Comment détecter les plugins WP utilisés sur un site

Question

Comment détecter les plugins WP utilisés sur un site

- 10
- 36054 2010-10-19
Est-ilpossible de détecter la liste desplugins utilisés sur un site WP.

Deplus,au-delà demonintuitioninitiale,comment confirmer qu'unblogestbien propulsépar WP?

Is it at all possible to detect the list of plugins used on a WP site.

Also, beyond my initial hunch, how can confirm for fact that a blog is indeed powered by WP?

plugins

- kochu!trèsbons conseils.détection de WP:essayez d'ajouter/wp-admin!
  
  kochu! very nice tips. detecting WP : try appending /wp-admin !
  - 0
  - 2012-03-03
- Jen'aipas assez de représentantspour répondre car c'est une questionprotégée,maisj'aimerais dire queparfoisje cherche simplement «www. [Nom du site]/wp-content/plugins»et s'ilest accessible,il affiche la liste desplugins.Celane fonctionnepas danstous les casmais c'est vraimentfacileet ça vaut le coup d'essayer.
  
  Don't have enough rep to answer as this is a protected question but I'd like to say that at times i just look for 'www.[sitename]/wp-content/plugins' and if accessible it shows the list of plugins. Does not work in any case but it's definitely easy and worth trying.
  - 0
  - 2013-06-19
  - Nobita
- Vouspouvez letrouveren utilisant http://wppluginchecker.earthpeople.se/
  
  You can find it using http://wppluginchecker.earthpeople.se/
  - 0
  - 2014-09-19

5 réponses

votes

EAMann · Answer 1 · 2010-10-19

8

2010-10-19

Habituellement,vouspouvez détecter WordPress lui-mêmeen regardant le code source du sitepour labalisemeta dugénérateur WordPress:

 <meta name="generator" content="WordPress 3.0.1" />

Cependant,certains sites suppriment cettebalisepour cachez lefait qu'ilsexécutent WP.

Iln'y a cependant aucunmoyeninfaillible de détecter la liste desplug-insen cours d'exécution sur un site. IMO c'est unbonus de sécurité supplémentaire -tous les développeursne sontpas aussi désireux demettre àjour leurs systèmes lorsque les choses se cassent (ou que des vulnérabilités surgissent) que l'équipeprincipale ... si unplug-inexpose unefaiblessepotentielle surmon système,le la dernière queje veuxfaireest d'annoncer cefait.

Cependant,toutplug-in qui ajoute du code à l'affichage (ajout de scripts,de styles,debalisesmeta,etc.) peut s'appeler. Laplupart des scriptset des stylesexposeront /wp-content/plugins/{plug-in name}/ dans l'URL. Certains autres systèmesfrontaux utiliseront lenom duplug-in dans une sorte de commentaire HTML comme .

Mais,en général,iln'y apas demoyenfacile degénérer une liste deplug-ins utilisés sur un site àmoins que a) vousne sachiez déjà quelsplug-ins rechercher oub) lepropriétaire du site souhaite que vous sachiez.

Usually, you can detect WordPress itself by looking at the site's source code for the WordPress generator meta tag:

<meta name="generator" content="WordPress 3.0.1" />

However, some sites remove this tag to hide the fact that they're running WP.

There's no foolproof way to detect the list of plug-ins that are running on a site, though. IMO this is an added security bonus - not all developers are as keen on updating their systems when things break (or vulnerabilities crop up) as the core team ... if a plug-in exposes a potential weakness on my system, the last think I want to do is advertise that fact.

However, any plug-in that adds code to the display (adding scripts, styles, meta tags, etc) might call itself out. Most scripts and styles will expose /wp-content/plugins/{plug-in name}/ in the URL. Some other front-end systems will use the name of the plug-in in some kind of an HTML comment like .

But, generally, there's no easy way to generate a list of plug-ins used on a site unless a) you already know which plug-ins to look for or b) the site owner wants you to know.

onpeut égalementessayer d'aller dans le sous-dossier wp-adminet d'autresfichierstrouvés dans uneinstallation WordPress

one can also try going to the wp-admin subfolder and other files found in a WordPress install
- 0
- 2012-02-13
- Tom J Nowell
/readme.html révélera également lenuméro de version

/readme.html will reveal the version number as well
- 0
- 2012-03-12
- soulseekah
Ilfut untemps où `readme.html`ne révélait que la dernière versionmajeure.Parfois,iln'estpasmis àjour dans une version de sécurité urgenteet,commeil s'agit d'unfichier statique,lenuméro de versionn'estpasmodifié.Leplus souvent,cependant,vous avez raison.En supposant qu'il soittoujours sur le serveur ...

There was a time when `readme.html` only revealed the latest major version. Sometimes, it doesn't get updated in an urgent security release and, since it's a static file, the version number doesn't get bumped. More often than not, though, you're right. Assuming it's still on the server ...
- 0
- 2012-03-12
- EAMann

Pru · Answer 2 · 2010-10-20

3

2010-10-20

J'ajouteraispour rechercher également dans le code source les appels à l'emplacement de leurthème,quipar défaut serait /wp-content/themes/[themename].Vouspouvez égalementessayer de charger lesfichiers WPpar défaut restants de l'installation,tels que license.txt ou readme.html,mais s'ils sont suffisammentintelligentspourmasquer leplug-inetemplacements dethème,ils ontprobablement également supprimé cesfichiers.

Jon · Answer 3 · 2010-10-23

2

2010-10-23

Pour régurgiteret ajouter à ce quetout lemonde a dit,il semble qu'ilexisteplusieursfaçons defouiner sur la version,lethèmeet lesplugins WordPress d'autrespersonnes.

Version WordPress:

Celapeut êtretrouvé dans unebalise Meta dans latête sous laforme de <meta name="generator" content=
Celapeut également êtretrouvé dans lepied depagebien que ce soitparfois commenté où vouspouvezencore l'afficher dans le HTML

Thème WordPress:

Lemoyen leplus simpleest d'afficher la source et recherchez lafeuille de style duthème qui auratout lethème informations qu'il contient (nom duthème,auteur, Site de l'auteur,etc.)
Cela setrouve également couramment dans le pied depage desthèmesgratuits afin que le développeur originalpeut obtenir un lien vers leur site Web

Plugins WordPress:

Lemoyen leplus simpleest de rechercher un "I utiliser cesplugins WordPress "page ce quefont certainsblogueurs.
Vouspouvez égalementpasserpar la source codeet recherchez les scriptset feuilles de style quipeuvent être chargées comme ainsi quetoutidentifiant ou classe unique nomsinséréspar lesplugins. Alors class='socialize',<link rel="stylesheet" href=".../wp-content/plugins/socialize/socialize.css" type="text/css" />et <script type="text/javascript" src=".../wp-content/plugins/socialize/socialize.js"></script> seraienttous desindices que lethèmeest en utilisant unplugin appelé Socialize.

PaulK · Answer 4 · 2011-06-24

2

2011-06-24

Ilexiste quelques outils quiforcerontbrutalementtous lesplugins wordpress connus.

Engros,ilsessaient simplement d'accéder à/wp-content/plugins/$pluginnameet si vous obtenez uninterdit,vous aveztrouvé leplugin s'il s'agit d'un 404 alors lepluginn'estpasinstallé.

http-wp-plugins.nse - le scriptnmap lefait

http://code.google.com/p/cms-explorer/ -tout comme cet outil

Ce site semble utiliser lesméthodes de lecture du codementionnéesprécédemmentpouressayer de détecter lesplugins http://hackertarget.com/wordpress-security-scan/

Nous étions également curieux à ce sujetet avonsmis à disposition un outilpublicpour vérifierparforcebrute un sitepour lesplugins: http://wppluginchecker.earthpeople.se

We where curios about this too, and made a public available tool to kinda brute force check a site for plugins: http://wppluginchecker.earthpeople.se
- 0
- 2013-11-26
- Pär

mireille raad · Answer 5 · 2010-10-23

1

2010-10-23

addition à ce qui a été dit:

détection de WP:essayez d'ajouter/wp-admin à l'adresse du site,peut-être qu'ilsne l'ontpas changé

détection desplugins: Firebug -extensionfirefox :)