wordpress主题存在后门和恶意代码的检查与处理办法

在本地测试主题时发现本地Web服务器theme 目录下所有主题的 functions.php 文件被恶意修改了。因为连续测试了几款主题,目前并不清楚是哪款主题所带来的恶意代码,百度了一下发现很多使用wordpress的朋友中招。

怎么才知道自己的主题感染了恶意代码呢?

若你在转换主题时提示 “Fatal error: Cannot redeclare _check_isactive_widget()”、”_get_allwidgetcont” 等错误,那你的代码很有很可能已被污染。恶意代码在你启用不同主题的时候,会把同样的恶意代码复制到所有主题的 functions.php 中去,如果你的网站被莫名其妙的加入了黑链或者其他不明链接,那么应该也是主题中恶意代码搞的鬼。

怎么知道下载的主题是否有恶意代码呢?大家可以对functions.php文件进行检查。   查一下是否有以下代码,有的话基本确定是后门。

1
add_action(“admin_head”,

再查一下这个代码,这里是用来干坏事的,这才是这个恶意代码的目的,前面的感染是“准备活动”

add_action(“init”, “_getprepare_widget”);

以下几个是比较普遍会遇到的恶意大码,这并不是一整段代码,下面每行是独立存在的,如果你的functions.php中有以下任意一段代码,那么你可能就中招了。

_verify_isactivate_widgets
 
_check_isactive_widget
_get_allwidgetscont
_prepare_widgets
__popular_posts

 

新增一段代码,其中开头含有:

_verifyactivate_widgets

或者

_verifyactivate_widget

这是今天刚发现的,这段代码被添加后,主题看不出任意异常,只有在functions.php检查才能发现,刚才在后台编辑主题时发现unctions.php大小有点不对劲,一检查果然又中招了,防不胜防啊。

解决办法就是:

1、找到主题的functions.php原文件覆盖一下;
2、删除恶意代码,一般就是以上任意一段代码之后的所有代码(这段代码前面还有一个<?PHP,一起删掉)。

来源:http://www.chukuangren.com/wordpress-eyidaima.html

wordpress主题存在后门和恶意代码的检查与处理办法》上有2条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注