执行系统命令: system, passthru, shell_exec, exec, popen, proc_open(高危)

代码执行: eval, assert, preg_replace('/$pattern/e')(高危)

文件操作:file_get_contents, file_put_contents, fputs, fwrite(高危)

字符串加密解密压缩解压隐藏:base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13, base64_decode, gzcompress, chr(可疑)

WordPress 创建后门用户:wp_create_user, WP_User, set_role(高危)

如果在主题中小 V 标注的高危代码基本就可以确定这款主题很有问题了,基本上都是为了留后门或者是做些小动作了。如果是发现了本文标注的可疑代码那就 要注意了很有可能加密部分的代码就是后门。很多小伙伴肯定不懂 preg_replace(‘/$pattern/e’) 这段代码是什么意思,下面小 V 就来 给大家解释下,preg_replace 函数使用 e 修饰符之后在执行逆向引用替换完之后会将替换的代码当作 php 代码运行,所以也是一种非常常见的后门代 码。在检测主题插件是否包含后门的时候只要用文本搜索工具或者软件搜索主题插件的 php 文件是否包含以上关键字,在搜索到 preg_replace 时需要 人工对比下代码查看是否包含 e 修饰符,如果主题文件出现大量的 chr(2).chr(3).chr(58) 这样类似的代码也要小心了,另外发现主题文件出 现一大堆无规则的字符也要小心了一般都是加密后的代码很可能隐藏了后门。

PS:由于平时我整理的主题和插件比较多,所以很难将所有的投稿文件都检查一边。最多也就检查下几个关键文件是否挂马,所以请大家在下载主题后尽量再自己检查一遍。