我想知道，他们如何找到我的wordpress主题和插件

我想知道, 像https://wpsec.com这样的网站如何找到我的wordpress主题和插件。

当我尝试访问目录mydomain.com/wp-content/themes/my-theme时, 我得到了404, 但是他们如何得到的。

我的防火墙和安全性恶意软件插件没用吗？

#1

在考虑了这一点之后, 我对这是如何工作的猜想是：

几乎所有插件/主题都具有.css和/或.js文件。对于插件, 它们存储在插件的安装目录中-… / wp-content / plugins / some-plugin-directory。这些HTTP请求的URL看起来像这样-httpx：//some.host.com/wp-content/plugins/some-plugin-directory/js/some-javascript-file.js。从这些请求中, wpsec可以提取WordPress用于标识插件的” some-plugin-directory”。如果插件位于WordPress存储库中, 则wpsec可以下载整个插件并提供更多信息。如果插件是专有的, 则wpsec可能只能访问可公开访问的.js和.css文件。在我的安装中, 我有一个专有插件, wpsec找到了安装目录-” some-plugin-directory”, 但未报告版本, 可能是因为它无法访问readme.txt或任何.php文件。因此, 如果这个猜想是正确的, 如果插件仅具有PHP, 即没有.css, 没有.js以及安装目录中没有存储任何图像, 则wpsec应该无法检测到它。当然, 相同的推理也适用于主题。