Technical Notes OfEhi Kioya
No ei varsinaisesti hakkerointi. Mutta anna minun selittää…
Web hosting on osa liiketoimintaani ja odotetusti useimmat asiakkaat rakentavat sivustonsa WordPress. Kaikki heidän sisältönsä (tiedostot ja tietokannat) istuvat palvelimillani ja vaikka minulla ei ehkä ole (tai halua) järjestelmänvalvojan tiliä WordPress-asennuksissaan, minulla on pääkäyttäjäoikeus sekä tiedostojärjestelmän että tietokannan tasolla.
asiakkaat unohtavat usein WordPress-kirjautumistietonsa. Kun tämä tapahtuu, ne lukitaan pois admin alueella niiden sivustoja ja tarvitsevat apua saada takaisin. On myös tilanteita, joissa palvelimen järjestelmänvalvojat saattavat tarvita tarvetta ”pakottaa” tiensä asiakkaan sivustoon, vaikka asiakas ei ole pyytänyt tätä. Ehkä juridisista syistä tai poliittisten rikkomusten takia. Tai riippuen tarjottavan hallintapalvelun tyypistä, palvelimen ylläpitäjät saattavat joutua kirjautumaan sisään suorittaakseen päivityksiä, rutiinihuoltoa jne.
yhteenvetona skenaarioita, joissa WordPress-salasanan ”hakkerointi” voi olla tarpeen, ovat:
- unohdit oman sivustosi käyttäjätunnuksen ja sähköpostiosoitteen.
- tiedät käyttäjätunnuksen tai sähköpostiosoitteen, mutta olet unohtanut salasanan. Ja jostain syystä, Out-of-the – box salasanan palautus vaihtoehto ei ole toiminut-ehkä koska salasanan palautus sähköpostit eivät tule läpi. Tai ehkä sinulla ei ole enää pääsyä alkuperäiseen sähköpostiosoitteeseen.
- asiakkaasi on kadottanut heidän puolestaan ylläpitämäsi WordPress-verkkosivuston kirjautumistiedot.
- juridisista syistä tai poliittisten rikkomusten vuoksi sinun on pakko tunkeutua väkisin infrastruktuurissasi ylläpidetylle verkkosivustolle.
- sivustosi hakkeroitiin ja ylläpitotili poistettiin (tai salasana vaihdettiin).
joka tapauksessa tässä artikkelissa kerrotaan, miten palvelimen ylläpitäjä voi joko pakottaa käyttäjän WordPress-salasanan uudelleen tai luoda uuden WordPress-ylläpitäjän upouudella salasanalla. Näytän, miten tämä voidaan tehdä joko backend MySQL-tietokannasta tai käyttämällä toimintoja.php-tiedosto FTP: n kautta. Kummassakaan tapauksessa kyseisellä sivustolla olevaa WordPress-tiliä ei tarvita.
menetelmät, joita tutkimme tässä ovat:
- ”hakkerointi” WordPress salasana tietokantaan (pakottamalla salasanan palautus)
- uuden WordPress admin käyttäjän luominen tietokannan kautta
- ”hakkerointi” (nollaaminen) WordPress salasana käyttäen toimintoja.php-tiedosto
- uuden WordPress-ylläpitäjän luominen toimintojen avulla.php tiedosto
vaikka mikään pois edellä mainitut menetelmät on täsmälleen salasanahakkerointi (koska emme käytä brute force tekniikoita tai muuta vastaavaa), lopputulos tehokkaasti ”hacks” tiemme WordPress kanssa samat hallinnolliset oikeudet, jotka oli aiemmin menetetty.
vastuuvapauslauseke: tässä kuvatut prosessit ovat täysin laillisia. Vaikka salasanan tiivistys pala käyttää tätä työkalua rakensin, työkalu käyttää virallista WordPress toiminto wp_hash_password () kulissien takana. Kirjoitin tämän artikkelin palvelimen ylläpitäjät ja web masters mielessä. Sen on tarkoitus olla puhtaasti informatiivinen ja opettavainen. Jos joku käyttää ohjeita ilkeämielisistä syistä, minua ei voida pitää vastuussa.
Let ’ s begin…
Method 1: ”Hacking” (reseting) a WordPress Password on the Database
Launch your database administration tool. Tämä voisi olla phpMyAdmin, HeidiSQL, MySQL Workbench, jne. Teemme muutoksen wp_users-pöydälle.
huomaa: taulukon nimi voi olla erilainen riippuen siitä, käyttääkö asennuksesi mukautettua taulukon etuliitettä. Tässä artikkelissa oletetaan, että wp_ on taulukon etuliite. Tämä on oletusarvo. Nopea vilkaisu WordPress taulukon nimet pitäisi auttaa tunnistamaan taulukon etuliite ja vastaava wp_users taulukko sinun tapauksessasi. Voit myös löytää taulukon etuliitteen määritelty nimenomaisesti wp-config.php tiedosto (muuttuja kiinnostaa on $table_prefix).
kun avaat wp_users-taulukon nähdäksesi tiedot, sinun pitäisi pystyä nopeasti tunnistamaan käyttäjätiedot, joita on muutettava. Kiinnostuksen kohteena oleva kenttä (jolla on hashed-salasana) on user_pass-kenttä. Tämä kenttä on arvo, joka näyttää suunnilleen tältä: $P$BE.lIb0ypAKBR2OZCREKMwSrPiWW9g1
Käynnistä WordPress salasana Hash generaattori. Syötä uusi salasana, jonka haluat tälle käyttäjälle, ja napsauta ”Hash this Phrase” – painiketta. Kopioi luotu merkkijono ja korvaa nykyinen user_pass-arvo sillä. Sinun pitäisi pystyä muokkaamaan arvoa vain kaksoisnapsauttamalla sitä.
Tallenna muutokset ja kirjaudu WordPress-ylläpitoalueellesi uudella salasanallasi. Riippuen siitä, kuinka vahva valitsemasi salasana oli ja jos verkkosivustosi käyttää vahvoja salasanoja, sinua saatetaan pyytää valitsemaan vahva salasana heti kirjautumisen jälkeen.
Menetelmä 2: uuden WordPress Admin-käyttäjän luominen tietokannan kautta
uuden admin-käyttäjän luominen on samankaltainen kuin yllä oleva prosessi käyttäjän salasanan nollaamiseksi. Mutta se on hieman monimutkaisempi. Tällä kertaa muokkaamme sekä wp_users-taulukkoa että wp_usermeta-taulukkoa.
Luo uusi tietue wp_users-taulukkoon. Aseta nämä kentät:
- user_login – käyttäjänimi, jonka haluat käyttää WordPress admin – aluetta
- user_pass – valitsemasi salasanan hash – koodi, joka on luotu käyttämällä WordPress-salasanageneraattoria
- user_email-sähköposti, jonka haluat liittää tähän uuteen tiliin
- user_rekisteröity-päivämäärä, jona tämä käyttäjä rekisteröitiin
kaikki muut kentät voivat toistaiseksi jäädä tyhjiksi. Ne eivät ole pakollisia kenttiä. Mutta voit muokata niitä myöhemmin WordPress kojelautaan, jos haluat. Tallenna uusi käyttäjätietue.
kun WordPress on tallennettu, se antaa käyttäjälle automaattisesti tunnuksen. Tämä numero tallennetaan ID-kenttään. Huomaa tämä numero.
avaa nyt wp_usermeta-taulukko. Teemme kaksi uutta levyä tähän taulukkoon.
aseta kummallekin uudelle tietueelle user_id-kenttä yllä olevaan automaattisesti luotuun ID: hen.
ensimmäistä tietuetta varten asetti meta_key-kentän wp_user_level-tasolle ja asetti meta_value-kentän arvoon 10.
toisen tietueen osalta meta_key-kenttä on wp_capabilities ja asettaa meta_value-kenttä arvoksi a: 1: {s: 13: ”administrator”; s:1:”1″;}
huomautus: Edellä käytetyt wp_user_level-ja wp_capabilities-arvot riippuvat jälleen asennuksessa käytetystä taulukon etuliitteestä. Joten, jos esimerkiksi taulukon etuliite on wp_yourdomain_, niin arvojen tulisi olla wp_yourdomain_user_level ja wp_yourdomain_capabilities vastaavasti.
Tallenna sekä tietueet että kirjaudu WordPress-verkkosivustollesi juuri luomallasi uudella käyttäjätunnuksella ja salasanalla. Riippuen siitä, kuinka vahva valitsemasi salasana oli ja jos verkkosivustosi käyttää vahvoja salasanoja, sinua saatetaan pyytää valitsemaan vahva salasana heti kirjautumisen jälkeen.
kun olet kirjautunut sisään, muokkaa käyttäjääsi WordPress-kojelaudasta. Mitään ei tarvitse muuttaa. Vieritä alas ja paina Tallenna-painiketta. WordPress sisäisesti lisätä joitakin lisätietoja uuden käyttäjän juuri luotu. Jos sinua pyydetään toimittamaan tarvittavat lisätiedot, vain toimittaa ne (esimerkiksi, sinua saatetaan pyytää toimittamaan ainutlaatuinen lempinimi).
nyt kun sinulla on uusi Admin WordPress-tili, voit halutessasi poistaa vanhan admin-tilin. Aikana delete prosessi, WordPress avulla voit määrittää kaiken sisällön luoma vanha käyttäjä uudelle käyttäjälle (tai muille olemassa oleville käyttäjille).
Menetelmä 3:” Hakkerointi ” WordPress-Salasanan Käyttäminen Funktioiden Avulla.php-tiedosto
avaa funktiot.php-tiedosto aktiivisen teeman tekstieditorissa. Tämä tiedosto löytyy yleensä täältä: public_html/wp_content/themes/your-active-theme / functions.php
Lisää tämä koodirivi tiedostoon. Voit vain liittää sen olemassa olevan sisällön loppuun.
wp_set_password('yourdesiredpassword', 1);
kannattaa valita vahva salasana. Näin, Jos sivustosi valvoo vahvoja salasanoja, sinun ei tarvitse muuttaa sitä uudelleen kirjautumisen jälkeen.
yllä olevassa tapauksessa Käyttäjän salasana, jonka tunnus on 1, nollataan.
Tallenna funktiot.php tiedosto ja käy sivustosi frontend. Käyttäjän salasana nollataan.
tärkeää: ennen kuin edes varmistat, että salasanan palautus toimi, poista ensin yllä oleva koodirivi toiminnoistasi.php-tiedosto. Jos et, salasana nollataan jokaisen sivun kuormituksen ja et ehkä koskaan onnistu kirjautumaan uudella salasanalla olet asettanut.
kun olet poistanut salasanan palautuskoodin, voit nyt kirjautua uudella salasanalla.
voit lukea lisää wp_set_password () – funktiosta täältä.
huomaa, että toisin kuin yllä olevassa tietokannan salasanan nollausmenetelmässä, voit käyttää tätä FTP-salasanan nollausmenetelmää, sinun täytyy tietää käyttäjän tunnus etukäteen. Mutta koska et ehkä jo tiedä tätä (ilman arvailua), mielestäni tietokannan salasanan palautus menetelmä (kuvattu menetelmä 1 edellä) on tehokkaampi.
Menetelmä 4: Uuden WordPress-Ylläpitäjän Luominen Toimintojen Avulla.php-tiedosto
avaa funktiot.php tiedosto aktiivisen teeman.
Lisää tämä koodi tiedostoon.
function ehi_kioya_create_admin_account(){$username = 'yourdesiredusername';$password = 'yourdesiredpassword'; // Choose a strong password. That way, if your website enforces strong passwords, you won't be required to change it again after signing in.$email = '[email protected]';// Only create user if chosen username and chosen email are not already in useif (!email_exists($email) && !username_exists($username)){$userid = wp_create_user($username, $password, $email);wp_update_user(array('ID' => $userid, 'nickname' => $email));$newuser = new WP_User($userid);$newuser->set_role('administrator');}}add_action('init','ehi_kioya_create_admin_account');
älä unohda syöttää omaa käyttäjätunnustasi, salasanaasi ja sähköpostiarvojasi. Jos WordPressissä on jo käyttäjä valitsemallasi käyttäjätunnuksella tai sähköpostilla, uutta tiliä ei luoda. Joten varmista käyttää ainutlaatuisia arvoja käyttäjätunnus ja sähköposti.
Tallenna funktiot.php tiedosto ja sitten yksinkertaisesti vierailla verkkosivuilla frontend. Koodi suoritetaan ja luodaan uusi järjestelmänvalvojan käyttäjä. Tämän jälkeen voit kirjautua uuden käyttäjän tunnuksilla.
taas, älä unohda poistaa koodia funktioista.php-tiedosto.
johtopäätös
toivottavasti jokin edellä mainituista menetelmistä auttaa sinua saamaan takaisin hallinnollisen pääsyn WordPress-verkkosivustollesi. Käyttämällä tietokantaa ja / tai tiedostojärjestelmää todistat, että sinulla on oikeuksia palvelimeen ja että sinulla pitäisi siksi olla oikeuksia sillä ylläpidettyihin verkkosivustoihin. Jos yrität hakata WordPress verkkosivuilla, johon sinulla ei ole tietokantaa eikä tiedostojärjestelmä pääsy, niin yrität hakata muiden ihmisten sivustoja ja ovat selvästi jopa mitään hyvää. Luvattoman pääsyn saaminen toisten nettisivuille on rikos, enkä opeta tai kannusta siihen.
jos havaitset, että tässä käsitellyistä menetelmistä on apua, tai sinulla on kysyttävää tai annettavaa, kerro ajatuksesi alla olevassa kommenttiosiossa.