ps1-blacklist/wpfather
GitHub: ps1-blacklist/wpfather
WPFather 是一款用 Go 编写的零配置 WordPress 安全扫描器,通过 16 个只读模块对目标站点进行全面漏洞检测与安全侦察,并提供风险评分摘要。
Stars: 0 | Forks: 0
WPFather — WordPress Vulnerability Scanner
WordPress 安全扫描器 · 16 个侦察模块 · 单一二进制文件 · 零配置
WPFather 是一个用 Go 编写的单一二进制 WordPress 安全扫描器和侦察工具。它针对 WordPress 站点运行一组固定的非破坏性、只读检查,并将结果直接输出到终端——无需配置文件,无需标志,无需输出文件。
专为授权的渗透测试、漏洞赏金侦察和 WordPress 加固审计而构建。
Installation
go install github.com/ps1-blacklist/wpfather@latest
Features
WPFather 对每个目标运行 16 个扫描模块:
| 模块 | 检查内容 |
|---|---|
| 🔄 Redirect Chain | 跟随重定向,标记范围/主机变更 |
| 🔒 TLS/SSL | 协议版本、证书过期、自签名检测 |
| 🛡️ WAF/CDN Fingerprint | Cloudflare、Sucuri、Akamai、CloudFront、Fastly |
| 🤖 robots.txt & sitemap | 解析禁止访问的路径以查找敏感引用 |
| 📡 HTTP Methods | 检测危险方法(PUT、DELETE、TRACE、CONNECT) |
| 🍪 Cookie Flags | 缺失 Secure / HttpOnly / SameSite / Path 属性 |
| ⚙️ WordPress Core | 版本泄露、调试模式、readme/install/cron 暴露 |
| 📨 XML-RPC | pingback SSRF 向量、multicall 暴力破解向量、用户验证 |
| 👥 Users | REST API 用户枚举、author-ID 枚举 |
| 🔌 Plugins & Themes | Slug/版本检测、NVD CVE 查找 |
| 📁 Sensitive Files | 备份、.git、.env、配置备份、日志(超过 25 个路径) |
| 📂 Directory Listing | 开放目录索引检测 |
| 🛡️ Security Headers | HSTS、CSP、X-Frame-Options 等 |
| 💧 Info Leaks | 内部 IP、电子邮件、API keys、AWS keys、私钥 |
| 🎯 SSRF Confirmation | 验证针对内部/元数据目标的 pingback SSRF |
每条发现都包含触发它的准确 URL,因此结果可以直接复制粘贴到浏览器或使用 curl 进行手动验证。
Usage
无需标志,无需参数。运行二进制文件并按照提示操作:
wpfather
📥 Your Domain: example.com Type 'yes' to confirm you are authorized to scan example.com:该工具确认授权后,会运行全部 16 个模块,并在发现结果时实时输出,最后附上满分为 100 的风险评分摘要。
Responsible Use
仅对您拥有或获得明确书面授权测试的系统运行 WPFather。未经授权的扫描可能会违反您所在司法管辖区的 CFAA 或同等法律。
Author
由 ps1-blacklist 构建 — Red Squad Bangladesh
🔗 GitHub: github.com/ps1-blacklist
![]()
![]()
用 ❤️ 为安全社区而作
标签:EVTX分析, Go, Ruby工具, WordPress, 实时处理, 密码管理, 日志审计