2018年6月28日，国外安全研究组织rips团队发布了一篇WordPress任意文件删除到代码执行的漏洞文章，文章中指出攻击者可以利用此漏洞删除任意文件，比如删除WordPress建站配置文件wp-config.php，通过删除此文件可导致界面进入网站安装页面，通过重装网站后进入管理员后台即可获取网站shell从而控制WordPress网站，故该漏洞的危害很大。唯一缺陷就是需要攻击者拥有操作多媒体文件的功能，一般作者权限就可以触发漏洞。

WordPress相信大家都不陌生，之所以WordPress如此广泛的使用，它的插件机制功不可没，开发简单，松耦合性强，在WordPress运行过程中随时随地可被调用插件中的功能。本文通过UsrPro插件后门漏洞的分析来简单介绍WordPress的插件调用机制。