So erkennen Sie auf einer Site verwendete WP-Plugins

10

Ist es überhaupt möglich, die Liste der auf einer WP-Site verwendeten Plugins zu erkennen?

Wie kann ich über meine anfängliche Vermutung hinaus bestätigen, dass ein Blog tatsächlich von WP betrieben wird?


quelle
Kochu! sehr schöne tipps. Erkennen von WP: Versuchen Sie, / wp-admin anzuhängen!
Ich habe nicht genug Repräsentanten, um zu antworten, da dies eine geschützte Frage ist, aber ich möchte sagen, dass ich manchmal nur nach 'www. [Site-Name] / wp-content / plugins' suche und wenn verfügbar, die Liste der Plugins anzeigt . Funktioniert auf keinen Fall, ist aber definitiv einfach und einen Versuch wert.
Nobita
Sie können es mit wppluginchecker.earthpeople.se

Antworten:

8

Normalerweise können Sie WordPress selbst erkennen, indem Sie den Quellcode der Site für das Meta-Tag des WordPress-Generators anzeigen:

<meta name="generator" content="WordPress 3.0.1" />

Einige Websites entfernen dieses Tag jedoch, um die Tatsache zu verbergen, dass sie WP ausführen.

Es gibt jedoch keine narrensichere Möglichkeit, die Liste der Plug-Ins zu erkennen, die auf einer Site ausgeführt werden. IMO ist dies ein zusätzlicher Sicherheitsbonus - nicht alle Entwickler sind so daran interessiert, ihre Systeme zu aktualisieren, wenn Dinge kaputt gehen (oder Schwachstellen auftauchen) wie das Kernteam ... wenn ein Plug-In eine potenzielle Schwachstelle auf meinem System aufdeckt, denken Sie zuletzt Ich möchte diese Tatsache bewerben.

Jedes Plug-In, das der Anzeige Code hinzufügt (Hinzufügen von Skripten, Stilen, Meta-Tags usw.), kann sich jedoch selbst aufrufen. Die meisten Skripte und Stile werden /wp-content/plugins/{plug-in name}/in der URL verfügbar gemacht. Einige andere Front-End-Systeme verwenden den Namen des Plug-Ins in einer Art HTML-Kommentar wie <!-- Begin Super Cool Plug-in Code -->.

Im Allgemeinen gibt es jedoch keine einfache Möglichkeit, eine Liste der auf einer Site verwendeten Plug-Ins zu erstellen, es sei denn, a) Sie wissen bereits, nach welchen Plug-Ins Sie suchen müssen, oder b) der Site-Eigentümer möchte, dass Sie dies wissen.

EAMann
quelle
Man kann auch versuchen, zum Unterordner wp-admin und zu anderen Dateien zu wechseln, die in einer WordPress-Installation gefunden wurden
Tom J Nowell
/readme.html wird auch die Versionsnummer enthüllen
soulseekah
Es gab eine Zeit, in der readme.htmlnur die neueste Hauptversion enthüllt wurde. Manchmal wird es in einer dringenden Sicherheitsversion nicht aktualisiert, und da es sich um eine statische Datei handelt, wird die Versionsnummer nicht erhöht. Meistens haben Sie jedoch Recht. Vorausgesetzt, es ist noch auf dem Server ...
EAMann
3

Ich würde hinzufügen, um auch im Quellcode nach Aufrufen an ihrem Themenort zu suchen, was standardmäßig der Fall wäre /wp-content/themes/[themename]. Sie können auch versuchen, Standard-WP-Dateien zu laden, die von der Installation übrig geblieben sind, z. B. license.txtoder, readme.htmlaber wenn sie clever genug sind, um die Plug-In- und Design-Speicherorte auszublenden, haben sie wahrscheinlich auch diese Dateien entfernt.

Pru
quelle
2

Um zu erbrechen und zu dem hinzuzufügen, was alle anderen gesagt haben, gibt es anscheinend einige Möglichkeiten, wie Sie die WordPress-Version, das Thema und die Plugins anderer Leute aufspüren können.

WordPress-Version:

  1. Dies kann in einem Meta-Tag im Kopf in Form von gefunden werden <meta name="generator" content=
  2. Dies kann auch häufig in der Fußzeile gefunden werden, obwohl es manchmal auskommentiert wird, wo Sie es noch im HTML anzeigen können

WordPress Theme:

  1. Am einfachsten ist es, die Quelle anzuzeigen und nach dem Themen-Stylesheet zu suchen, in dem alle Themeninformationen enthalten sind (Themenname, Autor, Autorenseite usw.).
  2. Dies ist auch häufig in der Fußzeile der kostenlosen Themen zu finden, sodass der ursprüngliche Entwickler einen kostenlosen Link zurück zu seiner Website erhalten kann

WordPress Plugins:

  1. Am einfachsten ist es, nach einer Seite "Ich benutze diese WordPress-Plugins" zu suchen, die einige Blogger verwenden.
  2. Sie können auch den Quellcode durchgehen und nach Skripten und Stylesheets suchen, die möglicherweise geladen werden, sowie nach eindeutigen IDs oder Klassennamen, die von den Plugins eingefügt werden. Also class='socialize', <link rel="stylesheet" href=".../wp-content/plugins/socialize/socialize.css" type="text/css" /> und <script type="text/javascript" src=".../wp-content/plugins/socialize/socialize.js"></script> alles wären Hinweise darauf, dass das Thema ein Plugin namens Socialize verwendet.
Jon
quelle
2

Es gibt einige Tools, die alle bekannten WordPress-Plugins brutal erzwingen.

Grundsätzlich versuchen sie nur, auf / wp-content / plugins / $ pluginname zuzugreifen, und wenn Sie ein verbotenes erhalten, haben Sie das Plugin gefunden, wenn es ein 404 ist, dann ist das Plugin nicht installiert.

http-wp-plugins.nse - nmap script macht das

http://code.google.com/p/cms-explorer/ - ebenso wie dieses Tool

Diese Site scheint die zuvor erwähnten Methoden zum Lesen der Codes zu verwenden, um zu versuchen, die Plugins zu erkennen. Http://hackertarget.com/wordpress-security-scan/

PaulK
quelle
Wir wo curios darüber zu und machte eine Öffentlichkeit zur Verfügung Tool irgendwie Brute - Force überprüfen eine Website für Plugins: wppluginchecker.earthpeople.se
Pär
1

summiert sich zu dem, was gesagt wurde:

Erkennen von WP: Versuchen Sie, / wp-admin an die Site-Adresse anzuhängen. Möglicherweise haben sie diese nicht geändert

Erkennung der Plugins: Firebug - Firefox-Erweiterung :)

Mireille Raad
quelle