TL;DR

aashifm1/WordPress-BugBounty là một curated playbook trên GitHub: 9 bài Medium đã chọn lọc, một thư mục wordlists/, và một PDF tham khảo pentest. Repo nhỏ (21 stars, 3 commits), nhưng độ tinh là điểm mạnh — beginner-to-intermediate friendly, gói gọn cái mà người mới săn bug WordPress thường mất nửa ngày Google. Trong bối cảnh 90% lỗ hổng WordPress nằm ở plugins43% trong số đó khai thác được mà không cần auth, có một starter pack gọn là tiết kiệm thời gian thực sự.

What's new

Repo do aashifm1 public với mô tả ngắn: "a practical guide for security researchers to identify and test WordPress targets effectively during bug bounty hunting" — và được tag wordpress, pentesting, bug-bounty. Cấu trúc tinh gọn:

  • README.md — index 9 link Medium chọn lọc
  • wordlists/ — wordlist phục vụ enum plugin / theme / user / path
  • wp-pentest PDF — tài liệu tham khảo pentest WP đính kèm

Không phải framework, không scripts auto — đây là một starter pack đọc & chạy bằng tay, hợp với người vừa bước vào bounty WordPress.

Why it matters

WordPress chạy gần một nửa web mở. Đó là hồ săn lỗ rộng nhất trong AppSec, nhưng cũng là cái rừng dày đặc khiến người mới ngợp. Stats 2026 cho biết:

  • 64,782 lỗ hổng WordPress đã được track ecosystem-wide.
  • 7,966 lỗ hổng mới riêng năm 2024 (+34% YoY).
  • 90% đến từ plugins, 6% themes, 4% core. Plugins free có 24× số bug nhiều hơn premium.
  • 43% CVE WordPress khai thác được không cần authentication — đúng nghĩa low-hanging fruit cho bounty.

Một repo curated tốt giúp bạn không phải tự đọc 50 bài blog rời rạc trước khi tìm ra pattern đáng kiểm.

What's actually inside

9 Medium writeups (đã hand-pick)

  1. WordPress Pentesting — far00t01 (foundation)
  2. 5 minutes, 3 sites, 1 WordPress vulnerability — Markaz Gasimov (real bounty win)
  3. Common Vulnerabilities in WordPress Sites — H7W
  4. Zero-day WordPress Plugin Vulnerability Research — Legion Hunters
  5. The WordPress Bug Very Few Know About — Vijay Gupta
  6. Top 25 WordPress Bug Bounty Reports — Cornea Cristian (link giàu giá trị nhất — 25 pattern thực chiến)
  7. Beginner's Guide to Bug Hunting & Exploiting Common WP Vulnerabilities — Cuncis
  8. A Hacker's Tale: Finding 10× CVEs in WordPress Plugins — Niraj Mahajan
  9. Mastering WordPress Bug Hunting — InfoSec Writeups

Wordlists & PDF

Thư mục wordlists/ dùng được luôn với ffuf, WPScan, hoặc dirsearch để enum plugin paths, themes, users, REST endpoints. PDF đi kèm là tài liệu tham khảo pentest WordPress — không có mô tả chi tiết trong README, phải clone về xem.

Top vuln classes bạn sẽ gặp

Loại lỗ hổng% trong tổng CVE WPVí dụ recent
Cross-Site Scripting (XSS)~35%Stored XSS qua plugin form/comment
SQL Injection~15%Elementor Ally CVE-2026-2413 (250k+ sites)
Remote Code Execution~8%Elementor Pro CVE-2024-28847 (5M+ sites)
Authentication Bypass~7%LiteSpeed Cache CVE-2024-47374 (6M+ sites)
Authorization Bypass / IDOR~6%WooCommerce CVE-2024-36542 (6M+ sites)

Pattern lặp đi lặp lại: missing input sanitization, nonce check thiếu, capability check thiếu trên AJAX hooks. Đọc Cornea Cristian's Top 25 để thấy 25 biến thể cụ thể của ba pattern này.

Use cases — ai dùng repo này

  • Hunter mới vào nghề chọn target ecosystem: WordPress = bounty programs trên HackerOne, Wordfence, Patchstack — không thiếu cửa nộp report.
  • Pentester chuẩn bị engagement: wordlists + PDF cắt thời gian setup, vào việc nhanh.
  • AppSec lead muốn onboard junior: gửi link repo + bảo "đọc hết, làm lab, gặp mình tuần sau" là xong.
  • Plugin developer: đọc để biết hunter soi cái gì trước khi mình release plugin tiếp.

How to actually use it (5 bước)

  1. git clone https://github.com/aashifm1/WordPress-BugBounty.git rồi mở PDF trước để nắm vocabulary.
  2. Đọc Cornea Cristian's Top 25 WP Bug Bounty Reports — đây là bài cô đặc nhất, cho bạn 25 pattern grep được.
  3. Dùng wordlists với ffuf/WPScan để enum plugin paths & users trên target in-scope. Gợi ý: curl https://target.com/wp-json/wp/v2/users trước, ăn liền 1 layer recon.
  4. Pivot từ writeup sang program thật: Wordfence Bug Bounty, Patchstack Alliance, hoặc các vendor program trên HackerOne.
  5. Theo CVE feed hàng tuần — 2026 đã có nhiều plugin 100k+ installs dính SQLi/XSS, pattern mới ra liên tục.

Limitations & caveats

  • Repo nhỏ (3 commits) — không phải framework maintained. Đừng kỳ vọng auto-update.
  • README không liệt kê tên wordlists hay mô tả PDF — phải clone về kiểm tra thủ công.
  • Không có tooling tích hợp — bạn vẫn cần WPScan, Burp Suite, ffuf, sqlmap, Nuclei để chạy thực tế.
  • Educational only — luôn đảm bảo target nằm trong scope program trước khi test. Test ngoài scope = phạm pháp, mất bounty và mất uy tín.

What's next

Coi repo này như launchpad chứ không phải curriculum. Sau khi cày xong 9 writeup + wordlists, bước tiếp là: viết template Nuclei của riêng bạn, fork repo và bổ sung wordlist mới, hoặc đóng góp PR thêm writeup chất. Bug bounty WordPress là cuộc chơi volume + pattern recognition — càng nhiều pattern bạn nhớ, càng tìm ra bug nhanh ở plugin tiếp theo. Với 90% bề mặt tấn công nằm ở plugins, focus đúng chỗ là quan trọng hơn mọi mánh khoé khác.

Nguồn: GitHub repo, wpsecurityninja 2026 database, Spyboy 2026 cheatsheet, BleepingComputer.