執行系統命令: system, passthru, shell_exec, exec, popen, proc_open(高危)
代碼執行: eval, assert, preg_replace('/$pattern/e')(高危)
文件操作:file_get_contents, file_put_contents, fputs, fwrite(高危)
字符串加密解密壓縮解壓隱藏:base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13, base64_decode, gzcompress, chr(可疑)
WordPress 創建後門用户:wp_create_user, WP_User, set_role(高危)
如果在主題中小 V 標註的高危代碼基本就可以確定這款主題很有問題了,基本上都是為了留後門或者是做些小動作了。如果是發現了本文標註的可疑代碼那就 要注意了很有可能加密部分的代碼就是後門。很多小夥伴肯定不懂 preg_replace('/$pattern/e') 這段代碼是什麼意思,下面小 V 就來 給大家解釋下,preg_replace 函數使用 e 修飾符之後在執行逆向引用替換完之後會將替換的代碼當作 php 代碼運行,所以也是一種非常常見的後門代 碼。在檢測主題插件是否包含後門的時候只要用文本搜索工具或者軟件搜索主題插件的 php 文件是否包含以上關鍵字,在搜索到 preg_replace 時需要 人工對比下代碼查看是否包含 e 修飾符,如果主題文件出現大量的 chr(2).chr(3).chr(58) 這樣類似的代碼也要小心了,另外發現主題文件出 現一大堆無規則的字符也要小心了一般都是加密後的代碼很可能隱藏了後門。
PS:由於平時我整理的主題和插件比較多,所以很難將所有的投稿文件都檢查一邊。最多也就檢查下幾個關鍵文件是否掛馬,所以請大家在下載主題後儘量再自己檢查一遍。