Навыки wordpress-penetration-testing
🛡️

wordpress-penetration-testing

Средний риск ⚡ Содержит скрипты⚙️ Внешние команды🌐 Доступ к сети

执行 WordPress 安全评估

WordPress 站点面临来自自动化攻击和定向利用的持续安全威胁。此技能提供全面的渗透测试能力,可在攻击者利用之前识别并修复漏洞。

Поддерживает: Claude Codex Code(CC)
⚠️ 59 Плохо
1

Скачать ZIP навыка

2

Загрузить в Claude

Перейдите в Settings → Capabilities → Skills → Upload skill

3

Включите и начните использовать

Протестировать

Использование «wordpress-penetration-testing». 扫描 WordPress 站点的漏洞

Ожидаемый результат:

  • WordPress 版本:6.4.2(最新)
  • 主题:Twenty Twenty-Four 1.0(无已知漏洞)
  • 发现的插件:5 个(2 个存在已知漏洞)
  • - Contact Form 7 5.8.3 - CVE-2023-XXXXX(中等)
  • - WooCommerce 8.5.0(无已知漏洞)
  • 枚举的用户:3 个(admin、editor、author)
  • 建议:更新 Contact Form 7,禁用用户枚举

Использование «wordpress-penetration-testing». 测试 admin 账户的密码强度

Ожидаемый результат:

  • 密码评估结果:
  • 目标:admin 账户
  • 测试的密码:10000 个
  • 结果:在常用词表中未找到密码
  • 强度:强(12+ 字符,混合大小写、数字、符号)
  • 建议:启用双因素认证以获得额外保护

Аудит безопасности

Средний риск
v1 • 2/25/2026

This WordPress penetration testing skill contains intentional security testing patterns including Metasploit, WPScan, nmap, and shell commands. All detected patterns are consistent with legitimate security assessment tools. The skill includes proper legal disclaimers requiring written authorization. Risk is elevated due to exploitation techniques and should include prominent warnings about legal requirements before publication.

1
Просканировано файлов
491
Проанализировано строк
8
находки
1
Всего аудитов

Проблемы высокого риска (2)

SKILL.md:271-287SKILL.md:291-303
Metasploit Framework Integration
The skill includes Metasploit exploit modules for WordPress shell upload and plugin exploitation. These are legitimate penetration testing tools but require explicit authorization and should only be used in controlled environments.
SKILL.md:315
PHP Reverse Shell Code Execution
The skill demonstrates PHP reverse shell injection via theme editor with bash command execution. This technique could be misused for unauthorized system access.
Проблемы среднего риска (2)
SKILL.md:243-262
Credential Brute-Force Capabilities
The skill includes WPScan password attack functionality against WordPress login forms and XML-RPC endpoints. While legitimate for security testing, this could be misused for unauthorized access attempts.
SKILL.md:324-344
Malicious Plugin Creation
The skill demonstrates creating a malicious WordPress plugin with system command execution capabilities. This pattern could be repurposed for persistent backdoor installation.
Проблемы низкого риска (1)
SKILL.md:388-397
Proxy Configuration for Anonymity
The skill includes Tor and HTTP proxy configuration for anonymizing scan traffic. While useful for legitimate security testing, this could indicate intent to evade detection.

Факторы риска

⚡ Содержит скрипты
Конкретные расположения не записаны
⚙️ Внешние команды (1)
SKILL.md:315
🌐 Доступ к сети (3)
SKILL.md:390 SKILL.md:393 SKILL.md:396

Обнаруженные паттерны

Shell Command ExecutionSystem Command Injection via HTTP
Проверено: claude

Оценка качества

38
Архитектура
100
Сопровождаемость
87
Контент
31
Сообщество
28
Безопасность
100
Соответствие спецификации

Что вы можете построить

安全顾问 WordPress 审计

为使用 WordPress 的客户执行全面的安全评估,提供可操作的发现结果和修复指导。

WordPress 开发者安全加固

在部署前测试您自己的 WordPress 站点,以便在攻击者发现之前识别并修复漏洞。

漏洞赏金 WordPress 测试

在漏洞赏金计划范围内系统地测试 WordPress 安装,以发现和报告安全漏洞。

Попробуйте эти промпты

基础 WordPress 安全扫描 
对 [URL] 处的 WordPress 站点执行基础安全扫描。枚举 WordPress 版本、活动主题、已安装的插件和暴露的用户。将所有发现记录在带有风险评级的结构化报告中。
全面漏洞评估 
使用带有 API 令牌的 WPScan 对 [WordPress URL] 进行全面漏洞评估。测试易受攻击的插件、主题、用户枚举和配置错误。为每个发现提供优先级的修复步骤。
密码安全测试 
使用授权的凭据列表测试 [URL] 处 WordPress 用户账户的密码强度。评估密码策略,测试常见的弱密码,并推荐密码策略改进。
完整渗透测试参与 
对 [WordPress URL] 执行完整的渗透测试参与,包括侦察、枚举、漏洞扫描和授权的利用尝试。记录攻击链并提供执行和技术报告。

Лучшие практики

  • 在测试任何您不拥有的 WordPress 站点之前,务必获得书面授权
  • 使用暂存环境进行利用测试,而非生产系统
  • 记录所有测试活动的时间戳以用于审计追踪
  • 在维护窗口期间测试,以最大限度地减少对合法用户的影响
  • 使用速率限制和节流以避免拒绝服务条件

Избегать

  • 切勿在没有所有者明确书面授权的情况下测试 WordPress 站点
  • 不要在营业时间对生产站点运行激进扫描
  • 在不了解绕过含义的情况下,避免测试受 WAF 保护的站点
  • 在安全评估期间不要窃取或访问真实用户数据

Часто задаваемые вопросы

使用此技能合法吗?
当您在自己拥有或已获得明确书面授权测试的 WordPress 站点上使用此技能时,这是合法的。未经授权测试在大多数司法管辖区违反计算机犯罪法。
我需要 WPScan API 令牌吗?
建议使用免费的 WPScan API 令牌以访问漏洞数据库。没有它,WPScan 仍可枚举 WordPress 组件,但无法识别已知漏洞。
此技能会损坏我的 WordPress 站点吗?
激进扫描和利用测试可能会造成服务中断。务必首先在暂存环境中测试,并避免在营业时间针对生产系统。
此技能需要什么工具?
此技能使用 WPScan(WordPress 扫描器)、Metasploit Framework、nmap 以及 cURL 等标准工具。WPScan 和 nmap 已在 Kali Linux 中预装。
WordPress 安全扫描需要多长时间?
基础扫描需要 2-5 分钟。带有漏洞检查的全面扫描需要 10-30 分钟。密码测试持续时间取决于词表大小和速率限制。
我可以将此用于漏洞赏金狩猎吗?
可以,但仅限于漏洞赏金计划定义的范围内。务必验证该计划允许自动化扫描并遵循所有计划规则。

Сведения для разработчиков

Автор

sickn33

Лицензия

MIT

Репозиторий

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/wordpress-penetration-testing

Ссылка

main

Структура файлов

📄 SKILL.md