technické Poznámkyehi Kioya
no ne přesně hacking. Ale dovolte mi vysvětlit…
webhosting je součástí mého podnikání a podle očekávání většina klientů vytváří své stránky pomocí WordPress. Veškerý jejich obsah (soubory a databáze) sedí na mých serverech a přestože nemusím mít (nebo chtít) účet správce na svých instalacích WordPress, mám root přístup jak na úrovni systému souborů, tak na úrovni databáze.
klienti často zapomínají své přihlašovací údaje WordPress. Když se to stane, jsou uzamčeni z administrátorské oblasti svých stránek a potřebují pomoc při návratu. Existují také scénáře, kdy správci serveru mohou potřebovat potřebu „vynutit“ cestu na web klienta, i když o to klient nepožádal. Možná z právních důvodů, nebo porušení zásad. Nebo v závislosti na typu poskytované služby správy, administrátoři serveru se možná budou muset přihlásit, aby mohli provádět aktualizace, běžnou údržbu atd.
stručně řečeno, scénáře, kde může být nutné“ hackování “ hesla WordPress, zahrnují:
- Zapomněli jste uživatelské jméno a e-mailovou adresu svého vlastního webu.
- znáte uživatelské jméno nebo e-mailovou adresu, ale zapomněli jste heslo. A z nějakého důvodu selhala možnost resetování hesla mimo krabici – možná proto, že e-maily s resetováním hesla neprocházejí. Nebo možná již nemáte přístup k původní použité e-mailové adrese.
- váš klient ztratil přihlašovací údaje webové stránky WordPress, kterou hostujete jejich jménem.
- z právních důvodů nebo z důvodu porušení zásad jste povinni vynutit si cestu na webové stránky hostované ve vaší infrastruktuře.
- váš web byl napaden a účet správce byl smazán(nebo heslo bylo změněno).
v každém případě tento článek vysvětluje, jak může správce serveru buď vynutit reset hesla WordPress uživatele nebo vytvořit nového administrátora WordPress se zcela novým heslem. Ukážu, jak to lze provést buď z databáze backend MySQL, nebo pomocí funkcí.php soubor přes FTP. V obou případech se účet WordPress na dotyčném webu nevyžaduje.
metody, které zde budeme zkoumat, jsou:
- „Hacking“ heslo WordPress v databázi (vynucením resetování hesla)
- vytvoření nového administrátora WordPress prostřednictvím databáze
- „hackování“ (resetování) hesla WordPress pomocí funkcí.php soubor
- vytvoření nového uživatele WordPress admin pomocí funkcí.php soubor
zatímco žádný z výše uvedených metod není přesně hacking heslem (protože nepoužíváme techniky hrubé síly nebo něco podobného), konečný výsledek účinně „hackuje“ naši cestu do WordPress se stejnými správními právy, která byla dříve ztracena.
zřeknutí se odpovědnosti: zde popsané procesy jsou zcela legální. I když heslo hash kus používá tento nástroj jsem postavil, nástroj používá oficiální WordPress funkce wp_hash_password () zákulisí. Tento článek jsem napsal s administrátory serveru a webovými mistry. Má být čistě informativní a vzdělávací. Pokud někdo používá pokyny zde ze škodlivých důvodů, nemohu být zodpovědný.
začněme …
Metoda 1: „hackování“ (resetování) hesla WordPress v databázi
spusťte nástroj pro správu databáze. Může to být phpMyAdmin, HeidiSQL, MySQL Workbench atd. Provedeme změnu v tabulce wp_users.
poznámka: název tabulky se může lišit v závislosti na tom, zda vaše instalace používá vlastní předponu tabulky. Tento článek předpokládá, že wp_ je předpona tabulky. Toto je výchozí hodnota. Rychlý pohled na názvy tabulek WordPress by vám měl pomoci identifikovat předponu tabulky a ekvivalentní tabulku wp_users ve vašem případě. Předponu tabulky můžete také najít explicitně definovanou v wp-config.php soubor (proměnná zájmu je $table_prefix).
jakmile otevřete tabulku wp_users pro zobrazení dat, měli byste být schopni rychle identifikovat uživatelský záznam, který je třeba změnit. Pole zájmu (které obsahuje hashované heslo) je pole user_pass. Toto pole bude mít hodnotu, která vypadá takto: $P$BE.lIb0ypAKBR2OZCREKMwSrPiWW9g1
spusťte generátor hash hesla WordPress. Zadejte nové heslo, které chcete pro tohoto uživatele, a klikněte na tlačítko“ Hash this Phrase“. Zkopírujte vygenerovaný řetězec a nahraďte jím aktuální hodnotu user_pass. Měli byste být schopni upravit hodnotu pouhým dvojitým kliknutím na ni.
uložte změny a přihlaste se do administrátorské oblasti WordPress pomocí nového hesla. V závislosti na tom, jak silné bylo vaše zvolené heslo a zda váš web vynucuje silná hesla, můžete být vyzváni k výběru silného hesla ihned po přihlášení.
Metoda 2: Vytvoření nového administrátora WordPress prostřednictvím databáze
vytvoření nového administrátora je podobné výše uvedenému procesu resetování hesla uživatele. Ale je to trochu složitější. Tentokrát upravíme tabulku wp_users i tabulku wp_usermeta. Zde je to, co musíte udělat…
vytvořte nový záznam v tabulce wp_users. Nastavte tato pole:
- user_login-uživatelské jméno, které chcete pro přístup do administrátorské oblasti WordPress
- user_pass-hash kód zvoleného hesla generovaný pomocí WordPress Password Hash Generator
- user_email-e-mail, který chcete přiřadit k tomuto novému účtu
- user_registered-datum, kdy se tento uživatel zaregistroval
všechna ostatní pole mohou prozatím zůstat prázdná. Nejsou povinná pole. Pokud je však chcete, můžete je později upravit z řídicího panelu WordPress. Uložte nový uživatelský záznam.
po uložení WordPress automaticky poskytne uživateli ID. Toto číslo bude uloženo do pole ID. Všimněte si tohoto čísla.
nyní otevřete tabulku wp_usermeta. V této tabulce vytvoříme dva nové záznamy.
u obou nových záznamů nastavte pole user_id na automaticky generované ID výše.
pro první záznam nastavte pole meta_key na wp_user_level a nastavte pole meta_value na 10.
pro druhý záznam nastavte pole meta_key na wp_capabilities a nastavte pole meta_value na a: 1: {s: 13: „administrator“; s:1:“1″;}
poznámka: Hodnoty wp_user_level a wp_capabilities použité výše budou opět záviset na prefixu tabulky použité ve vaší instalaci. Pokud je například předpona tabulky wp_yourdomain_, pak by hodnoty měly být wp_yourdomain_user_level a wp_yourdomain_capabilities.
Uložte oba záznamy a přihlaste se na svůj web WordPress pomocí nového uživatelského jména a hesla, které jste právě vytvořili. V závislosti na tom, jak silné bylo vaše zvolené heslo a zda váš web vynucuje silná hesla, můžete být vyzváni k výběru silného hesla ihned po přihlášení.
jakmile se přihlásíte, upravte uživatele z řídicího panelu WordPress. Není třeba nic měnit. Stačí posunout dolů a stisknout tlačítko Uložit. WordPress interně přidá nějaké další informace novému uživateli, kterého jste právě vytvořili. Pokud budete požádáni o poskytnutí dalších požadovaných informací, stačí je poskytnout (například můžete být požádáni o zadání jedinečné Přezdívky).
Nyní, když máte nový účet WordPress správce, můžete pokračovat a smazat starý účet správce, pokud chcete. Během procesu mazání vám WordPress umožní přiřadit veškerý obsah vytvořený starým uživatelem novému uživateli (nebo jinému existujícímu uživateli).
Metoda 3: „Hackování“ Hesla WordPress Pomocí Funkcí.php soubor
otevřete funkce.php soubor aktivního motivu v textovém editoru. Tento soubor se obvykle nachází zde: public_html/wp_content / themes/your-active-theme / functions.php
přidejte tento řádek kódu do souboru. Stačí jej připojit na konci stávajícího obsahu.
wp_set_password('yourdesiredpassword', 1);
nejlepší je zvolit silné heslo. Tímto způsobem, pokud váš web vynucuje silná hesla, nebudete muset po přihlášení znovu měnit.
ve výše uvedeném případě bude heslo uživatele s ID 1 resetováno.
Uložte funkce.php soubor a navštivte frontend vašeho webu. Heslo uživatele bude resetováno.
důležité: ještě předtím, než potvrdíte, že resetování hesla fungovalo, nejprve odstraňte výše uvedený řádek kódu z vašich funkcí.php soubor. Pokud tak neučiníte, heslo bude resetováno při každém načtení stránky a možná se vám nikdy nepodaří přihlásit pomocí nového hesla, které jste nastavili.
po odstranění kódu pro obnovení hesla se nyní můžete přihlásit pomocí nového hesla.
více o funkci wp_set_password () si můžete přečíst zde.
Všimněte si, že na rozdíl od výše uvedené metody resetování hesla databáze, Chcete-li použít tuto techniku resetování hesla FTP, musíte předem znát ID uživatele. Ale protože to možná ještě nevíte (bez hádání), myslím, že metoda obnovení hesla databáze (popsaná v metodě 1 výše) je silnější.
Metoda 4: Vytvoření Nového Uživatele WordPress Admin Pomocí Funkcí.php soubor
otevřete funkce.php soubor aktivního motivu.
přidejte tento kód do souboru.
function ehi_kioya_create_admin_account(){$username = 'yourdesiredusername';$password = 'yourdesiredpassword'; // Choose a strong password. That way, if your website enforces strong passwords, you won't be required to change it again after signing in.$email = '[email protected]';// Only create user if chosen username and chosen email are not already in useif (!email_exists($email) && !username_exists($username)){$userid = wp_create_user($username, $password, $email);wp_update_user(array('ID' => $userid, 'nickname' => $email));$newuser = new WP_User($userid);$newuser->set_role('administrator');}}add_action('init','ehi_kioya_create_admin_account');
nezapomeňte zadat své vlastní uživatelské jméno, heslo a e-mailové hodnoty. Pokud již ve WordPressu existuje uživatel s vaším zvoleným uživatelským jménem nebo e-mailem, nový účet nebude vytvořen. Ujistěte se tedy, že používáte jedinečné hodnoty pro uživatelské jméno a e-mail.
Uložte funkce.php soubor a pak jednoduše navštivte své webové stránky frontend. Kód bude proveden a bude vytvořen nový uživatel správce. Poté se můžete přihlásit pomocí přihlašovacích údajů nového uživatele.
znovu nezapomeňte odstranit kód z funkcí.php soubor.
závěr
doufejme, že jedna z výše popsaných metod vám pomůže znovu získat administrativní přístup k vašemu webu WordPress. Tím, že máte přístup k databázi a / nebo souborovému systému, prokážete, že máte práva na server, a proto byste měli mít práva na webové stránky hostované na něm. Pokud se pokoušíte hacknout web WordPress, pro který nemáte přístup k databázi ani souborovému systému, pokoušíte se hacknout weby jiných lidí a zjevně nemáte k ničemu. Získání neoprávněného přístupu na webové stránky jiných lidí, jako je tento, je zločin a ne něco, co učím nebo povzbuzuji.
pokud jste považovali zde diskutované metody za užitečné nebo máte dotaz nebo příspěvek, Podělte se prosím o své myšlenky pomocí níže uvedené sekce komentářů.