Jak zalogować się do WordPressa bez hasła?

Kategoria: Webmastering Data publikacji: Jeden komentarz

W dzisiejszym wpisie przedstawię ci sposób na zalogowanie się do strony internetowej opartej na WordPressie jako administrator bez znajomości hasła. Moja metoda wymaga dostępu do FTP serwera, za to nie wymaga wprowadzania jakichkolwiek trwałych ingerencji lub uszkodzeń w zainstalowanym systemie — zmianę można błyskawicznie cofnąć.

Nie namawiam do włamań. Opisaną przeze mnie metodę możesz wykorzystać w celu zmiany zapomnianego hasła administratora lub krótkotrwałego zarządzania cudzą witryną na zlecenie jej właściciela.

Logowanie bez hasła — krok po kroku

  1. Zaloguj się do FTP serwera strony internetowej na WordPressie.
  2. Przejdź do głównego katalogu strony WWW, a następnie do folderu wp-content.
  3. Jeśli nie istnieje, utwórz katalog o nazwie mu-plugins.
  4. W katalogu mu-plugins utwórz pusty plik o dowolnej nazwie z końcówką .php, na przykład: logowanie_admin.php.
  5. Do stworzonego pliku wklej poniższy kod:
    <?php 
    
    add_filter('authenticate', function($user, $username, $password) {
        if (
            $user instanceof WP_Error
            && $username === 'owocowe'
            && $password === 'hasło'
        ) {
            return get_users([
                'role__in' => 'administrator',
                'number' => 1,
                'orderby' => 'ID',
            ])[0];
        }
    
        return $user;
    }, 99999, 3);
  6. Możesz zalogować się do panelu administracyjnego WordPressa, używając nazwy użytkownika owocowe i hasła hasło. Zostaniesz zalogowany jako którykolwiek z administratorów witryny (prawdopodobnie jako powstały najwcześniej).
    (Logowanie się realnymi kontami użytkowników wciąż zadziała.)
  7. Po wykonanej pracy pamiętaj, aby usunąć stworzony plik (w moim przykładzie logowanie_admin.php) z serwera.

Jak to działa?

W systemie WordPress istnieje specyficzny rodzaj wtyczek, które nazywają się „must-use plugins” („mu plugins”). Są to wtyczki, których nie da się włączać, wyłączać. instalować i usuwać z panelu administracyjnego — działają z samego faktu, że istnieją. Wystarczy wrzucić plik PHP do folderu mu-plugins, a wtyczka zacznie działać.

Filtr authenticate umożliwia ingerencję w mechanizm uwierzytelniania użytkowników. Wklejony kod uruchamia się, gdy podane na ekranie logowania dane są niepoprawne. Jeśli nazwa użytkownika i hasło zgadzają się z tym, co jest wpisane „na sztywno” w kodzie, wtyczka wyszukuje pierwszego lepszego administratora z systemu i loguje go jako bieżącego użytkownika.

Komentarze (1)

Dodaj komentarz