相信很多朋友使用WordPress建站不是因为WordPress本身功能有多好,而且因为WordPress开源,有海量插件、主题供选择,可以随心所欲的根据自己需求进行配置安装。开源的自然好,各种插件、主题弥补WordPress本身的不足,但它们的使用也给我们的站点带来了安全隐患,在网络中下载的插件、主题没有人能保证代码是绿色安全的,开发着留后门或第三方恶意修改等现象绝对屡见不鲜。对于高手来说,可能一眼就识破了插件主题中是否存在后门,但这些人往往都能不需要使用什么插件;而使用插件较多的往往对代码不太了解的人群,那如何才能尽量避免中招呢?这里为大家推荐几种检测WordPress主题是否有后门的方法。
一、手动检测方法:
使用FTP把自己主题中的fuctions.php文件下载到本地,然后看fuctions.php中是否包含一下函数(每一行进行查找),有的的话直接删除掉。
function __popular_posts function stripos function scandir function _getprepare_widget add_action("init", "_getprepare_widget"); function _get_allwidgets_cont function strripos function _checkactive_widgets add_action("admin_head", "_checkactive_widgets");
二、插件检测方法:
蜗牛搜了下检测WordPress主题后门的插件,说得较多的是AntiVirus和Theme Authenticity Checker (TAC)两款插件。Theme Authenticity Checker已经有好几年没有更新了,所以不推荐使用。重点说下AntiVirus,AntiVirus是一款非常好用的主题防病毒插件,虽然是英文的,但是操作极为简单,查杀结果也直观粗暴。
1、AntiVirus主题防病毒插件下载:
2、上传安装并启用插件,然后在后台左侧导航栏“设置”中点击AntiVirus进入检测页面。然后点击“Scan the theme templates now”对目前使用的主题进行后门检测。
3、如果存在疑似病毒代码,会出现如下图的红色提醒框。
4、再在主题文件夹中找到存在问题的文件下载到本地,然后删除存在危险的代码。这里需要主要的是,修改主题代码前请先备份,以免造成数据丢失。
三、本地工具检测
另外还有一种本地工具检测—D盾_Web查杀,可以在Windows操作系统中对主题和插件进行后门检测。
1、D盾_Web查杀工具下载:
2、D盾_Web查杀工具使用流程:
WordPress主题后门检测小结:
1、下载WordPress主题或插件建议到比较整改一点,知名度高一点的网站进行下载。下载后一定要先进行后面检测再正常使用。
2、以上三种方法只能检测出大多数后,并不保证百分之百能完全检测出后门。