技能 wordpress-penetration-testing
🛡️

wordpress-penetration-testing

中风险 ⚡ 包含脚本⚙️ 外部命令🌐 网络访问

执行 WordPress 安全评估

WordPress 站点面临来自自动化攻击和定向利用的持续安全威胁。此技能提供全面的渗透测试能力,可在攻击者利用之前识别并修复漏洞。

支持: Claude Codex Code(CC)
⚠️ 62
1

下载技能 ZIP

2

在 Claude 中上传

前往 设置 → 功能 → 技能 → 上传技能

3

开启并开始使用

测试它

正在使用“wordpress-penetration-testing”。 扫描 WordPress 站点的漏洞

预期结果:

  • WordPress 版本:6.4.2(最新)
  • 主题:Twenty Twenty-Four 1.0(无已知漏洞)
  • 发现的插件:5 个(2 个存在已知漏洞)
  • - Contact Form 7 5.8.3 - CVE-2023-XXXXX(中等)
  • - WooCommerce 8.5.0(无已知漏洞)
  • 枚举的用户:3 个(admin、editor、author)
  • 建议:更新 Contact Form 7,禁用用户枚举

正在使用“wordpress-penetration-testing”。 测试 admin 账户的密码强度

预期结果:

  • 密码评估结果:
  • 目标:admin 账户
  • 测试的密码:10000 个
  • 结果:在常用词表中未找到密码
  • 强度:强(12+ 字符,混合大小写、数字、符号)
  • 建议:启用双因素认证以获得额外保护

安全审计

中风险
v1 • 2/25/2026

This WordPress penetration testing skill contains intentional security testing patterns including Metasploit, WPScan, nmap, and shell commands. All detected patterns are consistent with legitimate security assessment tools. The skill includes proper legal disclaimers requiring written authorization. Risk is elevated due to exploitation techniques and should include prominent warnings about legal requirements before publication.

1
已扫描文件
491
分析行数
8
发现项
1
审计总数

高风险问题 (2)

SKILL.md:271-287SKILL.md:291-303
Metasploit Framework Integration
The skill includes Metasploit exploit modules for WordPress shell upload and plugin exploitation. These are legitimate penetration testing tools but require explicit authorization and should only be used in controlled environments.
SKILL.md:315
PHP Reverse Shell Code Execution
The skill demonstrates PHP reverse shell injection via theme editor with bash command execution. This technique could be misused for unauthorized system access.
中风险问题 (2)
SKILL.md:243-262
Credential Brute-Force Capabilities
The skill includes WPScan password attack functionality against WordPress login forms and XML-RPC endpoints. While legitimate for security testing, this could be misused for unauthorized access attempts.
SKILL.md:324-344
Malicious Plugin Creation
The skill demonstrates creating a malicious WordPress plugin with system command execution capabilities. This pattern could be repurposed for persistent backdoor installation.
低风险问题 (1)
SKILL.md:388-397
Proxy Configuration for Anonymity
The skill includes Tor and HTTP proxy configuration for anonymizing scan traffic. While useful for legitimate security testing, this could indicate intent to evade detection.

风险因素

⚡ 包含脚本
未记录任何特定位置
⚙️ 外部命令 (1)
SKILL.md:315
🌐 网络访问 (3)
SKILL.md:390 SKILL.md:393 SKILL.md:396

检测到的模式

Shell Command ExecutionSystem Command Injection via HTTP
审计者: claude

质量评分

38
架构
100
可维护性
87
内容
50
社区
28
安全
100
规范符合性

你能构建什么

安全顾问 WordPress 审计

为使用 WordPress 的客户执行全面的安全评估,提供可操作的发现结果和修复指导。

WordPress 开发者安全加固

在部署前测试您自己的 WordPress 站点,以便在攻击者发现之前识别并修复漏洞。

漏洞赏金 WordPress 测试

在漏洞赏金计划范围内系统地测试 WordPress 安装,以发现和报告安全漏洞。

试试这些提示

基础 WordPress 安全扫描 
对 [URL] 处的 WordPress 站点执行基础安全扫描。枚举 WordPress 版本、活动主题、已安装的插件和暴露的用户。将所有发现记录在带有风险评级的结构化报告中。
全面漏洞评估 
使用带有 API 令牌的 WPScan 对 [WordPress URL] 进行全面漏洞评估。测试易受攻击的插件、主题、用户枚举和配置错误。为每个发现提供优先级的修复步骤。
密码安全测试 
使用授权的凭据列表测试 [URL] 处 WordPress 用户账户的密码强度。评估密码策略,测试常见的弱密码,并推荐密码策略改进。
完整渗透测试参与 
对 [WordPress URL] 执行完整的渗透测试参与,包括侦察、枚举、漏洞扫描和授权的利用尝试。记录攻击链并提供执行和技术报告。

最佳实践

  • 在测试任何您不拥有的 WordPress 站点之前,务必获得书面授权
  • 使用暂存环境进行利用测试,而非生产系统
  • 记录所有测试活动的时间戳以用于审计追踪
  • 在维护窗口期间测试,以最大限度地减少对合法用户的影响
  • 使用速率限制和节流以避免拒绝服务条件

避免

  • 切勿在没有所有者明确书面授权的情况下测试 WordPress 站点
  • 不要在营业时间对生产站点运行激进扫描
  • 在不了解绕过含义的情况下,避免测试受 WAF 保护的站点
  • 在安全评估期间不要窃取或访问真实用户数据

常见问题

使用此技能合法吗?
当您在自己拥有或已获得明确书面授权测试的 WordPress 站点上使用此技能时,这是合法的。未经授权测试在大多数司法管辖区违反计算机犯罪法。
我需要 WPScan API 令牌吗?
建议使用免费的 WPScan API 令牌以访问漏洞数据库。没有它,WPScan 仍可枚举 WordPress 组件,但无法识别已知漏洞。
此技能会损坏我的 WordPress 站点吗?
激进扫描和利用测试可能会造成服务中断。务必首先在暂存环境中测试,并避免在营业时间针对生产系统。
此技能需要什么工具?
此技能使用 WPScan(WordPress 扫描器)、Metasploit Framework、nmap 以及 cURL 等标准工具。WPScan 和 nmap 已在 Kali Linux 中预装。
WordPress 安全扫描需要多长时间?
基础扫描需要 2-5 分钟。带有漏洞检查的全面扫描需要 10-30 分钟。密码测试持续时间取决于词表大小和速率限制。
我可以将此用于漏洞赏金狩猎吗?
可以,但仅限于漏洞赏金计划定义的范围内。务必验证该计划允许自动化扫描并遵循所有计划规则。

开发者详情

作者

sickn33

许可证

MIT

仓库

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/wordpress-penetration-testing

引用

main

文件结构

📄 SKILL.md