WordPress黑帽SEO插件的技术剖析

‍‍wp-core.php的主要功能就是管理 pharma-spam doorways。如果一个博客的URL有其特定的参数（比如“th”，类似 http://www .example .com/?th=doryx+150mg+exclusivity）那么wp-core.php会将正常的博客内容替换成垃圾内容。
如果访问者不是机器人，而是来自搜索引擎。那么它会通过单独的关键字，重定向到其他网站

在跳转之前，恶意插件会设置一个相同命名的cookies作为URL参数。在接下来的100天内，相同的访问者如果再次打开网页依旧会进行跳转到其他页面。

如果访问者没有cookies，也不是从搜索引擎过来的。这样的访问者所访问页面就会显示大量的垃圾内容。

这些垃圾内容就存储在wp-admin/update-backup.db文件中

通用性

‍‍必须要提到一点，尽管这是一个Wordpress插件,但是同样可在其他PHP站点中运行。唯一的区别只是WP-specific函数无法使用而已。

总结

‍‍总之这个插件真的很奇怪。‍‍它试图将所有类型的PHP站点作为目标，并将自身注入到index.php。但主要目标还是Wordpress站点。

这样就可以解释为何以wp-core.php命名了，并且在Wordpress根目录下也不是那么的显眼，但是这个文件在Joomla 或者vBulletin搭建的网站下就显得十分刺眼了。

wp-core.php文件很容易被安全性插件通过检测Wordpress核心完整性然后查杀。为了分散使用者的注意，该插件包含有一些能优化Wordpress的功能。

最后，最近经常爆出Wordpress插件的漏洞，希望各位在使用各种插件的时候多仔细审查，免受无妄之灾。