WPScan：WordPress 漏洞扫描全攻略 [5 步教学]

约 1300 字大约 4 分钟

2026-04-10

作者： heuctf 更新日期： 2026年 4月 10日 分类： 安全 (Security) 标签： #kali_linux, #security

什么是 WPScan？

截至 2021 年，全球 39.5% 的网站（超过 6400 万个）由 WordPress 驱动。在所有使用内容管理系统（CMS）的网站中，WordPress 占据了 60% 的份额。显然，它是网页开发中最流行的 CMS。然而，这引发了一个核心担忧：你的 WordPress 网站安全吗？

WPScan 是一款专门针对 WordPress 的漏洞扫描器（渗透测试工具）。它利用自 2014 年以来建立的 WPScan 漏洞数据库，扫描 WordPress 核心程序、插件和主题中的已知风险。该数据库由安全专家和社区持续更新，目前包含超过 21,000 个已知漏洞。

注意： 开发者应定期使用 WPScan 扫描自建站点。除了密码暴力破解外，WPScan 本身不会对网站造成破坏，但它揭示的信息（如 Apache/NGINX 的目录列表泄露）极易被黑客利用。

在 Kali Linux 的完整版中，WPScan 通常是预装的。如果没有，请运行：

$ sudo apt update
$ sudo apt install wpscan

WPScan 的使用非常直接：调用工具 -> 添加参数 -> 目标 URL。

注：本文以 http://yourSite.com 作为示例域名，请替换为你的目标站点。

$ wpscan --url http://yoursite.com

首次运行时，它会自动更新漏洞数据库。扫描完成后，它会输出以下信息：

排错提示： 如果遇到 “Scan Aborted: The target is responding with a 403 (被防火墙/WAF拦截)”，请尝试使用随机 User-Agent：

$ wpscan --url http://yoursite.com --random-user-agent

基础扫描仅列出插件，不会告诉你它们是否存在漏洞。为此，你需要 WPScan API 令牌。

$ wpscan --url http://yourSite.com -e vp --api-token 你的TOKEN

要扫描有漏洞的主题，请将参数改为 -e vt：

$ wpscan --url http://yourSite.com -e vt --api-token 你的TOKEN

枚举用户名可以防范大多数密码攻击。如果黑客不知道用户名，他们甚至无法开始暴力破解。

$ wpscan --url http://yourSite.com -e u

u 代表 Users。WPScan 会通过分析博文作者、URL 等技术提取用户名。 安全建议： 不要让登录名和显示在文章上的“公开名称”一致。

拿到用户名后，你可以配合字典（Wordlist）进行暴力破解。你可以使用 Kali 自带的字典 /usr/share/wordlists，或用 Crunch 生成。

# 语法：--passwords 后面跟着字典路径
$ wpscan --url http://yourSite.com --passwords /path/to/wordlist.txt

重要提示： 暴力破解会对服务器造成较大压力。在进行渗透测试前，必须获得管理员授权。

WordPress 复杂的插件和主题生态增大了受攻击面。从服务器配置到第三方插件的安全性，每一个环节都至关重要。WPScan 是测试这些环节的必备利器，它能帮助你先于黑客发现并修复漏洞。

相关阅读：