我手上管理一个公司的wordpress网站的主题用的是wpyou的主题,但是在网站有安全隐患的情况下,看到wpyou有把代码进行加密过。
这种加密代码的行为,会被D盾认为是后门,所以一度觉得其文件和代码非常可疑,并且不放心。
代码片段如下:
<?php // This file is protected by copyright law & provided under license. Copyright(C) 2008-2020 www.wpyou.com, All rights reserved.
$OOO0O0O00=__FILE__;$OOO000000=urldecode('%74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72');$OO00O0000=32316;$OOO0000O0=$OOO000000{4}.$OOO000000{9}.$OOO000000{3}.$OOO000000{5};$OOO0000O0.=$OOO000000{2}.$OOO000000{10}.$OOO000000{13}.$OOO000000{16};$OOO0000O0.=$OOO0000O0{3}.$OOO000000{11}.$OOO000000{12}.$OOO0000O0{7}.$OOO000000{5};$O0O0000O0='OOO0000O0';eval(($$O0O0000O0('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')));return;?>
82BM5OKmqGBMaD9h8GjCwzRKKzJHRkgcRkgykCzwKs01KAkwkCkwuAYPHK
用URL解码 %74%68%36%73%62%65%68%71%6c%61%34%63%6f%5f%73%61%64%66%70%6e%72
得到 th6sbehqla4co_sadfpnr
,
在搜索引擎中搜索 th6sbehqla4co_sadfpnr ,看到了相关的内容:
又一个加密PHP脚本的解码方法: https://yoursunny.com/t/2009/PHP-decode-2/
这种加密格式是 微盾PHP加密专家(PHPCodeLock) 加密的: http://www.vidun.com/vwsoft-vwphpcodelock-intro.html
上文作者写的PHP解密工具: https://yoursunny.com/p/PHP-decode/
wpyou的代码被解码出来一看,我扫了一眼没发现可疑或者明显过分的代码,属于正常代码,一下感觉放心多了。
感叹10年前别人写的文章还对后来人,对我还有帮助,现在的yoursunny的博文也已经全是英语写的,看起来已经成为一方大牛了。
顺便好奇扫了一下他的简介,看起来他已经在美国生活了,羡慕。不过他好像变宽了很多了,哈哈哈。。。
另外wpyou的代码从我的角度看完全无加密的价值,只是会对后来的维护系统的人员造成巨大的困扰。强烈不建议这种行为。