问在站点SQL上测试wordpress站点的SQL注入

EN

在此攻击中使用SQL注入0day的可能性极小。Wordpress是我审计过的最不安全的PHP项目之一，它因为如此不安全而赢得了普尼奖。"Wordpress黑客“是一个彻头彻尾的笑话，他们拒绝了我的一份漏洞报告，因为他们无法抓住简单的缺陷，他们甚至没有费心运行我的漏洞代码。(漏洞已被修补。)

使用FTP是一个非常糟糕的的主意。你在开放的互联网上以明文传输明文密码和源代码，你一定是完全疯了。使用SFTP！我知道有一种病毒(不记得名字了…)这是通过嗅探网络流量，查找FTP密码，然后登录，并修改它找到的.php和.html文件来传播的。在所有具有FTP访问服务器的计算机上运行防病毒程序，AVG将删除此病毒。

我敢打赌wordpress或者你的某个插件从来没有更新过。插件中的漏洞通常用于入侵web应用程序。检查所有已安装的库/web应用程序的所有版本号。

如果您想测试您的站点是否有SQL注入，那么在php.ini中打开display_errors=On并运行Sitewatch free service*或开放源码的Wapiti。修补任何漏洞后，重新运行扫描以确保您的修补程序有效。然后运行PhpSecInfo来锁定你的php安装。确保从报告中删除所有红色条目。

*我隶属于此网站/服务。

别忘了评论。我在用户注册，然后在评论和他们的个人资料中投放代码时遇到了问题。检查一下那里。

我认为是特洛伊木马从用户的电脑上窃取FTP密码。

至于针对SQL注入来测试应用程序的软件，这里已经有了很多答案