找回WordPress管理员密码一例
今天下午,部门用WordPress搭建的主页遭到了不明身份人员的攻击,试图盗用管理员密码,造成我的两个管理员帐号同时失效。经过我的努力,使得密码找回,网站恢复正常运行。
你一定会问:密码找回很难么?不是WordPress登录界面就提供了“密码找回”功能么?直接找回不就可以么?
不!这次的情况比较特殊,我们用Apache搭建的服务器没有配置smtp邮件发送服务,也就是说,部门的WordPress系统不能将新生成的随机密码发送到指定邮箱!
正是由于这点,这个“黑客”没能够收到生成新密码的邮件(当然还需要有一个前提就是他能够进入我的公司邮箱,当然这很难)。不过他的行为已经使得两个管理员帐号密码变成了新的随机数,没有知道是哪个数字。此时,网站就相当于没有了管理员,这怎么能行!
于是,我开始了以下步骤,找回WordPress管理员的密码:
1、找到WordPress对应的MySQL数据库备份文件(我已将MySQL设置为每日定时执行MySQLdump命令进行自动备份),用EmEdittor打开这个.sql文件查看,找到与帐号和密码有关的行:
INSERT INTO wp_users VALUES (1,’admin’,'XXXXXXXXXXXXXXXXXXXXX”……
其中的“XXXXXXXXXXXXXXXXXXXXX”就是根据用户密码生成的32位MD5值。什么是MD5?自己Google吧~
2、将管理员的这个密码更改为已知字符串的MD5值。这里有个简单的方法,如果除了admin还有其他帐号的话,可以将其他帐号密码的MD5值直接复制粘贴到admin帐号的密码位置(我就是用了这个方法)。然后将sql备份文件保存。
3、 将此sql文件恢复到MySQL数据库当中,可以采用phpMyAdmin、MySQL GUI Tool、或者最基本的MySQL命令:
mysql -u -p 数据库名<备份文件名.sql
我使用的是MySQL GUI Tool,它在恢复过程中出现“版本不符”的错误提示,直接忽略即可。(至于副作用,现在时间太短,还看不出来,不过至少网站的大部分内容已经恢复了。)
4、用admin帐号和已知字符串当作密码登录WordPress后台,然后你就知道该干什么了吧?:)
