W poprzednim temacie pokazałem strukturę tabel w bazie danych systemu WordPress. Też pisałem o kluczowych tabelach, które są dość istotne. W tym temacie pokażę, jak wygląda zmiana hasła w bazie danych WordPress, gdy ktoś dostanie się na nasze konto administratora. W tym temacie będzie pokazana metoda 1.
Zapomnijmy o tradycyjnych metodach odzyskiwania hasła, jakie jest przy logowaniu, czyli przypomnij hasło oraz zapomnijmy o zmianie hasła w panelu kokpitu systemu WordPress. Dlaczego mamy zapomnieć? jeżeli ktoś nam przejmie konto (a nie zapomnimy hasła), to wtedy będzie trzeba ręcznie zmienić hasło w bazie danych, a w zasadzie w jednej tabeli.
Zanim zacznę omawiać zmianę hasła w bazie danych, to wrócę do wspomnianego w poprzednim temacie narzędzia, do którego podałem link, który zamienia hasło na odpowiedni hash, jaki jest w WordPress. A generator do zmiany hasła jest na tej stronie https://codebeautify.org/wordpress-password-hash-generator. Na poniższym zrzucie jest pokazane zdjęcie tego narzędzia.
Generator haseł dla CMS WordPress
Wystarczy wpisać swoje hasło i nacisnąć zielony przycisk z napisem Generate WordPress Hash, i po tym, ukaże się na dole, w drugim polu nasze zahaszowane hasło, które kopiujemy i wklejamy, co teraz pokażę na innym przykładzie a nie na wygenerowanym haśle.
Zakładamy, że już mamy zmienione hasło, co pokazuje poniższy zrzut z pokazanym zapytaniem UPDATE…. Idąc dalej.
Stare hasło z dodanymi jedynkami
W tabeli wp_users widać hasło z jedynkami na końcu, co pokazuję strzałką czerwoną. Aby zmienić hasło na takie, jakie mieliśmy (tak zakładam) i wiemy jaki hash był wygenerowany, to klikamy dwukrotnie na pole hasła, które zamieni się w pole edycji, co pokazuje na poniższym zdjęciu.
Zmienione hasło na wybrane przez użytkownika
Gdy usuniemy te jedynki zatwierdzając enterem, to pokaże się nam hasło bez jedynek z zapytaniem SQL, które jest nad tabelą. Poniżej przedstawiam zmienione hasło po usunięciu jedynek.
Usunięte jedynki z hasła
Metoda 1 jest metodą awaryjną, gdy nam ktoś włamie się do konta i zmieni nasze hasło, to warto pamiętać, że są ataki typu SQL Injection, które polegają na wstrzykiwaniu złośliwego kodu SQL. Jeżeli nie mamy zabezpieczonej strony, to i taką metodą atakujący może zmienić hasło jak i nazwę użytkownika!. Nie bez powodu pogrubiłem hasło i nazwę użytkownika, gdyż jeżeli stracimy dostęp, to możemy i też stracić dostęp do sklepu, i wszystkich danych, jakie mamy na stronie.
Jest to jedna z kilku metod zmiany hasła, ale ta jest najprostsza pod warunkiem, że mamy dostęp do bazy danych. Jak nie, to mamy problem.