技能 wordpress-penetration-testing
🛡️

wordpress-penetration-testing

中風險 ⚡ 包含腳本⚙️ 外部命令🌐 網路存取

執行 WordPress 安全評估

WordPress 網站面臨來自自動化攻擊和定向利用的持續安全威脅。此技能提供全面的滲透測試能力,可在攻擊者利用漏洞之前識別並修復這些漏洞。

支援: Claude Codex Code(CC)
⚠️ 59
1

下載技能 ZIP

2

在 Claude 中上傳

前往 設定 → 功能 → 技能 → 上傳技能

3

開啟並開始使用

測試它

正在使用「wordpress-penetration-testing」。 Scan WordPress site for vulnerabilities

預期結果:

  • WordPress Version: 6.4.2 (Latest)
  • Theme: Twenty Twenty-Four 1.0 (No known vulnerabilities)
  • Plugins Found: 5 (2 with known vulnerabilities)
  • - Contact Form 7 5.8.3 - CVE-2023-XXXXX (Medium)
  • - WooCommerce 8.5.0 (No known vulnerabilities)
  • Users Enumerated: 3 (admin, editor, author)
  • Recommendations: Update Contact Form 7, disable user enumeration

正在使用「wordpress-penetration-testing」。 Test password strength for admin account

預期結果:

  • Password Assessment Results:
  • Target: admin account
  • Passwords Tested: 10000
  • Result: Password NOT found in common wordlist
  • Strength: Strong (12+ characters, mixed case, numbers, symbols)
  • Recommendation: Enable two-factor authentication for additional protection

安全審計

中風險
v1 • 2/25/2026

This WordPress penetration testing skill contains intentional security testing patterns including Metasploit, WPScan, nmap, and shell commands. All detected patterns are consistent with legitimate security assessment tools. The skill includes proper legal disclaimers requiring written authorization. Risk is elevated due to exploitation techniques and should include prominent warnings about legal requirements before publication.

1
已掃描檔案
491
分析行數
8
發現項
1
審計總數

高風險問題 (2)

SKILL.md:271-287SKILL.md:291-303
Metasploit Framework Integration
The skill includes Metasploit exploit modules for WordPress shell upload and plugin exploitation. These are legitimate penetration testing tools but require explicit authorization and should only be used in controlled environments.
SKILL.md:315
PHP Reverse Shell Code Execution
The skill demonstrates PHP reverse shell injection via theme editor with bash command execution. This technique could be misused for unauthorized system access.
中風險問題 (2)
SKILL.md:243-262
Credential Brute-Force Capabilities
The skill includes WPScan password attack functionality against WordPress login forms and XML-RPC endpoints. While legitimate for security testing, this could be misused for unauthorized access attempts.
SKILL.md:324-344
Malicious Plugin Creation
The skill demonstrates creating a malicious WordPress plugin with system command execution capabilities. This pattern could be repurposed for persistent backdoor installation.
低風險問題 (1)
SKILL.md:388-397
Proxy Configuration for Anonymity
The skill includes Tor and HTTP proxy configuration for anonymizing scan traffic. While useful for legitimate security testing, this could indicate intent to evade detection.

風險因素

⚡ 包含腳本
未記錄任何特定位置
⚙️ 外部命令 (1)
SKILL.md:315
🌐 網路存取 (3)
SKILL.md:390 SKILL.md:393 SKILL.md:396

偵測到的模式

Shell Command ExecutionSystem Command Injection via HTTP
審計者: claude

品質評分

38
架構
100
可維護性
87
內容
31
社群
28
安全
100
規範符合性

你能建構什麼

安全顧問 WordPress 稽核

為執行 WordPress 的客戶提供全面的安全評估,提供可操作的發現和修復指導。

WordPress 開發者安全強化

在部署之前測試您自己的 WordPress 網站,以在攻擊者發現漏洞之前識別並修復這些漏洞。

Bug Bounty WordPress 測試

系統性地測試在 bug bounty 計劃範圍內的 WordPress 安裝,以發現並報告安全漏洞。

試試這些提示

基本 WordPress 安全掃描 
對 [URL] 的 WordPress 網站執行基本安全掃描。列舉 WordPress 版本、作用中的主題、已安裝的外掛和暴露的使用者。將所有發現記錄在具有風險評級的結構化報告中。
全面漏洞評估 
使用 WPScan 和 API token 對 [WordPress URL] 進行全面的漏洞評估。測試有漏洞的外掛、主題、使用者列舉和錯誤配置。為每個發現提供優先排序的修復步驟。
密碼安全測試 
使用授權的帳號密碼清單測試 [URL] 上 WordPress 使用者帳號的密碼強度。評估密碼策略,測試常見的弱密碼,並建議密碼策略改進。
完整滲透測試專案 
對 [WordPress URL] 執行完整的滲透測試專案,包括偵查、列舉、漏洞掃描和授權的利用嘗試。記錄攻擊鏈並提供執行和技術報告。

最佳實務

  • 在測試非您擁有的任何 WordPress 網站之前,務必取得書面授權
  • 使用測試環境進行利用測試,而非正式系統
  • 為稽核追蹤目的,使用時間戳記記錄所有測試活動
  • 在維護時段進行測試,以減少對正常使用者的影響
  • 使用速率限制和節流以避免服務中斷條件

避免

  • 切勿在未經網站所有者明確書面授權的情況下測試 WordPress 網站
  • 不要在營業時間對正式網站執行積極掃描
  • 避免在不了解繞過影響的情況下測試受 WAF 保護的網站
  • 不要在安全評估期間外洩或存取真實使用者資料

常見問題

此技能是否合法使用?
此技能在用於您擁有的或獲得明確書面授權測試的 WordPress 網站上是合法的。未經授權的測試在大多數司法管轄區都會違反電腦犯罪法。
我需要 WPScan API token 嗎?
建議使用免費的 WPScan API token 來存取漏洞資料庫。沒有它,WPScan 仍然可以列舉 WordPress 元件,但無法識別已知漏洞。
此技能會損壞我的 WordPress 網站嗎?
積極掃描和利用測試可能會導致服務中斷。務必先在測試環境中測試,並避免在營業時間對正式系統進行測試。
此技能需要哪些工具?
此技能使用 WPScan (WordPress 掃描器)、Metasploit Framework、nmap 和 cURL 等標準工具。WPScan 和 nmap 預先安裝在 Kali Linux 中。
WordPress 安全掃描需要多長時間?
基本掃描需要 2-5 分鐘。進行漏洞檢查的全面掃描需要 10-30 分鐘。密碼測試持續時間取決於密碼字典大小和速率限制。
我可以將此用於 bug bounty 狩獵嗎?
可以,但只能在 bug bounty 計劃定義的範圍內。務必驗證該計劃允許自動化掃描,並遵循所有計劃規則。

開發者詳情

作者

sickn33

授權

MIT

儲存庫

https://github.com/sickn33/antigravity-awesome-skills/tree/main/skills/wordpress-penetration-testing

引用

main

檔案結構

📄 SKILL.md