#Nedir ?

Wordpress sitenize kurulu olan eklentileri bulur, o eklentilere ait açık olup olmadığını kontrol eder. Dosyayı web sitenize atmanız ve site adınızı token'la beraber aşağıdaki forma yazmanız gerekiyor.

#Dosya

Aşağıdaki kodu webutisec.php olarak kaydedin ve wordpressin kurulu olduğu dizine atın aşağıdaki kod için üretilmiş token değeriniz : WEB10839657UTI
Tokenin varlığını sorgulayan arkadaşlara; Ürettiğiniz dosyayı tek sefer oluşturup sileceğinizi düşünebilirsiniz test ederken silmeyi ihmal edip yarın silerim x gün silerim derken dosyanın varlığını unutabilirsiniz içerisindeki token değerini sadece siz bileceğiniz için wordpressinize ait eklenti listesini dışardan birisi göremeyecekdir. Bana göre ertesi güne ertelenmiş, zaten,her türlü, kesinlikle hallerizler getirir güvenlik açıklarını (:

<?php
include("wp-config.php");
 
if ( ! function_exists( "get_plugins" ) ) {
	require_once ABSPATH . "wp-admin/includes/plugin.php";
}


$token = "WEB10839657UTI";
if($_GET["token"]==$token)
{
	$all_plugins = get_plugins();

	echo json_encode($all_plugins);
}

?>

#Muayeneyi Başlat

Ayda bir kaç sefer wordpressinizi muayene ettirmeyi unutmayın, çıkışlar sağdan

#Örnek Sonuç

Ayda bir kaç sefer wordpressinizi muayene ettirmeyi unutmayın, çıkışlar sağdan

Eklenti AdıSon Versiyon Kullanılan Versiyon Son güncellenme tarihi Açık Bulunan Sürümler
contact-form-7 4.5.1 4.5.1 2016-09-27T00:03:00.000Z
Contact Form 7 <= 3.7.1 - Security Bypass AUTHBYPASS 3.7.2 Link
Contact Form 7 <= 3.5.2 - File Upload Remote Code Execution UPLOAD 3.5.3 Link
customizer-export-import 0.4 0.4 2015-09-14T01:27:00.000Z
jetpack 4.4.1 3.7.0 2016-11-22T19:19:00.000Z
Jetpack <= 2.9.2 - class.jetpack.php XML-RPC Access Control Bypass BYPASS 2.9.3 Link
Jetpack 3.0-3.4.2 - Cross-Site Scripting (XSS) XSS 3.4.3 Link Link
Jetpack <= 3.5.2 - Unauthenticated DOM Cross-Site Scripting (XSS) XSS 3.5.3 Link
Jetpack <= 3.7.0 - Stored Cross-Site Scripting (XSS) <- Dikkat! XSS 3.7.1 Link Link
Jetpack <= 3.7.0 - Information Disclosure <- Dikkat! UNKNOWN 3.7.1 Link
Jetpack <= 3.9.1 - LaTeX HTML Element XSS XSS 3.9.2 Link Link
Jetpack 2.0-4.0.2 - Shortcode Stored Cross-Site Scripting (XSS) UNKNOWN 4.0.3 Link Link Link
Jetpack <= 4.0.3 - Multiple Vulnerabilities MULTI 4.0.4 Link