Как прочитать пароль пользователя wordpress сторонним приложением?

Question

[Роман Полянский]

Пишу отдельный сайт для проекта на Wordpress (тесно связанно) и мне нужны юзвери из бд вп..
Точнее.. Где находится соль и как шифруется пароли у wp?

Answer 1

[Игорь Воротнёв]

WordPress не использует примитивный MD5. Для хеширования паролей используется phpass. Смотрите файл class-phpass.php.

При создании пароля вызывается функция wp_set_password(), которая вызывает wp_hash_password(). Та хеширует его с помощью phpass и возвращает, далее wp_set_password() пишет хеш в базу. Все что вам нужно находится в упомянутом выше файле. Соли находятся в wp-config.php

Comments

[Роман Полянский]

Благодарю.. Придется вырывать 2 файла из вп, чтобы все работало :)

Answer 2

[Иван Козлов]

как и написал Ульрих пароли хранятся в таблице wp_users в виде хеша. Что такое хеш можно посмотреть здесь
Алгоритм хеширования пароля - md5. У php есть для этого функция md5(). Так же есть онлайн сервисы по генерации пароля, например этот.

Для установки в wp пароля есть функция
<?php wp_set_password( $password, $user_id ) ?>

Comments

[Роман Полянский]

но чтобы авторизировать юзера во втором проекте, нужно эти хеши сравнить, а вот где вп хранит соль?

[Иван Козлов]

Роман Полянский: Точно не подскажу сейчас. Сам хеш генерируется функцией wp_hash_password которая находится в wp-includes/pluggable.php. Эта функция использует класс PasswordHash, код которого в wp-includes/class-phpass.php

[Иван Козлов]

Иван Козлов: соль генерируется функций gensalt_private в wp-includes/class-phpass.php

[Роман Полянский]

Иван Козлов: на сколько я понял, мне придется данный микрофреймворк вкладывать в свой проект, чтобы сравнивать пароли :)

[Иван Козлов]

Роман Полянский: да) надо разобраться с этим. Если разберешься - дай знать, самому интересно)

[Роман Полянский]

Иван Козлов: Окей ;)

[Игорь Воротнёв]

Иван Козлов: WordPress не использует MD5! Смотрите class-phpass.php

[Иван Козлов]

Игорь Воротнёв: хм, я прочитал тут https://codex.wordpress.org/Function_Reference/wp_...

[Игорь Воротнёв]

Иван Козлов: К сожалению, документация Кодекса местами устарела. Всегда надо код смотреть. MD5, и то как один из составляющих шагов, сохранился исключительно как legacy (думаю не стоит объяснять почему в WP столько legacy поддержки). По умолчанию он уже некоторое время не используется.

[Роман Полянский]

Иван Козлов: так особо и не смог разобраться.. там после каждой обновы странички выходит новый хеш.. сделал авторизацию по кукам пока что..

[Роман Полянский]

Иван Козлов: оказалось проще некуда :D

$hasher = new PasswordHash(8, false);

$hash = $hasher->HashPassword(Тут пароль); // Метод создания пароля у вп

//проверяем :)
if (password_verify('Пароль юзера', $hash)) {
echo 'Password is valid!';
} else {
echo 'Invalid password.';
}