如何检测下载的wordpress主题插件是否包含后门

最近很多小伙伴一直在讨论网站被黑和下载的免费wordpress主题插件被挂马的话题,那么今天小V就来教大家如何识别wordpress主 题插件是否被留了后门。首先来说下wordpress的运行环境,相信稍微有点常识的站长都知道wordpress是一款运行在php+mysql构架之 上的
最近很多小伙伴一直在讨论网站被黑和下载的免费wordpress主题插件被挂马的话题,那么今天小V就来教大家如何识别wordpress主 题插件是否被留了后门。首先来说下wordpress的运行环境,相信稍微有点常识的站长都知道wordpress是一款运行在php+mysql构架之 上的建站系统,而且wordpress主题插件都是编写成.php后缀的可执行文件这是为什么wordpress的免费主题插件很容易留后门的问题。既然 都是由php编写的,那么我们只要知道一般php后门常用程序就能一定程度上察觉到主题插件中是否存在后门木马,下面小V列出一些常见php后门函数:
执行系统命令: system, passthru, shell_exec, exec, popen, proc_open(高危)
代码执行: eval, assert, preg_replace('/$pattern/e')(高危)
文件操作:file_get_contents, file_put_contents, fputs, fwrite(高危)
字符串加密解密压缩解压隐藏:base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13, base64_decode, gzcompress, chr(可疑)
wordpress创建后门用户:wp_create_user, WP_User, set_role(高危)
如果在主题中小V标注的高危代码基本就可以确定这款主题很有问题了,基本上都是为了留后门或者是做些小动作了。如果是发现了本文标注的可疑代码那就 要注意了很有可能加密部分的代码就是后门。很多小伙伴肯定不懂preg_replace('/$pattern/e')这段代码是什么意思,下面小V就来 给大家解释下,preg_replace函数使用e修饰符之后在执行逆向引用替换完之后会将替换的代码当作php代码运行,所以也是一种非常常见的后门代 码。在检测主题插件是否包含后门的时候只要用文本搜索工具或者软件搜索主题插件的php文件是否包含以上关键字,在搜索到preg_replace时需要 人工对比下代码查看是否包含e修饰符,如果主题文件出现大量的chr(2).chr(3).chr(58)这样类似的代码也要小心了,另外发现主题文件出 现一大堆无规则的字符也要小心了一般都是加密后的代码很可能隐藏了后门。
PS:由于平时大胡子整理的主题和插件比较多,所以很难将所有的投稿文件都检查一边。最多也就检查下几个关键文件是否挂马,所以请大家在下载主题后尽量再自己检查一遍。
本站部分内容来源互联网,如果有图片或者内容侵犯您的权益请联系我们删除!

相关文档推荐

用discuz搭建的论坛,后台默认地址是 域名加 admin.php,很多站长怕网站被黑客攻击,一般黑客会扫描admin文件,然后破解管理员账户登录后台,所以想修改后台的地址。直接修改 admin.php 名并放到其他文件夹里,访问后台用修改过的路径虽然能访问,但是会出错
默认的ecshop中只能单件点击添加到购物车,没有办法批量添加,其实很简单,我们可以用函数 addToCart()来实现。下面我们就来讲一下具体的操作方法。 第一,修改商品列表模板 /themes/default/library/goods_list.lbi,在每个商品的前面增加一个复选框按钮。
大家都知道ecshop的价格一般都是阿拉伯数字,但是在实际运营过程中某些商品是不方便直接显示出价格的,比如一些定制的服务或者昂贵的物品需要按客户实际需求出发定价。 那么就需要这些特定的商品显示出面议 ecshop好处就是开源因此这个方法很容易就被魔客吧
ecshop中的几种价格: ecs_goods这个表是用来控制产品信息的表,里面有market_price,shop_price,promote_price和会员等级价格 market_price 表示市场价格 shop_price 表示本店价格 promote_price 表示产品促销价格 市场价格可以在后台设置,后台-系统设置-商
首先要说明的一点是,也许你下载或购买的模板已经实现了首页商品显示市场价格,那么请不要诧异,此教程是针对没有实现此功能的模板而言的,例如官方默认模板。 1)、 首先我们需要打开 /themes/default/library/recommend_best.lbi 文件 找到 font class=f1
不同的模板,具体的修改细节是不一样的, 1)、如果你使用的是官方默认模板,请看下面 打开 /themes/default/index.dwt 文件 将下面代码部分删除即可 !--站内公告 start-- div class=box div class=box_1 h3span{$lang.shop_notice}/span/h3 div class=boxCe