比来非常多小同伴不断在会商网站被黑和下载的收费wordpress主题插件被挂马的话题，那末今日小V就来教大师怎么辨认wordpress主 题插件能否被留了后门。起首来讲下wordpress的运转情况，置信略微有点知识的站长都晓得wordpress是一款运转在php+mysql构架之 上的建站系统，并且wordpress主题插件都是编写成.php后缀的可履行文件这是为何wordpress的收费主题插件很轻易留后门的问题。既然 都是由php编写的，那末我们只需晓得普通php后门经常使用顺序就可以必定水平上发觉到主题插件中能否存在后门木马，下面小V列出一些常用php后门函数：

    履行系统号令: system, passthru, shell_exec, exec, popen, proc_open（高危）

    代码履行： eval, assert, preg_replace('/$pattern/e')（高危）

    文件操纵：file_get_contents, file_put_contents, fputs, fwrite（高危）

    字符串加密解密紧缩解压暗藏：base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13, base64_decode, gzcompress, chr（可疑）

    wordpress创立后门用户：wp_create_user, WP_User, set_role（高危）

    假如在主题中小V标注的高危代码根本就能够断定这款主题很有问题了，根本上都是为了留后门或许是做些小举措了。假如是发明了本文标注的可疑代码那就 要留意了很有可能加密部分的代码就是后门。非常多小同伴一定不懂preg_replace('/$pattern/e')这段代码是甚么意思，下面小V就来 给大师说明下，preg_replace函数运用e润饰符以后在履行逆向援用交换完以后会将交换的代码看成php代码运转，所以也是一种十分常用的后门代 码。在检测主题插件能否包括后门的时分只需用文本搜刮Tools或许软件搜刮主题插件的php文件能否包括以上要害字，在搜刮到preg_replace时需求 人工比照下代码检查能否包括e润饰符，假如主题文件呈现大量的chr(2).chr(3).chr(58)如许相似的代码也要警惕了，别的发明主题文件出 现一大堆无规矩的字符也要警惕了普通都是加密后的代码极可能暗藏了后门。

    PS：因为平常大胡子收拾的主题和插件比拟多，所以很难将一切的投稿文件都反省一边。最多也就反省下几个要害文件能否挂马，所以请大师鄙人载主题后尽可能再本人反省一遍。