最近很多小伙伴一直在討論網站被黑和下載的免費wordpress主題插件被掛馬的話題，那么今天小V就來教大家如何識別wordpress主題插件是否被留了后門。首先來說下wordpress的運行環境，相信稍微有點常識的站長都知道wordpress是一款運行在php+mysql構架之 上的建站系統，而且wordpress主題插件都是編寫成.php后綴的可執行文件這是為什么wordpress的免費主題插件很容易留后門的問題。既然 都是由php編寫的，那么我們只要知道一般php后門常用程序就能一定程度上察覺到主題插件中是否存在后門木馬，下面小V列出一些常見php后門函數：

執行系統命令: system, passthru, shell_exec, exec, popen, proc_open（高危）

代碼執行： eval, assert, preg_replace('/$pattern/e')（高危）

文件操作：file_get_contents, file_put_contents, fputs, fwrite（高危）

字符串加密解密壓縮解壓隱藏：base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13, base64_decode, gzcompress, chr（可疑）

wordpress創建后門用戶：wp_create_user, WP_User, set_role（高危）

如果在主題中小V標注的高危代碼基本就可以確定這款主題很有問題了，基本上都是為了留后門或者是做些小動作了。如果是發現了本文標注的可疑代碼那就 要注意了很有可能加密部分的代碼就是后門。很多小伙伴肯定不懂preg_replace('/$pattern/e')這段代碼是什么意思，下面小V就來 給大家解釋下，preg_replace函數使用e修飾符之后在執行逆向引用替換完之后會將替換的代碼當作php代碼運行，所以也是一種非常常見的后門代 碼。在檢測主題插件是否包含后門的時候只要用文本搜索工具或者軟件搜索主題插件的php文件是否包含以上關鍵字，在搜索到preg_replace時需要 人工對比下代碼查看是否包含e修飾符，如果主題文件出現大量的chr(2).chr(3).chr(58)這樣類似的代碼也要小心了，另外發現主題文件出 現一大堆無規則的字符也要小心了一般都是加密后的代碼很可能隱藏了后門。

PS：由于平時大胡子整理的主題和插件比較多，所以很難將所有的投稿文件都檢查一邊。最多也就檢查下幾個關鍵文件是否掛馬，所以請大家在下載主題后盡量再自己檢查一遍。

教程轉自v7v3-奶嘴！