WordPress -自定义插件的安全测试

Question

我正在为我的客户构建一个自定义插件，它部分基于woocommerce，它将使用一些来自woocommerce的函数或钩子。最后，我想测试我的插件的安全性。有没有人能建议我有什么方法可以在自定义插件上运行安全测试？提前谢谢。

Answer 1

有一些漏洞测试工具，比如Vega，您可能会发现它们很有用。OWASP制作ZAP，我很喜欢。另一个人提到了Arachni。无论哪种方式，漏洞测试都无法找到所有内容，因此您应该在开发过程中注意安全措施。

实际上，在开发之前，您应该熟悉常见的漏洞(SQL注入、XSS、CSRF)，包括OWASP Top 10 Vulnerabilities中的漏洞。

另一件需要注意的事情是，WP Scan是一个针对WordPress的渗透测试工具，但是它更多地关注配置漏洞，因此不会对您有所帮助。WPScan还运行WPVulnDB，它列出了WordPress核心文件、主题和插件中的已知漏洞。