technikai Megjegyzéseiehi Kioya
Nos, nem pontosan Hacker. De hadd magyarázzam el…
a webtárhely az üzletem része, és ahogy várható volt, a legtöbb ügyfél a WordPress segítségével építi webhelyeit. Minden tartalmuk (fájlok és adatbázisok) a szervereimen ülnek, és bár nem rendelkezem (vagy Szeretnék) rendszergazdai fiókkal a WordPress telepítéseiken, root hozzáféréssel rendelkezem mind a fájlrendszer, mind az adatbázis szintjén.
az ügyfelek gyakran elfelejtik a WordPress bejelentkezési adatait. Amikor ez megtörténik, kizárják őket a webhelyük adminisztrációs területéről, és segítségre van szükségük a visszatéréshez. Vannak olyan esetek is, amikor a kiszolgáló rendszergazdáinak szükségük lehet arra, hogy” kényszerítsék ” az utat az ügyfél webhelyére, még akkor is, ha az ügyfél ezt nem kérte. Talán jogi okokból, vagy politikai jogsértések miatt. Vagy a nyújtott felügyeleti szolgáltatás típusától függően előfordulhat, hogy a kiszolgáló rendszergazdáinak be kell jelentkezniük a frissítések, a rutin karbantartás stb.
összefoglalva, olyan forgatókönyvek, ahol szükség lehet egy WordPress jelszó “feltörésére”, a következők:
- elfelejtette saját webhelyének felhasználónevét és e-mail címét.
- ismeri a felhasználónevet vagy az e-mail címet, de elfelejtette a jelszót. Valamilyen oknál fogva a dobozon kívüli jelszó-visszaállítási lehetőség nem működött-talán azért, mert a jelszó-visszaállítási e – mailek nem érkeznek meg. Vagy talán már nem fér hozzá az eredeti használt e-mail címhez.
- az ügyfél elvesztette a WordPress webhely bejelentkezési adatait, amelyet a nevükben tárol.
- jogi okokból vagy az irányelvek megsértése miatt Önnek be kell kényszerítenie magát az infrastruktúráján tárolt webhelyre.
- webhelyét feltörték, és az adminisztrátori fiókot törölték (vagy a jelszót megváltoztatták).
mindenesetre ez a cikk elmagyarázza, hogy a szerver adminisztrátora hogyan kényszerítheti a felhasználó WordPress jelszavának visszaállítását, vagy létrehozhat egy új WordPress adminisztrátor felhasználót egy vadonatúj jelszóval. Megmutatom, hogyan lehet ezt megtenni akár a háttér MySQL adatbázisból, akár a funkciók használatával.php fájl FTP-n keresztül. Mindkét esetben nincs szükség WordPress-fiókra a kérdéses webhelyen.
az itt feltárt módszerek a következők:
- “hackelés” WordPress jelszó az adatbázisban (jelszó visszaállításának kényszerítésével)
- új WordPress admin felhasználó létrehozása az adatbázison keresztül
- “hackelés” (Visszaállítás) WordPress jelszó a funkciók használatával.php fájl
- új WordPress admin felhasználó létrehozása a funkciók használatával.php fájl
bár a fenti módszerek egyike sem pontosan jelszó-hackelés (mivel nem használunk brute force technikákat vagy ilyesmit), a végeredmény hatékonyan “feltöri” a WordPress-be vezető utat ugyanazokkal az adminisztratív jogokkal, amelyek korábban elvesztek.
jogi nyilatkozat: az itt leírt folyamatok teljesen legálisak. Annak ellenére, hogy a jelszó hashing darab használja ezt az eszközt építettem, az eszköz a hivatalos WordPress funkció wp_hash_password() a színfalak mögött. Ezt a cikket a szerver adminisztrátorok és a webmesterek szem előtt tartásával írtam. Ez azt jelentette, hogy tisztán tájékoztató és oktatási. Ha valaki rosszindulatú okokból használja az itt található utasításokat, nem vállalhatok felelősséget.
kezdjük…
1.módszer: WordPress jelszó “feltörése” (visszaállítása) az adatbázisban
indítsa el az adatbázis-kezelő eszközt. Ez lehet phpMyAdmin, HeidiSQL, MySQL Workbench stb. Mi lesz, hogy egy változás a wp_users asztalra.
megjegyzés: a táblázat neve eltérő lehet attól függően, hogy a telepítés egyéni tábla előtagot használ-e. Ez a cikk feltételezi, hogy a wp_ a Táblázat előtagja. Ez az alapértelmezett érték. A WordPress táblanevek gyors áttekintése segít azonosítani a tábla előtagját és az ezzel egyenértékű wp_users táblát az Ön esetében. A wp-config-ban kifejezetten definiált tábla előtagot is megtalálhatja.php fájl (a változó érdekes van $table_prefix).
miután megnyitotta a wp_users táblát az adatok megtekintéséhez, képesnek kell lennie arra, hogy gyorsan azonosítsa a módosítandó felhasználói rekordot. Az érdeklődési terület (amely a kivonatolt jelszót tartalmazza) a user_pass mező. Ennek a mezőnek olyan értéke lesz, amely így néz ki: $P$BE.lIb0ypAKBR2OZCREKMwSrPiWW9g1
indítsa el a WordPress jelszó Hash generátort. Írja be a felhasználó számára kívánt új jelszót, majd kattintson a “Hash ezt a kifejezést” gombra. Másolja a generált karakterláncot, és cserélje ki az aktuális user_pass értéket. Képesnek kell lennie az érték szerkesztésére, ha csak duplán kattint rá.
mentse el a módosításokat, és jelentkezzen be a WordPress adminisztrációs területére az új jelszóval. Attól függően, hogy milyen erős volt a választott jelszó, és ha webhelye erős jelszavakat érvényesít, előfordulhat, hogy a bejelentkezés után azonnal meg kell adnia egy erős jelszót.
2. módszer: új WordPress Admin felhasználó létrehozása az adatbázison keresztül
új admin felhasználó létrehozása hasonló a felhasználói jelszó visszaállításának fenti folyamatához. De ez egy kicsit bonyolultabb. Ezúttal mind a wp_users táblát, mind a wp_usermeta táblát módosítjuk.
hozzon létre egy új rekordot a wp_users táblában. Állítsa be ezeket a mezőket:
- user_login – a WordPress adminisztrációs területéhez való hozzáféréshez szükséges felhasználónév
- user_pass – a választott jelszó hash kódja, amelyet a WordPress Password Hash Generator segítségével generált
- user_email – az új fiókhoz társítani kívánt e – mail
- user_registered-a felhasználó regisztrációjának dátuma
az összes többi mező egyelőre üres maradhat. Ezek nem kötelező mezők. De később szerkesztheti őket a WordPress irányítópultjáról, ha úgy tetszik. Mentse az új felhasználói rekordot.
a mentés után a WordPress automatikusan megadja a felhasználó azonosítóját. Ez a szám az azonosító mezőbe kerül. Jegyezze fel ezt a számot.
most nyissa meg a wp_usermeta táblát. Két új rekordot hozunk létre ebben a táblázatban.
mindkét új rekord esetében állítsa a user_id mezőt a fenti automatikusan generált azonosítóra.
az első rekordnál állítsa a meta_key mezőt wp_user_level értékre, a meta_value mezőt pedig 10-re.
a második rekordnál állítsa a meta_key mezőt wp_capabilities értékre, a meta_value mezőt pedig a:1:{s:13:”administrator”;s értékre:1:”1″;}
megjegyzés: A fent használt wp_user_level és wp_capabilities értékek ismét a telepítésben használt tábla előtagtól függenek. Tehát, ha például a tábla előtagja wp_yourdomain_, akkor az értékeknek wp_yourdomain_user_level, illetve wp_yourdomain_capabilities értékeknek kell lenniük.
mentse el mind a rekordokat, mind a bejelentkezést a WordPress webhelyére az imént létrehozott új felhasználónévvel és jelszóval. Attól függően, hogy milyen erős volt a választott jelszó, és ha webhelye erős jelszavakat érvényesít, előfordulhat, hogy a bejelentkezés után azonnal meg kell adnia egy erős jelszót.
miután bejelentkezett, szerkessze a felhasználót a WordPress irányítópultjáról. Nem kell semmit megváltoztatni. Csak görgessen lefelé, majd nyomja meg a Mentés gombot. A WordPress belsőleg hozzáad néhány extra információt az éppen létrehozott új felhasználóhoz. Ha a rendszer további szükséges információk megadását kéri, csak adja meg őket (például egyedi becenevet kell megadnia).
most, hogy új rendszergazdai WordPress-fiókkal rendelkezik, folytathatja a régi rendszergazdai fiók törlését, ha úgy tetszik. A törlési folyamat során a WordPress lehetővé teszi, hogy a régi felhasználó által létrehozott összes tartalmat az új felhasználónak (vagy bármely más meglévő felhasználónak) tulajdonítsa.
3.Módszer: WordPress Jelszó “Feltörése” A Funkciók Használatával.php fájl
nyissa meg a funkciókat.az aktív téma php fájlja egy szövegszerkesztőben. Ez a fájl általában itt található: public_html/wp_content/themes/your-active-theme / functions.php
adja hozzá ezt a kódsort a fájlhoz. Csak hozzáfűzheti a meglévő tartalom végén.
wp_set_password('yourdesiredpassword', 1);
a legjobb, ha erős jelszót választ. Így, ha webhelye erős jelszavakat érvényesít, akkor a bejelentkezés után nem kell újra megváltoztatnia.
a fenti esetben az 1-es azonosítóval rendelkező felhasználó jelszava visszaáll.
mentse el a funkciókat.php fájlt, és látogasson el a webhely frontend. A felhasználó jelszava visszaáll.
fontos: mielőtt még megerősítené, hogy a Jelszó visszaállítása működött, először törölje a fenti kódsort a funkcióiból.php fájl. Ha nem, akkor a jelszó minden oldal betöltésekor visszaáll, és előfordulhat, hogy soha nem sikerül bejelentkeznie a beállított új jelszóval.
a jelszó-visszaállító kód törlése után most bejelentkezhet az új jelszóval.
a wp_set_password() függvényről itt olvashat bővebben.
vegye figyelembe, hogy a fenti adatbázis-jelszó-visszaállítási módszerrel ellentétben ennek az FTP-jelszó-visszaállítási technikának a használatához előzetesen ismernie kell a felhasználó azonosítóját. De mivel lehet, hogy ezt még nem tudja (találgatás nélkül), úgy gondolom, hogy az adatbázis jelszó-visszaállítási módszere (amelyet a fenti 1.módszer ír le) erősebb.
4. Módszer: Új WordPress Admin Felhasználó Létrehozása A Funkciók Használatával.php fájl
nyissa meg a funkciókat.az aktív téma php fájlja.
adja hozzá ezt a kódot a fájlhoz.
function ehi_kioya_create_admin_account(){$username = 'yourdesiredusername';$password = 'yourdesiredpassword'; // Choose a strong password. That way, if your website enforces strong passwords, you won't be required to change it again after signing in.$email = '[email protected]';// Only create user if chosen username and chosen email are not already in useif (!email_exists($email) && !username_exists($username)){$userid = wp_create_user($username, $password, $email);wp_update_user(array('ID' => $userid, 'nickname' => $email));$newuser = new WP_User($userid);$newuser->set_role('administrator');}}add_action('init','ehi_kioya_create_admin_account');
ne felejtse el megadni saját felhasználónevét, jelszavát és e-mail értékeit. Ha már van egy felhasználó a WordPress-ben a kiválasztott felhasználónévvel vagy e-mail címmel, akkor nem jön létre új fiók. Ezért ügyeljen arra, hogy egyedi értékeket használjon a felhasználónévhez és az e-mailhez.
mentse el a funkciókat.php fájlt, majd egyszerűen keresse fel webhelyének frontendjét. A kód végrehajtásra kerül, és létrejön az új rendszergazda felhasználó. Ezután bejelentkezhet az új felhasználó hitelesítő adataival.
ismét ne felejtse el törölni a kódot a funkciókból.php fájl.
következtetés
remélhetőleg a fent tárgyalt módszerek egyike segít visszaszerezni az adminisztratív hozzáférést a WordPress webhelyéhez. Az adatbázis-és/vagy fájlrendszer-hozzáféréssel Ön bizonyítja, hogy jogosult a szerverre, és ezért jogosultsággal kell rendelkeznie az azon tárolt webhelyekre. Ha olyan WordPress webhelyet próbál feltörni, amelyhez nincs sem adatbázis, sem fájlrendszer-hozzáférése, akkor megpróbálja feltörni más emberek webhelyeit, és nyilvánvalóan nem jó. Jogosulatlan hozzáférés más emberek webhelyeihez, mint ez, bűncselekmény, és nem valami, amit tanítok vagy bátorítok.
ha hasznosnak találta az itt tárgyalt módszereket, vagy kérdése vagy hozzájárulása van, kérjük, ossza meg gondolatait az alábbi megjegyzések részben.