Как зайти в админку WordPress без доступа к хостингу?

Question

[Pashtet221]

Заказчик дал доступ к FTP и админке, но для админки неверно указал логин и пароль, а теперь не выходит на связь. Знаю что можно поменять через PHPMyAdmin, но не знаю как туда попасть без хостинга...

Comments

[Froggyweb]

а зачем тебе попасть в БД если заказчик не выходит на связь?

[AlexVWill]

Знаю что можно поменять через PHPMyAdmin, но не знаю как туда попасть без хостинга...

Никак. Потому что а) логин и пароль PHPmy это логин и пароль пользователя БД, например MySQL, и хранится он тоже в б.д. Для его получения или изменения надо в мускул зайти через консоль, либо рутом либо пользователем в соответствующим уровнем. А еще, у меня например, для входа стоит 2FA, так что даже получив пароль ты в PHPmy не зайдешь.
b) Пароли хранятся внутри базы в виде хэшей, скорее всего, т.е. узнать пароль не получится, но можно его сбросить. Но если ты начнешь сам какие то пароли менять - заказчику это явно не понравится. Мне бы на его месте точно не понравилось.
с) Если тебе заказчик дал FTP доступ на всю систему, а не только на папки /var/www/mysite, то он ссзб, так никто не делает... ))) Если же нет, то тем более ты нкуда не попадешь... )))

[Saboteur]

пароль от MySQL не может храниться в БД, как сайт тогда к БД получит доступ, если пароль в БД?

[AlexVWill]

Saboteur, учим матчасть

https://dev.mysql.com/doc/mysql-security-excerpt/8...).

[Saboteur]

AlexVWill, Еще один юноша, который торопится писать, и не умеет дочитать до конца.
Может быть уточнишь, что именно ты пытаешься мне сообщить?

Answer 1

[Refguser]

Имея доступ к ФТП можно сделать всё. Наиболее "легально" - это скинуть пароль, но боюсь это не понравиться заказчику.

В общем, в твоём случае правильнее дождаться заказчика с правильными данными.

Comments

[Sanes]

Или закинуть wp-cli и добавить еще одного админа. Если хостинг не совсем странный, то реализуемо.

[Saboteur]

Через фтп можно отключить аворизацию в конфигах, зайти под "админом" без пароля, сделать себе отдельного пользователя, потом восстановить авторизацию.
Ну или дождаться заказчика с правильным паролем.

[Refguser]

Saboteur, просвети, как зайти под админом без пароля, Я такого не знаю.

[Refguser]

Sanes, много чего можно. Даже ПМА или админер закинуть на хост. (а вп-кли на шареде практически невозможен Да и знания нужны. Тут же ТС элементарного не знает/не понимает)

[Saboteur]

Refguser, найти в исходниках движка php авторизацию и убрать условие, сделать безусловное подтверзждение вне зависимости от правильности пароля.
элементарно же

[Refguser]

Saboteur, аа.. понятно, пустая болтовня. Я уж думал и правда есть такая дыра в ВП. :)

[Saboteur]

Refguser, Не понял, причем тут пустая болтовня и причем тут "дыра"?

ВП написан на PHP, и там есть код отвечающий за авторизацию.
Если у человека через ftp есть доступ к исходникам, то он легко может организовать себе такой разовый логин. Если вы не понимаете как это работает, дайте фтп доступ к вашему сайту, продемонстрирую.
При этом я вообще не разработчик на PHP, так, могу хелло ворлд на нем написать. Но можете указать любой движок, этот момент в движке находится за 5-10 минут

[Sanes]

Refguser,

а вп-кли на шареде практически невозможен

Полно шаредов с SSH.

[Refguser]

Sanes, далеко не полно, хотя да встречаются. Но среди них намного меньше куда можно установить вп-кли.

[Refguser]

Saboteur,

Не понял, причем тут пустая болтовня и причем тут "дыра"?

В этом и проблема. Но я не готов тебя учить, тем более в коментах.
Но единственное что скажу:

ВП написан на PHP, и там есть код отвечающий за авторизацию.

Пока не найдешь и не покажешь как это реализовать на практике - это и будет пустая болтовня. Давай, там же 10 минут на всё про всё :)

[Sanes]

Refguser, если шаред не предоставляет SSH, то нахрен он не нужен. XXI век на дворе.

[Refguser]

Sanes, ты не путай SSH и вп-кли. Даже если и будет SSH (и хорошо если не обрезанный) - вп-кли не будет в 99,(9)% случаев. он есть только у единиц.

Да и насчёт "если шаред не предоставляет SSH, то нахрен он не нужен" ты тоже не прав - 99% юзерам оно нафик не нужно. Действительно 21 век на дворе, а любителей в консольке буковки писать не переводно :) В то время как есть человечные интерфейсы управления (но не будем об этом... это я о "наболевшем")

[Sanes]

Refguser, WP-CLI обычная Phar библиотека. Как и Сomposer.

[Sanes]

Refguser, сейчас требования к шареду не такие, как 10 лет назад. И консоль нужна и нода и много чего еще. Это всё можно предоставить в рамках шареда, не заставляя клиента настраивать окружение самостоятельно на сервере.

[Saboteur]

Refguser,

В этом и проблема. Но я не готов тебя учить, тем более в коментах.

Прости, юноша с яростным взором, но похоже єто мне тебя нужно учитьт, если ты до сих пор не въехал в ситуацию. Это же база.

Пока не найдешь и не покажешь как это реализовать на практике - это и будет пустая болтовня. Давай, там же 10 минут на всё про всё :)

Дашь фтп доступ к своему сайту с WP?

[Saboteur]

Ладно. На всякий случай поясняю как для чайника.
Идешь через ftp, находишь в файлах WP папку includes, в ней user.php
Там находишь

if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {
		return new WP_Error(
			'incorrect_password',
			sprintf(
				/* translators: %s: User name. */
				__( '<strong>Error:</strong> The password you entered for the username %s is incorrect.' ),
				'<strong>' . $username . '</strong>'
			) .
			' <a href="' . wp_lostpassword_url() . '">' .
			__( 'Lost your password?' ) .
			'</a>'
		);
	}

Это и есть проверка пароля.
Удаляешь в строчке восклицательный знак, сохраняешь файл, логинишься с любым паролем. Потом возвращаешь восклицательный знак, но ты уже залогинен.

if ( ! wp_check_password( $password, $user->user_pass, $user->ID ) ) {

И да, потратил на это ну минут 5-6.

[Refguser]

Sanes,

сейчас требования к шареду не такие, как 10 лет назад. И консоль нужна и нода и много чего еще. Это всё можно предоставить в рамках шареда, не заставляя клиента настраивать окружение самостоятельно на сервере.

Во первых это опять же не нужно 99% юзерам. а потому - во-вторых нет этого на шаредах. У меня с десяток клиентов на шаредах и ещё я в год из десятками тестирую.
Я встречал ноду только на парочке шародов. SSH чуть больше, но тоже редкость и зачастую неполноценный.

А в рамках данного вопроса это всё опять же нафик не нужно. Если уж зашла речь о залезть в базу, то проще тот же админер или pma закинуть и заюзать.

[Refguser]

Saboteur, ОК, почти убедил... Но.. на, войди :) (я там удалил проверку по твоему рецепту)

[Saboteur]

[Refguser]

Saboteur, ну и? Ты админ, правда? :)

[Sanes]

Refguser,

Как зайти в админку WordPress без доступа к хостингу

[Refguser]

Sanes, не понимаю что ты хотел этим сказать, но если читать дальше заголовка, то у ТС есть доступ к хостингу. По ftp, внезапно. А вот доступов к ssh и всего другого как раз нет.

[Sanes]

Refguser, у него есть доступ к FTP, а не к панеле управления хостинга. Это разные вещи. В панеле управления могут быть другие полезные инструменты. Тот же shell клиент.

[Saboteur]

Refguser, Скажешь админского юзера, стану админом.
То, что ты сделал юзера admin без ролей - это странные шутки школьника.

Я не понимаю, в чем твоя проблема, и что ты хочешь кому-то доказать.
Админку к сайту легко получить, если у тебя есть доступ к исходникам сайта. Это как бы понятно любому.
Но ты тут ерзаешь, ехидничаешь над шутками, которые придумал сам для себя, и вообще непонятно какую проблему ты решаешь.

Если прям хочешь что-то доказать, давай полную задачу, что именно сделать, и дай доступ к ФТП нормального вордпресс сайта, откуда ж я знаю что ты там накрутил специально. Я же проверял перед тем как постить, поэтому не делай пожалуйста из себя дурачка.

[Refguser]

Sanes,

у него есть доступ к FTP, а не к панеле управления хостинга.

Так я о чём?! К файлам доступ есть, а к ssh и прочему нет. Закинуть по фпт админер или пма проблем нет никаких. (да и вообще пма и так может быть доступен по стандартному урлу и не надо ничего закидывать)

[Refguser]

Saboteur,

То, что ты сделал юзера admin без ролей - это странные шутки школьника.

Я тебе один вещь скажу, только ты не обижайся (с). В ВП нет дефолтного админа с логином "admin". Таким образом чтобы зайти админом нужно знать его логин. (а ты его не знаешь :))

Более того - при этом зайти с паролем не сможет ни один юзер. Что может быть уже чревато.
А куда более опасно, что созданной дырой может воспользоваться злоумышленник. Да, это можно сделать быстро (если внезапно что-то не случится и дыра останется жить), но факт имеет место быть.

А ещё большинство сайтов защищено разными защитами для доступа в админку. И при грамотном админе твой способ создания дыры не сработает.

Но признаю - способ создания дыры существует и он, как оказалось, достаточно прост. Спасибо что показал, это ещё раз показывает что я не зря предпринимаю доп меры защиты админки.

Админку к сайту легко получить, если у тебя есть доступ к исходникам сайта

БИНГО! А теперь внимательно прочти мой ответ, который ты комментишь. :) Обрати внимание - это можно сделать, не делая дыры в движке.
И "не делай пожалуйста из себя дурачка" (с).

[Saboteur]

Refguser, молодой человек.
Во-первых уберите из вашего тона снисходительность.
У топикстартера есть конкретная проблема - он не знает пароль, а юзера он знает, и мой совет совершенно рабочий.
Ты же сперва упорно "не понимал" как это работает, потом упорно считал, что это невозможно, потом когда уже и скриншоты есть и оказывается все работает, начал сворачивать с темы что админ не админ. Опять же можно не менять !, а поменять условие, чтобы пускало вне зависимости от совпадения или несовпадения пароля, то есть не аффектя других юзеров.

Причем тут большинство сайтов, причем тут "создание дыры". Это инженерное решение для конкретного случая. У тебя свой ответ, у меня свой ответ. Оба решают проблему.
Но я вообще не вижу в тебе какого-либо желания диалога, только попытки потешить ЧСВ.

[Refguser]

Saboteur, за молодого спасибо, а в остальном прекращай ерепениться и включай голову.
Попробую в последний раз донести: ненужно создавать никакой дыры, есть легальные и простые способы. Доступные простым юзерам, даже не особо шарящим в коде.
За сим откланиваюсь.

[Saboteur]

Нет. Ваш совет оказался - ресет пароля.
Что в кейсе топикстартера не является хорошим решением.

Изначально спор зашел о чем? Я сказал что при наличии доступа к исходникам, можно отключить авторизацию и зайти. Способов много. Можно делать безопасно (захардкодить условное true для одного конкретного админского пользователя на пару секунд), если ты считаешь что даже несколько секунд отключение авторизации для всех слишком опасно.

Что сказал ты - что это невозможно, что нельзя так исправить исходники. Что прям удивительно если ты вроде как считаешь себя спецом.

Я показал пример, где править - ты начал уходить в другую сторону, подделывать неадминского юзера, хотя речь шла про логин без знания/ресета пароля, а не о взломе сайтов.

Я вот не знаю, как простой юзер может ресетнуть пароль чужого аккаунта, не ковыряясь в коде совсем. Нет такого легального способа.

[Refguser]

Saboteur,

Нет. Ваш совет оказался - ресет пароля.
Что в кейсе топикстартера не является хорошим решением.

Научись уже читать. Мой главный совет "в кейсе топикстартера" - дождаться заказчика. А сброс пароля показан как легальные методы. (а при наличии немного ума можно догадаться что можно временно заменить на свой, а потом вернуть прежний)

Что сказал ты - что это невозможно, что нельзя так исправить исходники. Что прям удивительно если ты вроде как считаешь себя спецом.

Я точно сказал "не возможно* или ты опять выдаёшь желаемое за действительное?

ты начал уходить в другую сторону, подделывать неадминского юзера,

Если бы ты знал ВП или хотя бы умел читать что тебе пишут (СНОВА!), то такой чуши не написал бы.
Но попробую ещё раз: в ВП логин админа задаётся вручную. А логин "admin" я создал специально, в надежде что ты подумаешь и поймёшь (я же знал что ты именно этот логин начнёшь "ломать" :) ). Но, как видно не сложилось. Что ж бывает.

Я вот не знаю, как простой юзер может ресетнуть пароль чужого аккаунта, не ковыряясь в коде совсем. Нет такого легального способа.

"Простой" юзер имеющий доступ к ФТП может сделать всё легально(=безопасно). Не создавая дыру. И несколькими способами. И даже не "ковыряясь" в коде можно (если под в твоё "ковырятся" не входит "прочитать конфиг").

И для не умеющих читать и понимать с первого раза повторю:
Твой способ почти рабочий, но опасный, тяжёлый и создающий проблемы для других юзеров. В то время как есть простые и безопасные способы.
А спрашивая тебя о создании безпарольного входа я именно про легальный способ спрашивал, а не про создание дыры (ибо таких способов больше одного)

[Saboteur]

Твой способ почти рабочий

Где почти, если он позволяет залогиниться под юзером, не зная пароля?

Во-вторых смена проверки, это просто быстрый пример для демонстрации. Можно изменить проверку так, чтобы не аффектить юзеров. И это я уже два раза повторил.

"легальный" способ - ЛЮБОЙ, если ты имеешь доступ к исходникам. Нужно понимать значение слова легальный. Разделять слова легальный и штатный. Разделять слова "решает проблему" и "мне хочется именно вот так, а все остальное мне не нравится".

(а при наличии немного ума можно догадаться что можно временно заменить на свой, а потом вернуть прежний)

Это сделать сложнее, чем поправить строчку в коде. Для этого уже нужно лезть в код за кредами от базы, лезть в базу, там разбираться в каком виде все хранится, разбираться в sql, что у топикстартера вызывает проблемы.
То есть ты опять предлагаешь лишний оверинженеринг на пустом месте.

Что самое интересное, ты был крайне удивлен, что авторизацию можно отключить простым ковырянием исходников? То есть реально? Не было никаких подозрение, что все что происходит на сайте, включая авторизацию, это действия запрограммированные в исходниках, и естественно можно найти это кусок и изменить его как угодно. Убрать, отключить, добавить двойную авторизацию, изменить с пароля на что-нибудь еще?
Тут как бы не обязательно "знать такой способ" и надо делать "дополнительные действия по защите админки". Просто доступ к исходникам прямо на сайте нельзя никому давать, это как бы настолько база, что я поэтому и душню.

[Refguser]

Saboteur,

Где почти, если он позволяет залогиниться под юзером, не зная пароля?

Если для тебе нормально ломать стену чтобы зайти в дом когда забыл ключи у любовницы- тогда вопросов не имею.
А у любого адекватного человеке есть несколько нормальных, легальных путей попасть в дом, не нарушая его целостности.

Ида. Почему "почти" я уже объяснял, но ты же не читатель, ты спорщик.
Повторю последний раз:
1. Так невозможно получить зайти под админом не зная его логин.
2. Так невозможно получить доступ даже зная логин, если админ не дурак и применяет доп. защиты доступа.
3. Так ломается механизм авторизации юзеров.
4. Это создаёт дыру. А надеяться на "я сделаю всё быстро" может только ничего не соображающий в безопасности.

Итого: Реализовывать это (равно как и отстаивать) может такое только идиот, игнорирующий безопасные способы.

Что самое интересное, ты был крайне удивлен, что авторизацию можно отключить простым ковырянием исходников?

пзхапист не читатель (или, скорее не осилятор порчитаного), ему надо по нескольку раз раз повторять
Ок, на бис:

А спрашивая тебя о создании безпарольного входа я именно про легальный способ спрашивал, а не про создание дыры (ибо таких способов больше одного)

--

"легальный" способ - ЛЮБОЙ, если ты имеешь доступ к исходникам.

Ничёсе какой тяжёлый случай. Легально только то, что описано в документации/на оф сайтах.

Это сделать сложнее, чем поправить строчку в коде.

Это очень просто, а в большинстве случаев даже проще чем "поправить стройку в коде". Но главное - это безопасно и не ломает работу сайта.
Хотя кому я это говорю.. Ладно. я устал ликбезить. Бывай.

[Saboteur]

Ида. Почему "почти" я уже объяснял, но ты же не читатель, ты спорщик.
Повторю последний раз:
1. Так невозможно получить зайти под админом не зная его логин.

Что совершенно неважно в данном конкретном случае, ибо топикстартер знает логин админа.
Что совершенно несложно, ибо имея доступ к исходникам и соответственно базе данных, можно получить список всех юзеров и их роли.

2. Так невозможно получить доступ даже зная логин, если админ не дурак и применяет доп. защиты доступа.

Все твои "доп. защиты" также будут находиться где-то здесь, в коде. И я непонимаю, что значит "админ не дурак". Не дурак не даст доступа к исходникам левым людям.

3. Так ломается механизм авторизации юзеров.

Мне в четвертый раз повторить, что в исходниках можно поправить авторизацию разными способами, в том числе и не ломая остальных юзеров, или ты научишься читать?

4. Это создаёт дыру. А надеяться на "я сделаю всё быстро" может только ничего не соображающий в безопасности.

Мне в пятый раз повторить, что можно подправить аворизацию без создания дыры?

Ликбезить пожалуйста научись себе.
Начиная от того, что "так сделать невозможно", до "это очень опасно, ай ай ай", ваш слив засчитан, сэр.

[Refguser]

Saboteur, да ты реально упор[от|н}ый :)

Что совершенно неважно в данном конкретном случае, ибо топикстартер знает логин админа.

И опять ты неосилил вопрос - данные не верные. :) Но данный конкретный случай не причём в разрезе твоего "решения".

Все твои "доп. защиты" также будут находиться где-то здесь, в коде.

Ты настолько безграмотен? Про защиты на уровне сервера не знаешь? Это печально.

Мне в четвертый раз повторить, что в исходниках можно поправить авторизацию разными способами, в том числе и не ломая остальных юзеров, или ты научишься читать?

Ты б определился уже - немного поправить одну строку или написать побольше (не зная админа :) )..

Мне в пятый раз повторить, что можно подправить аворизацию без создания дыры?

Да хоть в сотый. Отмена авторизации - есть дыра. Но ты даже этого не в состоянии понять.

[Saboteur]

Ты б определился уже - немного поправить одну строку или написать побольше (не зная админа :) )..

Процитирую самый первый ответ:
"Через исходники можно отключить авторизацию"
Кури мысль =)

[Refguser]

Saboteur, ну ты видать уже накуренный, ибо сея выдуманная сентенция встречается только в этом твоём комменте :)

[Saboteur]

Refguser, Ну так посмотри первый мой камент в этом треде, если так плохо со зрением. Там через фтп доступ к исходникам.
Но это стандартная беда у современных 22-летних сеньоров, которые не совсем понимают как можно править код, если это вдруг не по инструкции сверху.

[Refguser]

Saboteur,

Но это стандартная беда у современных 22-летних сеньоров

Самокритично, юноша. :) Ваш подростковый максимализм готов ломать стены, лишь бы не читать инструкций и не пользоваться опытом поколений.

Но бывай, упорный.

[Saboteur]

Refguser, Мы оба упертые бараны.
И оба давно не юноши (

Answer 2

[Игорь]

Доступ к файлам, хранящимся на хостинге, ничего не даст. Это просто файлы, как я понимаю, движка WP.
Пароли и прочая - хранятся в БД, а не файлах. Я уверен. Это же не колхоз прошлого века какой-нибудь.
Хранятся они в БД не в чистом виде, а, скорее, в виде хэшей (зашифрованный вид).
Таблицами можно свободно манипулировать (удалять, копировать и прочее) - вроде бы так.
Чтобы получить доступ к записям БД нужен инструмент. В качестве которого применяется PHPMA.
Значит, нужно знать: пароль, название, что там еще? Для подключения к БД и корректировки нужных полей таблиц. Чтобы как-то сбросить пароль (удалить запись) или положить нужный хэш, сгенерированный по известному паролю (естественно, в том формате, что предполагает это поле БД). Текстовый, числовой и т. п. - формат (вроде бы так) данного поля БД. Хэши - естественно, тоже бывают разные (используются разные методы шифрования). Все это дело, понятно, должно быть выбрано правильно!
В PHPMA можно попасть, зная путь к его главной странице на сайте (см. структуру файлов на хостинге). Но, повторюсь, этого мало. Нужны сведения для подключения к БД: название, пароль. Вот тогда, если подключишься, можно будет думать дальше.

Comments

[Refguser]

Доступ к файлам, хранящимся на хостинге, ничего не даст.

Всё даст. И это касается не только ВП, а вообще любого движка.
Не нужно давать ответов не зная предмета.