问我想知道，他们如何找到我的wordpress主题和插件

EN

考虑到这一点后，我对其工作原理的猜测是：

几乎所有的插件/主题都有.css和/或.js文件。对于插件，这些文件存储在插件的安装目录-.../wp-content/ plugins /some plugin- directory中。这些的超文本传输协议请求的URL看起来是这样的- httpx://some.host.com/wp-content/plugins/some-plugin-directory/js/some-javascript-file.js.从这些请求中，wpsec可以提取“一些插件目录”，这是WordPress用来识别插件的地方。如果插件在WordPress存储库中，那么wpsec可以下载整个插件并提供更多信息。如果插件是专有的，那么wpsec可能只能访问可公开访问的.js和.css文件。在我的安装中，我有一个专有的插件，wpsec找到了安装目录- 'some- plugin - directory‘，但没有报告版本，可能是因为它无法访问readme.txt或任何.php文件。因此，如果这个猜想是正确的，如果一个插件只有PHP，即没有.css，没有.js，也没有图像存储在它的安装目录中，那么wpsec应该无法检测到它。当然，同样的推理也适用于主题。