月度归档:2014年12月

致所有wordpress新手,如何检测下载的wordpress主题插件是否包含后门

扯蛋的寄语:小V又有一段时间没有更新网站的教程了,说实在的年底了人也懒了明明手上一大堆事没处理完还天天到处瞎逛实在是静不下心来好好的做一件事了。今天起床比较晚趁着还么起床小V就来更新一发比较使用的教程~

最近很多小伙伴一直在讨论网站被黑和下载的免费wordpress主题插件被挂马的话题,那么今天小V就来教大家如何识别wordpress主题插件是否被留了后门。首先来说下wordpress的运行环境,相信稍微有点常识的站长都知道wordpress是一款运行在php+mysql构架之上的建站系统,而且wordpress主题插件都是编写成.php后缀的可执行文件这是为什么wordpress的免费主题插件很容易留后门的问题。既然都是由php编写的,那么我们只要知道一般php后门常用程序就能一定程度上察觉到主题插件中是否存在后门木马,下面小V列出一些常见php后门函数:

执行系统命令: system, passthru, shell_exec, exec, popen, proc_open(高危)
代码执行: eval, assert, preg_replace('/$pattern/e')(高危)
文件操作:file_get_contents, file_put_contents, fputs, fwrite(高危)
字符串加密解密压缩解压隐藏:base64_decode, gzinflate, gzuncompress, gzdecode, str_rot13, base64_decode, gzcompress, chr(可疑)
wordpress创建后门用户:wp_create_user, WP_User, set_role(高危)

如果在主题中小V标注的高危代码基本就可以确定这款主题很有问题了,基本上都是为了留后门或者是做些小动作了。如果是发现了本文标注的可疑代码那就要注意了很有可能加密部分的代码就是后门。很多小伙伴肯定不懂preg_replace('/$pattern/e')这段代码是什么意思,下面小V就来给大家解释下,preg_replace函数使用e修饰符之后在执行逆向引用替换完之后会将替换的代码当作php代码运行,所以也是一种非常常见的后门代码。在检测主题插件是否包含后门的时候只要用文本搜索工具或者软件搜索主题插件的php文件是否包含以上关键字,在搜索到preg_replace时需要人工对比下代码查看是否包含e修饰符,如果主题文件出现大量的chr(2).chr(3).chr(58)这样类似的代码也要小心了,另外发现主题文件出现一大堆无规则的字符也要小心了一般都是加密后的代码很可能隐藏了后门。

PS:由于平时小V接到的主题插件投稿比较多,所以很难将所有的投稿文件都检查一边。最多也就检查下几个关键文件是否挂马,所以请大家在下载主题后尽量再自己检查一遍。

WP-Player v2.0 For WordPress 音乐播放插件

改写了获取虾米ID的方法;直接输入网址即可获取虾米ID和对应的音乐类型;

支持 单音乐页面、专辑页面、艺人页面、精选集页面(也可自己创建精选集);

支持多歌曲播放;完全兼容以前老版本短代码;

完美支持 IE6+,FireFox,Chrome 浏览器;

废除了短代码中的 loop 参数;

将解析虾米地址移交至插件本身处理;

关闭后台无用选项设置;

支持后台自定义上传音乐文件或音乐外链;

使用方法专区

在虾米网打开喜欢的歌曲页面,复制歌曲页面的网址如:http://www.xiami.com/song/2078022……

并将复制的网址填写到WP-Player的表单内。音乐类型将根据网址自动做出选择。

点击获取音乐ID按钮,此时音乐ID出现在表单中。

将短代码 [player autoplay="1"] 填入您的文章内容中。

短代码中 autoplay 表示是否自动播放;参数"0"表示否;"1"表示是;

PS:建议使用网址来获取音乐ID。

注意事项专区

一篇文章只能设置一个播放器。

为了用户体验,在文章详细页面中 自动播放 才会启用。首页和列表员设置将无用。

因插件需要依赖 jQuery,如主题缺少jQuery;需在后台WP-Player设置中选用;

如同时设置 虾米ID 和 自定义上传音乐,将优先采用虾米ID解析。

插件下载专区

通过 WordPress 后台插件管理 => 安装插件 => 搜索插件 => WP-Player => 点击安装插件

官网下载 https://wordpress.org/plugins/wp-player/ 上传插件 => 安装插件

虾米ID获取扫盲专区

单首歌曲网址,一般网址中将包含 **song** 字符;

专辑页面网址,一般网址中将包含 **album** 字符;

艺人页面网址,一般网址中将包含 **artist** 字符;

精选集页面,一般网址中将包含 **collect** 字符;

关于虾米精选集的制作,在制作时,一定要设置为所有人可见,这样才能获取到歌单;

开发者专区

因为考虑到插件加载的性能,所以插件中的代码全都压缩了。

源码我托管在 GitHub 中,有需要参考的请上 https://github.com/webjyh/WP-Player

音频播放采用 SoundManager2 来管理,顺便求 GitHub 项目 Star;

插件在线预览

Demo:http://webjyh.com/wp-player/

图片预览

WP-Player v2.0 For WordPress 音乐播放插件-wordpress插件-代码笔记 %

WP-Player v2.0 For WordPress 音乐播放插件-wordpress插件-代码笔记 %

俄罗斯恶意软件SoakSoak已感染10万多个WordPress网站

据外媒报道,上周日,一款名为SoakSoak的俄罗斯恶意软件感染了10万多个Wordpress网站,大量博客沦为受害者。为了遏制破坏范围的进一步扩大,Google已经屏蔽了1.1万个域名。据安全公司Sucuri调查发现,SoakSoak利用了幻灯片播放插件Slider Revolution当中的一个漏洞发起攻击。

俄罗斯恶意软件SoakSoak已感染10万多个WordPress网站-wordpress资讯-代码笔记

虽然Slider Revolution已经在9月份的时候就知道了该漏洞的存在,但该软件开发团队似乎没能赶在黑客攻击前将漏洞堵上。

Sucuri称,由于很多网站持有者并不知道恶意软件的存在,所以想要彻底根除SoakSoak相对来说比较困难。除了移除软件中的恶意软件代码之外,Slider Revolution用户还需更新软件。如果这款软件已经成为网站主题的一部分,那么它就无法自动更新,用户需自己手动更新才行。

游戏网站Dulfy日前就已经移除了软件中的恶意代码并开启了防火墙功能。不过该网站持有人也表示,他们也不确定这样的措施是否就能彻底围堵该攻击。

WordPress是一个拥有7000多万个网站的内容管理系统。由于SoakSoak只攻击自托管网站,所以对于个人博客的用户,不会有什么影响。当然,如果该群体访问了已被感染的病毒那就另当别论了。

目前并不清楚该恶意软件散播者是出于何目的对Wordpress发起攻击。

原文:http://www.cnbeta.com/articles/354853.htm

wordpress备份插件BackUpWordPress汉化版

强大的WordPress备份插件BackUpWordPress,可以对您的wordpress站点进行数据库和文件备份,而且还可以选择将备份内容发送到您的邮箱。最新版本为V3.0.4,这个插件由小z博客进行了汉化,设置起来非常简单。

wordpress插件特点:

超级简单易用,不需要设置。

占用内存极低,共享宿主环境。

管理多个时间表

选择有每个备份文件发到您的电子邮件

用zip和mysqldump更快的备份,如果它们是可用的。

支持在Linux和Windows服务器

从备份中排除您的文件或文件夹

插件使用:

插件安装并激活成功后,在工具 -> Backups中进行设置,默认情况每天会对数据库进行一次备份,每周对网站文件 & 数据库备份一次,当然了您完全可以修改这一默认设置。

其它说明:

兼容最新版的WordPress4.0.1

PHP版本要求为5.3.2或更高,对PHP5.2的用户来说是个遗憾。

部分界面截图:

wordpress备份插件BackUpWordPress汉化版-wordpress插件-代码笔记

原文:http://www.xiaoz.me/archives/5525