Compétences wordpress-penetration-testing
🛡️
wordpress-penetration-testing
Risque moyen ⚡
Contient des scripts⚙️
Commandes externes🌐
Accès réseau
Effectuer des évaluations de sécurité WordPress
Les sites WordPress font face à des menaces de sécurité constantes provenant d'attaques automatisées et d'exploits ciblés. Cette compétence fournit des capacités complètes de tests d'intrusion pour identifier et corriger les vulnérabilités avant que les attaquants ne les exploitent.
Prend en charge: Claude Codex Code(CC)
1
Télécharger le ZIP du skill
2
Importer dans Claude
Allez dans Paramètres → Capacités → Skills → Importer un skill
3
Activez et commencez à utiliser
Tester
Utilisation de "wordpress-penetration-testing". Scanner un site WordPress pour les vulnérabilités
Résultat attendu:
- Version WordPress : 6.4.2 (Dernière)
- Thème : Twenty Twenty-Four 1.0 (Aucune vulnérabilité connue)
- Plugins trouvés : 5 (2 avec des vulnérabilités connues)
- - Contact Form 7 5.8.3 - CVE-2023-XXXXX (Moyen)
- - WooCommerce 8.5.0 (Aucune vulnérabilité connue)
- Utilisateurs énumérés : 3 (admin, editor, author)
- Recommandations : Mettre à jour Contact Form 7, désactiver l'énumération des utilisateurs
Utilisation de "wordpress-penetration-testing". Tester la robustesse du mot de passe pour le compte admin
Résultat attendu:
- Résultats de l'évaluation des mots de passe :
- Cible : compte admin
- Mots de passe testés : 10000
- Résultat : Mot de passe NON trouvé dans la wordlist commune
- Robustesse : Forte (12+ caractères, majuscules/minuscules, chiffres, symboles)
- Recommandation : Activer l'authentification à deux facteurs pour une protection supplémentaire
Audit de sécurité
Risque moyenv1 • 2/25/2026
This WordPress penetration testing skill contains intentional security testing patterns including Metasploit, WPScan, nmap, and shell commands. All detected patterns are consistent with legitimate security assessment tools. The skill includes proper legal disclaimers requiring written authorization. Risk is elevated due to exploitation techniques and should include prominent warnings about legal requirements before publication.
1
Fichiers analysés
491
Lignes analysées
8
résultats
1
Total des audits
Problèmes à risque élevé (2)
Metasploit Framework Integration
The skill includes Metasploit exploit modules for WordPress shell upload and plugin exploitation. These are legitimate penetration testing tools but require explicit authorization and should only be used in controlled environments.
PHP Reverse Shell Code Execution
The skill demonstrates PHP reverse shell injection via theme editor with bash command execution. This technique could be misused for unauthorized system access.
Problèmes à risque moyen (2)
Credential Brute-Force Capabilities
The skill includes WPScan password attack functionality against WordPress login forms and XML-RPC endpoints. While legitimate for security testing, this could be misused for unauthorized access attempts.
Malicious Plugin Creation
The skill demonstrates creating a malicious WordPress plugin with system command execution capabilities. This pattern could be repurposed for persistent backdoor installation.
Problèmes à risque faible (1)
Proxy Configuration for Anonymity
The skill includes Tor and HTTP proxy configuration for anonymizing scan traffic. While useful for legitimate security testing, this could indicate intent to evade detection.
Facteurs de risque
⚡ Contient des scripts
Aucun emplacement spécifique enregistré
⚙️ Commandes externes (1)
🌐 Accès réseau (3)
Motifs détectés
Shell Command ExecutionSystem Command Injection via HTTP
Audité par: claude
Score de qualité
38
Architecture
100
Maintenabilité
87
Contenu
50
Communauté
28
Sécurité
100
Conformité aux spécifications
Ce que vous pouvez construire
Audit de sécurité WordPress pour consultant
Effectuer des évaluations de sécurité complètes pour des clients utilisant WordPress, en fournissant des conclusions exploitables et des conseils de remédiation.
Durcissement de sécurité pour développeur WordPress
Testez vos propres sites WordPress avant le déploiement pour identifier et corriger les vulnérabilités avant que les attaquants ne les découvrent.
Tests WordPress pour bug bounty
Testez systématiquement les installations WordPress dans le cadre des programmes de bug bounty pour découvrir et signaler les vulnérabilités de sécurité.
Essayez ces prompts
Analyse de sécurité WordPress de base
Effectuez une analyse de sécurité de base du site WordPress à [URL]. Énumérez la version WordPress, les thèmes actifs, les plugins installés et les utilisateurs exposés. Documentez toutes les conclusions dans un rapport structuré avec des évaluations de risque.
Évaluation complète des vulnérabilités
Menez une évaluation complète des vulnérabilités de [WordPress URL] en utilisant WPScan avec jeton API. Testez les plugins vulnérables, les thèmes, l'énumération des utilisateurs et les mauvaises configurations. Fournissez des étapes de remédiation priorisées pour chaque constatation.
Test de sécurité des mots de passe
Testez la robustesse des mots de passe des comptes utilisateurs WordPress à [URL] en utilisant une liste d'identifiants autorisés. Évaluez les politiques de mots de passe, testez les mots de passe faibles courants et recommandez des améliorations de la politique de mots de passe.
Engagement de test d'intrusion complet
Exécutez un engagement de test d'intrusion complet contre [WordPress URL] incluant la reconnaissance, l'énumération, l'analyse des vulnérabilités et les tentatives d'exploitation autorisées. Documentez la chaîne d'attaque et fournissez des rapports exécutifs et techniques.
Bonnes pratiques
- Toujours obtenir une autorisation écrite avant de tester tout site WordPress que vous ne possédez pas
- Utiliser un environnement de staging pour les tests d'exploitation plutôt que des systèmes de production
- Documenter toutes les activités de test avec des horodatages à des fins de piste d'audit
- Tester pendant les fenêtres de maintenance pour minimiser l'impact sur les utilisateurs légitimes
- Utiliser la limitation de débit et l'étranglement pour éviter les conditions de déni de service
Éviter
- Ne jamais tester des sites WordPress sans autorisation écrite explicite du propriétaire
- Ne pas exécuter d'analyses agressives sur des sites de production pendant les heures de bureau
- Éviter de tester des sites protégés par WAF sans comprendre les implications de contournement
- Ne pas exfiltrer ou accéder à de véritables données utilisateur pendant les évaluations de sécurité
Foire aux questions
Cette compétence est-elle légale à utiliser ?
Cette compétence est légale lorsqu'elle est utilisée sur des sites WordPress que vous possédez ou pour lesquels vous avez une autorisation écrite explicite de test. Les tests non autorisés violent les lois sur la cybercriminalité dans la plupart des juridictions.
Ai-je besoin d'un jeton API WPScan ?
Un jeton API WPScan gratuit est recommandé pour l'accès à la base de données de vulnérabilités. Sans celui-ci, WPScan peut toujours énumérer les composants WordPress mais ne peut pas identifier les vulnérabilités connues.
Cette compétence peut-elle endommager mon site WordPress ?
Les analyses agressives et les tests d'exploitation peuvent potentiellement causer des perturbations de service. Testez toujours dans un environnement de staging en premier et évitez les systèmes de production pendant les heures de bureau.
De quels outils cette compétence a-t-elle besoin ?
Cette compétence utilise WPScan (scanner WordPress), Metasploit Framework, nmap, et des outils standard comme cURL. WPScan et nmap sont pré-installés dans Kali Linux.
Combien de temps prend une analyse de sécurité WordPress ?
Les analyses de base prennent 2-5 minutes. Les analyses complètes avec vérification des vulnérabilités prennent 10-30 minutes. La durée des tests de mots de passe dépend de la taille de la wordlist et de la limitation de débit.
Puis-je utiliser ceci pour la chasse aux bugs ?
Oui, mais uniquement dans le périmètre défini par le programme de bug bounty. Vérifiez toujours que le programme autorise l'analyse automatisée et suivez toutes les règles du programme.
Détails du développeur
Auteur
sickn33Licence
MIT
Dépôt
https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/wordpress-penetration-testingRéf
main
Structure de fichiers
📄 SKILL.md