技能 wordpress-penetration-testing
🛡️
wordpress-penetration-testing
中风险 ⚡
包含脚本⚙️
外部命令🌐
网络访问
إجراء تقييمات أمان WordPress
تواجه مواقع WordPress تهديدات أمنية مستمرة من الهجمات الآلية والاستغلال المستهدف. يوفر هذا المهارة قدرات شاملة لاختبار الاختراق لتحديد ومعالجة الثغرات الأمنية قبل استغلالها من قبل المهاجمين.
支持: Claude Codex Code(CC)
1
下载技能 ZIP
2
在 Claude 中上传
前往 设置 → 功能 → 技能 → 上传技能
3
开启并开始使用
测试它
正在使用“wordpress-penetration-testing”。 فحص موقع WordPress للثغرات
预期结果:
- إصدار WordPress: 6.4.2 (الأحدث)
- السمة: Twenty Twenty-Four 1.0 (لا توجد ثغرات معروفة)
- الإضافات المكتشفة: 5 (2 مع ثغرات معروفة)
- - Contact Form 7 5.8.3 - CVE-2023-XXXXX (متوسط)
- - WooCommerce 8.5.0 (لا توجد ثغرات معروفة)
- المستخدمون المُحصيون: 3 (admin، editor، author)
- التوصيات: تحديث Contact Form 7، تعطيل إحصاء المستخدمين
正在使用“wordpress-penetration-testing”。 اختبار قوة كلمة مرور حساب المسؤول
预期结果:
- نتائج تقييم كلمة المرور:
- الحساب المستهدف: admin
- كلمات المرور المختبرة: 10000
- النتيجة: كلمة المرور غير موجودة في قائمة الكلمات الشائعة
- القوة: قوية (12+ حرف، أحرف كبيرة وصغيرة، أرقام، رموز)
- التوصية: تمكين المصادقة الثنائية للحماية الإضافية
安全审计
中风险v1 • 2/25/2026
This WordPress penetration testing skill contains intentional security testing patterns including Metasploit, WPScan, nmap, and shell commands. All detected patterns are consistent with legitimate security assessment tools. The skill includes proper legal disclaimers requiring written authorization. Risk is elevated due to exploitation techniques and should include prominent warnings about legal requirements before publication.
1
已扫描文件
491
分析行数
8
发现项
1
审计总数
高风险问题 (2)
Metasploit Framework Integration
The skill includes Metasploit exploit modules for WordPress shell upload and plugin exploitation. These are legitimate penetration testing tools but require explicit authorization and should only be used in controlled environments.
PHP Reverse Shell Code Execution
The skill demonstrates PHP reverse shell injection via theme editor with bash command execution. This technique could be misused for unauthorized system access.
中风险问题 (2)
Credential Brute-Force Capabilities
The skill includes WPScan password attack functionality against WordPress login forms and XML-RPC endpoints. While legitimate for security testing, this could be misused for unauthorized access attempts.
Malicious Plugin Creation
The skill demonstrates creating a malicious WordPress plugin with system command execution capabilities. This pattern could be repurposed for persistent backdoor installation.
低风险问题 (1)
Proxy Configuration for Anonymity
The skill includes Tor and HTTP proxy configuration for anonymizing scan traffic. While useful for legitimate security testing, this could indicate intent to evade detection.
风险因素
检测到的模式
Shell Command ExecutionSystem Command Injection via HTTP
审计者: claude
质量评分
38
架构
100
可维护性
87
内容
50
社区
28
安全
100
规范符合性
你能构建什么
تدقيق أمان استشاري لـ WordPress
إجراء تقييمات أمنية شاملة للعملاء الذين يستخدمون WordPress، وتقديم نتائج قابلة للتنفيذ وتوجيهات المعالجة.
تقوية أمان مطور WordPress
اختبار مواقع WordPress الخاصة بك قبل النشر لتحديد وإصلاح الثغرات الأمنية قبل اكتشافها من قبل المهاجمين.
اختبار WordPress في برنامج مكافآت الأخطاء
اختبار تثبيتات WordPress بشكل منهجي ضمن نطاق برنامج مكافآت الأخطاء لاكتشاف وإبلاغ عن الثغرات الأمنية.
试试这些提示
فحص أمني أساسي لـ WordPress
إجراء فحص أمني أساسي لموقع WordPress على [URL]. إحصاء إصدار WordPress والسمات النشطة والإضافات المثبتة والمستخدمين المكشوفين. توثيق جميع النتائج في تقرير منظم مع تقييمات المخاطر.
تقييم شامل للثغرات
إجراء تقييم شامل للثغرات لموقع [WordPress URL] باستخدام WPScan مع token API. اختبار الإضافات والسمات المعرضة للثغرات وإحصاء المستخدمين وسوء التكوين. تقديم خطوات معالجة ذات أولوية لكل نتيجة.
اختبار أمن كلمة المرور
اختبار قوة كلمات مرور حسابات مستخدمي WordPress على [URL] باستخدام قائمة بيانات الاعتماد المصرح بها. تقييم سياسات كلمات المرور واختبار كلمات المرور الضعيفة الشائعة والتوصية بتحسينات سياسة كلمات المرور.
مشروع اختبار اختراق كامل
تنفيذ مشروع اختبار اختراق كامل ضد [WordPress URL] بما في ذلك الاستطلاع والإحصاء ومسح الثغرات ومحاولات الاستغلال المصرح بها. توثيق سلسلة الهجوم وتقديم التقارير التنفيذية والتقنية.
最佳实践
- Always obtain written authorization before testing any WordPress site you do not own
- Use a staging environment for exploitation testing rather than production systems
- Document all testing activities with timestamps for audit trail purposes
- Test during maintenance windows to minimize impact on legitimate users
- Use rate limiting and throttling to avoid denial of service conditions
避免
- Never test WordPress sites without explicit written authorization from the owner
- Do not run aggressive scans against production sites during business hours
- Avoid testing sites protected by WAF without understanding bypass implications
- Do not exfiltrate or access real user data during security assessments
常见问题
Is this skill legal to use?
This skill is legal when used on WordPress sites you own or have explicit written authorization to test. Unauthorized testing violates computer crime laws in most jurisdictions.
Do I need a WPScan API token?
A free WPScan API token is recommended for vulnerability database access. Without it, WPScan can still enumerate WordPress components but cannot identify known vulnerabilities.
Can this skill damage my WordPress site?
Aggressive scanning and exploitation testing can potentially cause service disruption. Always test in a staging environment first and avoid production systems during business hours.
What tools does this skill require?
This skill uses WPScan (WordPress scanner), Metasploit Framework, nmap, and standard tools like cURL. WPScan and nmap are pre-installed in Kali Linux.
How long does a WordPress security scan take?
Basic scans take 2-5 minutes. Comprehensive scans with vulnerability checking take 10-30 minutes. Password testing duration depends on wordlist size and rate limiting.
Can I use this for bug bounty hunting?
Yes, but only within the scope defined by the bug bounty program. Always verify the program allows automated scanning and follow all program rules.
开发者详情
作者
sickn33许可证
MIT
仓库
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/wordpress-penetration-testing引用
main
文件结构
📄 SKILL.md