Como detectar plugins WP usados ​​em um site

10

É possível detectar a lista de plugins usados ​​em um site WP.

Além disso, além do meu palpite inicial, como pode confirmar o fato de que um blog é realmente desenvolvido pelo WP?


fonte
kochu! dicas muito legais. detectando o WP: tente anexar / wp-admin!
Não tem representante suficiente para responder, pois esta é uma pergunta protegida, mas eu gostaria de dizer que, às vezes, apenas procuro por 'www. [Sitename] / wp-content / plugins' e, se acessível, mostra a lista de plugins . Não funciona em nenhum caso, mas é definitivamente fácil e vale a pena tentar.
21713 Nobita
Você pode encontrá-lo usando wppluginchecker.earthpeople.se

Respostas:

8

Geralmente, você pode detectar o próprio WordPress olhando o código-fonte do site para a meta tag do gerador WordPress:

<meta name="generator" content="WordPress 3.0.1" />

No entanto, alguns sites removem essa tag para ocultar o fato de que estão executando o WP.

Porém, não há uma maneira infalível de detectar a lista de plug-ins em execução em um site. Na IMO, esse é um bônus adicional de segurança - nem todos os desenvolvedores estão tão interessados ​​em atualizar seus sistemas quando as coisas quebram (ou vulnerabilidades surgem) quanto a equipe principal ... se um plug-in expõe uma fraqueza potencial no meu sistema, o último pensamento Eu quero fazer é anunciar esse fato.

No entanto, qualquer plug-in que adicione código à exibição (adicionando scripts, estilos, metatags etc.) pode ser chamado de si mesmo. A maioria dos scripts e estilos serão expostos /wp-content/plugins/{plug-in name}/no URL. Alguns outros sistemas front-end usarão o nome do plug-in em algum tipo de comentário HTML <!-- Begin Super Cool Plug-in Code -->.

Mas, geralmente, não há uma maneira fácil de gerar uma lista de plug-ins usados ​​em um site, a menos que: a) você já saiba quais plug-ins procurar ou b) o proprietário do site queira que você saiba.

EAMann
fonte
pode-se também tentar acessar a subpasta wp-admin e outros arquivos encontrados em uma instalação do WordPress
Tom J Nowell
/readme.html irá revelar o número da versão bem
soulseekah
Houve um tempo em que readme.htmlapenas revelamos a última versão principal. Às vezes, não é atualizado em uma versão de segurança urgente e, como é um arquivo estático, o número da versão não é aumentado. Na maioria das vezes, porém, você está certo. Supondo que ele ainda está no servidor ...
EAMann
3

Eu acrescentaria para procurar também no código-fonte chamadas para o local do tema, o que, por padrão, seria /wp-content/themes/[themename]. Você também pode tentar arquivos WP carregamento padrão que sobraram da instalação tais como license.txtou readme.htmlmas se eles são suficientemente inteligente para ocultar o plug-in e locais temáticos eles provavelmente removido esses arquivos também.

Pru
fonte
2

Para regurgitar e adicionar o que todo mundo disse, parece que existem algumas maneiras de bisbilhotar a versão, o tema e os plugins de outras pessoas no WordPress.

Versão do WordPress:

  1. Isso pode ser encontrado em uma meta tag na cabeça na forma de <meta name="generator" content=
  2. Isso também pode ser encontrado no rodapé, embora seja comentado em algum momento onde você ainda pode visualizá-lo no HTML

Tema WordPress:

  1. A maneira mais fácil é visualizar a fonte e procurar a folha de estilo do tema, que terá todas as informações do tema (nome do tema, autor, site do autor etc.)
  2. Isso também é comum no rodapé de temas gratuitos, para que o desenvolvedor original possa obter um link gratuito de volta ao site

Plugins do WordPress:

  1. A maneira mais fácil é procurar uma página "Eu uso esses plugins do WordPress", que alguns blogueiros fazem.
  2. Você também pode acessar o código-fonte e procurar por scripts e folhas de estilo que possam ser carregados, bem como IDs ou nomes de classes exclusivos inseridos pelos plug-ins. Então class='socialize', <link rel="stylesheet" href=".../wp-content/plugins/socialize/socialize.css" type="text/css" /> e <script type="text/javascript" src=".../wp-content/plugins/socialize/socialize.js"></script> tudo indica que o tema está usando um plug-in chamado Socializar.
Jon
fonte
2

Existem algumas ferramentas que irão forçar todos os plugins wordpress conhecidos.

Basicamente, eles apenas tentam acessar / wp-content / plugins / $ pluginname e se você for proibido, você encontrará o plugin se for um 404, então o plugin não está instalado.

http-wp-plugins.nse - o script nmap faz isso

http://code.google.com/p/cms-explorer/ - assim como esta ferramenta

Este site parece usar os métodos de leitura de código mencionados anteriormente para tentar detectar os plugins http://hackertarget.com/wordpress-security-scan/

PaulK
fonte
Nós onde curiosidades sobre isso também, e fez uma ferramenta pública disponível para força bruta meio verificar um site para plugins: wppluginchecker.earthpeople.se
Pär
1

somando o que foi dito:

detectando o WP: tente anexar / wp-admin ao endereço do site, talvez eles não o tenham alterado

detectando os plugins: Firebug - extensão do firefox :)

Mireille Raad
fonte