Hacking: Wordpress
La seguente procedura è a scopo puramente didattico per comprendere come si muovono i malintenzionati e imparare a difendere il proprio sito wordpress conoscendo le loro tecniche. Identificare se il sito usa WordPress Verifica manualmente se l'URL tuodominio.xxx/wp-admin restituisce la pagina di login. Metodo più "nerd": Usa WPScan (spesso preinstallato su Kali Linux): wpscan --url www.sitotarget.xxx Scoprire il Nome Utente Admin (con Burp Suite) Avvia Burp Suite Configura Burp: Crea un nuovo progetto temporaneo Aggiungi l'URL del sito target a Target -> Scope . Configura il Proxy del Browser: Vai alle Impostazioni di Rete -> Proxy Seleziona "Configurazione manuale del proxy" Inserisci IP 127.0.0.1 e Porta 8080 Spunta "Usa questo server proxy per tutti i protocolli" Cattura la Richiesta di Login: In Burp, vai alla scheda Proxy Nel browser (configurato con il proxy), vai alla pagina di login di WordPress ( /wp-login.ph p ) Inserisci cr...