#wpscan — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #wpscan, aggregated by home.social.
-
WPScan 4.0.0: We’re Back
----------
Control what gets scanned. Authenticate for complete enumeration. Stream results in real time. Built from[…]
#WordPress #Tools #WPScan -
Aus der nicht enden wollenden Serie: Kinners, tut was für die #itsecurity.
Nicht jeder Treffer ist immer ein Volltreffer, diese Tools gehen dumm und stupide vor. Ja wp-cron.php ist offen, aber ein #honeypot. Das wissen diese Tools halt nicht. Bei uns findet man auch noch andere löchrige Plugins, die sind aber nicht installiert. Hierzu genügt ein einfacher #nginx location Block, den Rest macht das #ids
Ein regelmäßiger Scan gehört einfach dazu!
-
I no longer rely on Jetpack Protect. Instead, I’ve built a lean, hardened WordPress security stack using mod_security, Fail2Ban, WPScan, and a few carefully configured rules. No black boxes. No bloat. Just tools I trust.
#WordPress #Infosec #SelfHosting #WebSecurity #JetpackProtect #Fail2Ban #modSecurity #WPScan
https://islandinthenet.com/building-my-own-wordpress-security-stack/
-
Has anyone ever used #wpscan against a multi-site #wordpress setup and gotten actual results from it? I'm working on a script that will tell me if any plugins are out of date and while wpscan works great on most of the sites I have to monitor, it doesn't seem to work at all on the one multi-site I have to scan.
-
Hello everyone.
In today's article, we examine in detail Wpscan, which is used in WordPress scans:https://denizhalil.com/2024/10/15/wpscan-wordpress-security/
#websecurity #webapplicationsecurity #cybersecurity #ethicalhacking #pentesting #wpscan
-
Как обеспечить безопасность сайта на WordPress: инструменты для аудита и мониторинга
WordPress — самая популярная система управления контентом, поэтому чаще других подвергается атакам. В этой статье разберем инструменты, которые помогут проверить безопасность и защитить сайт на WordPress. В статье опишу: ▪️ Инструменты для проверки изменений в файловой системе Linux ▪️ Wazuh и Lynis — инструменты для мониторинга безопасности ▪️ Сервисы для проверки на вредоносное ПО ▪️ WPScan — проверяем сайт на уязвимости ▪️ Плагин Wordfence — для защиты WordPress ▪️ Регулярное обновление системы ▪️ Как автоматически обновлять пакеты в ispmanager ▪️ Кратко — как защитить сайт на WordPress Читать
https://habr.com/ru/companies/ispmanager/articles/816213/
#информационная_безопасность #мониторинг_безопасности #информационные_технологии #ispmanager #isp #aide #tripwire #wazuh #lynis #wpscan
-
Как обеспечить безопасность сайта на WordPress: инструменты для аудита и мониторинга
WordPress — самая популярная система управления контентом, поэтому чаще других подвергается атакам. В этой статье разберем инструменты, которые помогут проверить безопасность и защитить сайт на WordPress. В статье опишу: ▪️ Инструменты для проверки изменений в файловой системе Linux ▪️ Wazuh и Lynis — инструменты для мониторинга безопасности ▪️ Сервисы для проверки на вредоносное ПО ▪️ WPScan — проверяем сайт на уязвимости ▪️ Плагин Wordfence — для защиты WordPress ▪️ Регулярное обновление системы ▪️ Как автоматически обновлять пакеты в ispmanager ▪️ Кратко — как защитить сайт на WordPress Читать
https://habr.com/ru/companies/ispmanager/articles/816213/
#информационная_безопасность #мониторинг_безопасности #информационные_технологии #ispmanager #isp #aide #tripwire #wazuh #lynis #wpscan
-
Как обеспечить безопасность сайта на WordPress: инструменты для аудита и мониторинга
WordPress — самая популярная система управления контентом, поэтому чаще других подвергается атакам. В этой статье разберем инструменты, которые помогут проверить безопасность и защитить сайт на WordPress. В статье опишу: ▪️ Инструменты для проверки изменений в файловой системе Linux ▪️ Wazuh и Lynis — инструменты для мониторинга безопасности ▪️ Сервисы для проверки на вредоносное ПО ▪️ WPScan — проверяем сайт на уязвимости ▪️ Плагин Wordfence — для защиты WordPress ▪️ Регулярное обновление системы ▪️ Как автоматически обновлять пакеты в ispmanager ▪️ Кратко — как защитить сайт на WordPress Читать
https://habr.com/ru/companies/ispmanager/articles/816213/
#информационная_безопасность #мониторинг_безопасности #информационные_технологии #ispmanager #isp #aide #tripwire #wazuh #lynis #wpscan
-
Tag zsam 👋
weiter geht die Reise. Gestern Spaß mit #gobuster heute Spaß mit #WPScan. Es gibt schon richtig gute und viele Tools. Habe schon einige kennengelernt und die praktischen Aufgaben sind auch gut. Nur fehlt mir irgendwie auf das Kapitel zugeschnittene freiwillige zusätzliche praktische Aufgaben. 🤔
Naja...man kann ja nicht alles haben.Morgen schaue ich mir dann #nikoto genauer an. 👀
[32🔥] #tryhackme
-
Tag zsam 👋
weiter geht die Reise. Gestern Spaß mit #gobuster heute Spaß mit #WPScan. Es gibt schon richtig gute und viele Tools. Habe schon einige kennengelernt und die praktischen Aufgaben sind auch gut. Nur fehlt mir irgendwie auf das Kapitel zugeschnittene freiwillige zusätzliche praktische Aufgaben. 🤔
Naja...man kann ja nicht alles haben.Morgen schaue ich mir dann #nikoto genauer an. 👀
[32🔥] #tryhackme
-
Tag zsam 👋
weiter geht die Reise. Gestern Spaß mit #gobuster heute Spaß mit #WPScan. Es gibt schon richtig gute und viele Tools. Habe schon einige kennengelernt und die praktischen Aufgaben sind auch gut. Nur fehlt mir irgendwie auf das Kapitel zugeschnittene freiwillige zusätzliche praktische Aufgaben. 🤔
Naja...man kann ja nicht alles haben.Morgen schaue ich mir dann #nikoto genauer an. 👀
[32🔥] #tryhackme
-
During an investigation of a series of website being actively compromised we noticed the constant presence of the Royal Elementor Addons and Templates plugin installed. And all sites had at least one malicious file dropped into the /wpr‑addons/forms/ directory.
As we reviewed the plugin it was found that the upload ajax action wasn’t properly validating the uploaded file’s extensions, allowing bad actors to bypass the check and drop malicious files to the /wpr‑addons/forms/ directory.
Upon identifying the vulnerability, we promptly alerted the plugin development team, who released version 1.3.79 to fix the issue. It is crucial for administrators to ensure their WordPress installations are fully updated to safeguard against this vulnerability.
More on the WPScan blog...
#infosec #wordpress #wpscan -
During a recent team gathering in Belgium, we had an impromptu Capture The Flag game that included a challenge with an SQL Injection vulnerability occurring inside an INSERT statement, meaning attackers could inject random stuff into the targeted table’s columns, and query information from the database, the intended “flag” being the credentials of a user on the affected blog.
The vulnerable SQL query inserted new rows into the wp_termmeta table, which while we knew it could potentially lead to Object Injection attacks due to the inserted metadata being passed through maybe_unserialize upon retrieval, we didn’t think too much about it since the common thought on the matter was that there was no known current RCE gadget chain in WordPress Core, and thus the challenge was “safe” since it didn’t use any other external plugins.
This proved to be enough to win that flag, however, the thought that there might be an alternative solution to the challenge piqued our curiosity. What if there was a working RCE gadget chain in Core waiting to be found?
Turns out, there was a way, which the WordPress Security Team fixed on version 6.3.2 by preventing several classes used in the final chain from either being unserialized at all, or restricting what some of their unserialized properties may contain.
More on the WPScan blog...
#infosec #wordpress #wpscan -
During a thorough analysis of WordPress’ internals, we discovered a subtle bug that allowed unauthenticated attackers to discern the email addresses of users who have published public posts on an affected website.
If successfully exploited, attackers could gather email addresses, putting user privacy at risk.
Upon identifying the vulnerability, we promptly alerted the WordPress team, who released version 6.3.2 to fix the issue. It is crucial for administrators to ensure their WordPress installations are fully updated to safeguard against this vulnerability.
More at the WPScan blog...
#infosec #wordpress #wpscan -
#^Hacking Campaign Actively Exploiting Ultimate Member Plugin - WPScan WordPress SecurityRecently, Automattic’s WP.cloud and Pressable.com platforms identified a trend in compromised sites, where rogue new administrator accounts kept appearing in the affected sites. After some investigation, we witnessed a post on the WordPress.org support forums by Slavic Dragovtev discussing a potential security issue, specifically a Privilege Escalation vulnerability, with the Ultimate Member plugin (200,000+ active installs). Worryingly, there were indications that this issue was being actively exploited by malicious actors.
In response to the vulnerability report, the creators of the plugin promptly released a new version, 2.6.4, intending to fix the problem. However, upon investigating this update, we found numerous methods to circumvent the proposed patch, implying the issue is still fully exploitable.
This is a nasty one! If you have a WordPress site with the Ultimate Member plugin installed, disable it immediately until the fix in version 2.6.7 has been confirmed.
Update: The latest version 2.6.7 has been confirmed to fix the issue. Anyone running the plugin should upgrade immediately, this vulnerability is being actively exploited!
Update 2: Also check the official advisory from the plugin vendor for further actions to take after the plugin has been updated: https://docs.ultimatemember.com/article/1866-security-incident-update-and-recommended-actions
#WordPress #WPScan #infosec #security #privesc -
Für WordPress-Kenner dürfte die Übernahme keine Überraschung sein. WPScan kann das Angebot von Automattic ergänzen. Fraglich bleibt die Art der Integration.
Automattic übernimmt den WordPress-Sicherheitsscanner WPScan