Fuerza bruta a través de API, sin formulario de inicio de sesión, evitando algunas formas de protección
- Puede cargar automáticamente un shell interactivo
- Se puede utilizar para generar un caparazón inverso con todas las funciones
- Volcados de hashes de contraseñas de WordPress
- Puede funcionar la autenticación de puerta trasera para la recopilación de contraseñas en texto plano
- Inyecte el gancho BeEF en todas las páginas
- Pivote para meterpreter si es necesario
2-WPScan
WPScan Escáner de seguridad de WordPress. Escrito para profesionales de la seguridad y mantenedores de blogs para probar la seguridad de sus sitios web de WordPress.
3- Auditoría Rápida
Auditoría rápida es una sencilla herramienta de enumeración de WordPress y un auditor de seguridad que puede detectar posibles problemas de seguridad con una sola solicitud web. Está inspirado en WPScan y utiliza la base de datos de vulnerabilidades de WPScan para identificar plugin/theme/wpVersion-related vulnerabilidades. Esta herramienta es sólo para enumeración y no para explotación, lo que la hace segura de usar para escanear aplicaciones de WordPress en busca de vulnerabilidades.
Características
- enumera wp-version/theme/users/plugins
- basado en los resultados anteriores utiliza Base de datos de vulnerabilidades de WPScan para buscar posibles vulnerabilidades
- utiliza shodan-API para buscar vulnerabilidades adicionales (se requiere una cuenta shodan para esta función, a veces también puede dar falsos positivos)
- utiliza haber sido pwned Servicio para buscar si una contraseña (en sha1) ha sido utilizada o violada anteriormente (útil para que los desarrolladores prueben sus contraseñas).
4- Detector de anomalías de WordPress
Este proyecto compara los archivos y carpetas del código fuente original de WordPress con un sitio web. Este script multiproceso rastreará un sitio web determinado y buscará una lista de directorio.
5- Vulnerabilidad de WordPress
Comprobación de vulnerabilidad de WordPress (wp-vulnerability-check) es una poderosa aplicación de consola que verifica con confianza la base de datos de vulnerabilidades de WPScan a través de API. Identifica eficazmente cualquier posible problema de seguridad con los complementos de WordPress que están instalados actualmente.
6- WPscrap
Este es un escáner de WordPress rápido y sigiloso, sin clave API, sin limitaciones.
7- Web-Hunter
Cazador web es una herramienta gratuita de prueba de penetración de aplicaciones web avanzada y un buscador de nombres de WordPress y fuerza bruta Termux y Kali Linux.
Características
- Búsqueda de DNS, búsqueda de IP inversa, transferencia de zona, encabezados HTTP de subred, escáner de puertos y hosts
- Búsqueda Whois
- Buscar subdominio
- Extraer enlace
- Búsqueda de IP geográfica
- Buscador del panel de administración
- Escáner de administración
- Sin redireccionamiento
- Escaneo de puerto TCP
- Buscador de idiotas avanzado
- Carga útil SQLi/XSS/LFI y Dork
- Buscador de nombres de usuario de WordPress
- Fuerza bruta de WordPress
8- Escáner de WordPress
Escáner de WordPress es una herramienta PHP que evalúa vulnerabilidades y audita configuraciones erróneas de seguridad en instalaciones de WordPress. Realiza un escaneo de “caja negra” para aplicaciones web de WordPress, enfocándose en configuraciones erróneas de seguridad comunes y analizando la fuente HTML de las páginas descargadas.
9- RPCSCAN
RPCSCAN by RC es una herramienta de Python que automatiza el proceso de búsqueda del archivo xmlrpc.php en todos los subdominios de sus objetivos. También identifica métodos vulnerables y busca informes en plataformas como HackerOne y Medium.
10- Comprobador de integridad del núcleo de WordPress
Integridad del núcleo de WordPress Checker es un complemento para escanear los directorios principales de WordPress para verificar la integridad de los archivos.
11- escáner swit
cambiarescáner es una herramienta de prueba
de penetración web automatizada muy potente y sencillaSwit Scanner. Usa whois, whatweb, subfinder, wafw00f, a2sv, dnsenum, sqlmap, wpscan, goofile, ffuf, fotón, hakrawler Para escanear.
12- Escáner WP
Escáner WP es un Penetrator Discord Bot de WordPress básico basado en Python3.
13- wp-espía
PHP sencillo scripts para extraer información de sitios y páginas de WordPress
14- vMasa
vMass Bot es una herramienta automatizada que explota hosts remotos buscando archivos de entorno (.env) y extrayendo herramientas e información. También puede detectar el CMS del host de destino e intentar explotarlo utilizando el conjunto de vulnerabilidades vMass, que incluye 108 exploits en la versión actual.
El bot puede generar listas de hosts a partir de rangos de IP, URL y idiotas de bajo perfil de dotenv, y puede eliminar hosts inválidos o inactivos. Las herramientas extraídas se pueden filtrar y probar, y las que funcionan se pueden entregar a un canal de Telegram. Todo el proceso, desde la generación de hosts hasta la entrega de resultados, se puede automatizar utilizando la opción AUTOPILOT.
15- WP fuego antiaéreo
WP fuego antiaéreo es un explorador y explotador de seguridad de WordPress gratuito y de código abierto.
Sus características incluyen:
- Buscador de versiones
- Temas / Complementos Información
- Extracción de usuarios (varios métodos)
- Comprobador de contraseñas débiles de usuarios automáticos
- Buscador de exploits
- Explotador
16- Buscador de WPF
Este herramienta Nos ayuda a encontrar usuarios administradores y comprobar las funciones de XmlRPC (Pingback, etc.) en sitios de WordPress.
17- WordPress puede
WordPress puede es un escáner de WordPress simple escrito en Python basado en el trabajo de WPScan (versión Ruby), algunas características están inspiradas en WPSeku.
18- Herramienta XAtacker
Puedes usar esto herramienta en su sitio web para verificar la seguridad de su sitio web al encontrar la vulnerabilidad en su sitio web o puede usar esta herramienta para Obtener Shells | Envía | Desfigurar | cPaneles | Bases de datos
19- Perdición
Este pitón La biblioteca está hecha únicamente con fines educativos. Yo, como creador y desarrollador, no soy responsable del mal uso de este módulo en ninguna actividad maliciosa. Está diseñado como una herramienta para comprender cómo los piratas informáticos pueden crear sus herramientas y realizar sus ataques. Contiene la mayoría de los ataques y exploits conocidos. se puede utilizar para realizar: ataques DoS y DDoS (se incluyen todas las herramientas conocidas), recopilación de información, eliminación de proxies, rastreo, google dorking, comprobación de vulnerabilidades (inyección SQL (todos los tipos), xss, ejecución de comandos, inyección de código php, FI, navegación forzada
Etiquetas
WordPress Ciberseguridad Seguridad Pentesting Hacking Lista Desarrollo web basado en web
