ps1-blacklist/wpfather

GitHub: ps1-blacklist/wpfather

WPFather 是一款用 Go 编写的零配置 WordPress 安全扫描器,通过 16 个只读模块对目标站点进行全面漏洞检测与安全侦察,并提供风险评分摘要。

Stars: 0 | Forks: 0

Shield WPFather — WordPress Vulnerability Scanner

Go Version Latest Release GitHub Stars License Platform

WordPress 安全扫描器 · 16 个侦察模块 · 单一二进制文件 · 零配置


WPFather 是一个用 Go 编写的单一二进制 WordPress 安全扫描器和侦察工具。它针对 WordPress 站点运行一组固定的非破坏性、只读检查,并将结果直接输出到终端——无需配置文件,无需标志,无需输出文件。

专为授权的渗透测试、漏洞赏金侦察和 WordPress 加固审计而构建。


Package Installation

go install github.com/ps1-blacklist/wpfather@latest

Star Features

WPFather 对每个目标运行 16 个扫描模块:

模块 检查内容
🔄 Redirect Chain跟随重定向,标记范围/主机变更
🔒 TLS/SSL协议版本、证书过期、自签名检测
🛡️ WAF/CDN FingerprintCloudflare、Sucuri、Akamai、CloudFront、Fastly
🤖 robots.txt & sitemap解析禁止访问的路径以查找敏感引用
📡 HTTP Methods检测危险方法(PUT、DELETE、TRACE、CONNECT)
🍪 Cookie Flags缺失 Secure / HttpOnly / SameSite / Path 属性
⚙️ WordPress Core版本泄露、调试模式、readme/install/cron 暴露
📨 XML-RPCpingback SSRF 向量、multicall 暴力破解向量、用户验证
👥 UsersREST API 用户枚举、author-ID 枚举
🔌 Plugins & ThemesSlug/版本检测、NVD CVE 查找
📁 Sensitive Files备份、.git.env、配置备份、日志(超过 25 个路径)
📂 Directory Listing开放目录索引检测
🛡️ Security HeadersHSTS、CSP、X-Frame-Options 等
💧 Info Leaks内部 IP、电子邮件、API keys、AWS keys、私钥
🎯 SSRF Confirmation验证针对内部/元数据目标的 pingback SSRF

每条发现都包含触发它的准确 URL,因此结果可以直接复制粘贴到浏览器或使用 curl 进行手动验证。


Rocket Usage

无需标志,无需参数。运行二进制文件并按照提示操作:

wpfather

📥 Your Domain: example.com

Type 'yes' to confirm you are authorized to scan example.com:

该工具确认授权后,会运行全部 16 个模块,并在发现结果时实时输出,最后附上满分为 100 的风险评分摘要。


Warning Responsible Use

仅对您拥有或获得明确书面授权测试的系统运行 WPFather。未经授权的扫描可能会违反您所在司法管辖区的 CFAA 或同等法律。


Technologist Author

ps1-blacklist 构建 — Red Squad Bangladesh

🔗 GitHub: github.com/ps1-blacklist


Red Heart Thumbs Up

用 ❤️ 为安全社区而作

标签:EVTX分析, Go, Ruby工具, WordPress, 实时处理, 密码管理, 日志审计