Как восстановить пароль администратора WordPress. Wordpress пароль администратора


Как защитить WordPress от взлома? Подбор пароля к админке. Настройка Login Lock.

Привет! Вчера я написал статью о том, как сломали мой сайт на DLE и подсунули мне вредоносный код, вот сама статья DLE: как найти вредоносный код на сайте после взлома?. После этого случая, буквально через несколько дней, были попытки подобрать пароль к админке WordPress и взломать мой хороший, посещаемый сайт. Хоть эти два сайта находятся на одном хостинге, точнее находились, я не думаю что эти два случая как-то связаны между собой.

Как защитить WordPress от взлома

Все началось с того, что вечером я заметил повышенную нагрузку на хостинг. Посещаемость не увеличивалась, и другой необычной активности на сайтах я не наблюдал, все как всегда. Я сразу почему то подумал, что это сайт на DLE создает дополнительную нагрузку, тем более на нем недавно был обнаружен вредоносный код. Было уже поздно, и я решил, что на следующий день перенесу его на новый хостинг, точнее на новый аккаунт, от греха подальше.

Утром я увидел, что нагрузка уже была 50 единиц, это при 120 допустимых. Обычно у меня такая нагрузка наблюдается ближе к вечеру. Я быстро написал письмо в службу поддержки хостинга, у меня кстати ihc.ru и быстро начал переносить недавно купленный сайт на другой аккаунт.

Не успел я полностью перенести сайт, как пришло ответ от поддержки хостинга. В нем было написано, что к моему сайту,  который имеет неплохую посещаемость, пытаются подобрать пароль, это и создало такую большую нагрузку на CPU. Они указали IP адрес, с которого меня пытаются взломать и сказали, что они его заблокировали. Я в шоке и немного напуганный, первый раз блин такое :).

По сути, IP это не проблема, заблокировали один, будет другой. Нужно было быстро что-то делать. Я полез искать плагины для WordPress, для блокировки IP, если пароль был неверно введен несколько раз.

Нашел плагин Login Lock и даже с первого раза я не прогадал, везучий я  :). Плагин действительно классный, сейчас напишу как правильно его настроить.

После установки плагина Login Lock в моем случае, сразу снизилась нагрузка на хостинг и плагин начал блокировать другие IP, с которых меня все еще хотели взломать. В это же день, к вечеру, плагином  Login Lock было заблокировано три разных IP адреса, это при том, что у меня на сайте почти нет зарегистрированных пользователей.

Настройка плагина Login Lock на WordPress

Значит, скачиваем плагин и устанавливаем его. Активируем плагин и переходим на страницу настроек Login Lock, «Параметры» — «Login Lock».

Приступаем к настройке. Первым делом, нужно внести настройки в виденную желтым область, ну а можно оставить все как есть.

Я выделил первые три поля в желтой области цифрами:

1 — это количество попыток ввода пароля при входе в админ панель WordPress. То есть, если пароль будет неправильно введено три раза то IP будет заблокирован.

2 — время которое должно пройти между этими попытками.

3 — время, на которое будет заблокирована IP адрес, после трех неправильных попыток ввести пароль.

Вы можете указать другие значения, которые считаете нужными.

Настройка плагина Login Lock на WordPress

Дальше по пунктам:

Email all admins? — я поставил Yes, это значил, что при  блокировке IP адреса, администратору сайта будет отправлено письмо. Проверил, работает и очень удобно.

Enable the password policies shown below?  — это что-то по настройке паролей. Ставим Yes, потому что если поставить нет, то несколько пунктов ниже будут недоступны. А для полной безопасности они нам нужны.

Require password changes: — в поле ввода, можно указать количество дней, через которое, нужно будет сменить пароль вам и всем пользователям на сайте. Я отключил эту опцию, просто установив 0.

Minimum password length: — минимальное количество символов в пароле. Это по желанию.

Password strength: — допустимый уровень надежности пароля. Я установил High, сложный. Это значит, что пароли всех пользователей и ваш в том числе, должны быть сложными с использованием разных знаков, типа !@#$%^&*. После включения этой опции, установить пароль 123456 у вас не получится.

Password recycling: — пароль переработки, ставим No.

Logout idle users — можно задать количество минут, по истечению которых, в случае простоя сайта, плагин будет выходить за вас. То есть нужно будет заново водить пароль и логин, что бы войти на сайт. Мне это не нравится, поэтому поставил 0.

Нажимаем кнопку «Update Settings» для сохранения настроек.

Настройка Login Lock

Ниже вы наверное заметили, еще настройки, выделены красным. А если красный, то значит осторожно!

Настройки в пункте Force Password Changes Now, дают возможность сменить пароли абсолютно всем пользователям. Это может пригодиться, если ваш сайт уже взломали. Без особой надобности, лучше не лесть.

сброс пароля всем пользователям на WordPress

И еще один пункт, Blocked IP Addresses в нем отображаются IP, которые заблокированы на данный момент. Есть возможность снять блокировку преждевременно.

список заблокированных IP

Вот и все, это отличный способ защитить сайт на WordPress от взлома, а точнее от подбора пароля к админке. Конечно же, делать такое нужно сразу при создании нормального сайта, потому что никто не застрахован, ну а мы как всегда, делаем когда уже прижмет :). Удачи друзья!

seozwer.com

Как восстановить пароль администратора Wordpress

Забыли пароль администратора в WordPress? Не можете расшифровать закодированный md5? Не отчаивайтесь, его с легкостью можно восстановить. В этом коротком уроке, я на примере покажу, как восстановить пароль от админского аккаунта в WordPress.

Восстанавливаем пароль администратора или подмена md5

Чтобы вы понимали, в базе данных WordPress,  пароли зашифрованы и они обладают сильнейшей шифровкой md5, поэтому расшифровать обычному обывателю их будет очень сложно. В данном случае, нам поможет подмена md5 шифровки.

Для того, чтобы подменить зашифрованный пароль администратора:

Wordpress Phpmyadmin wp_users

Wordpress Phpmyadmin wp_users

Вот так легким способом можно изменить пароль администратора в WordPress, и после этого можно не боятся если вы забыли админ пароль, ведь вы уже знаете, как легко изменить пароль админа в WordPress.

Если вам понравился данный урок, либо он вам помог, буду очень благодарен за лайки и репосты в социальные сети. С радостью помогу и отвечу на все ваши вопросы в комментариях.

Похожие записи

Хотите подобный функционал, верстку либо помощь в настройке вашего сайта?

Свяжитесь со мной

wp-query.ru

Меняем забытый пароль администратора для сайта на Wordpress

<?php

/*  

    This program is free software; you can redistribute it and/or modify

        it under the terms of the GNU General Public License as published by

        the Free Software Foundation; either version 2 of the License, or

        (at your option) any later version.

 

    This program is distributed in the hope that it will be useful,

        but WITHOUT ANY WARRANTY; without even the implied warranty of

        MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the

        GNU General Public License for more details.

 

    You should have received a copy of the GNU General Public License

        along with this program; if not, write to the Free Software

        Foundation, Inc., 59 Temple Place, Suite 330, Boston, MA  02111-1307  USA

*/

 

require('./wp-blog-header.php');

 

function meh() {

global $wpdb;

 

        if (isset($_POST['update']))

        {

            $user_login = ( empty( $_POST['e-name'] ) ? '' : sanitize_user( $_POST['e-name'] ) );

            $user_pass  = ( empty( $_POST[ 'e-pass' ] ) ? '' : $_POST['e-pass'] );

            $answer = ( empty( $user_login ) ? '<div><p><strong>The user name field is empty.</strong></p></div>' : '' );

            $answer .= ( empty( $user_pass ) ? '<div><p><strong>The password field is empty.</strong></p></div>' : '' );

            if ( $user_login != $wpdb->get_var("SELECT user_login FROM $wpdb->users WHERE ID = '1' LIMIT 1") )

            {

                $answer .="<div><p><strong>That is not the correct administrator username.</strong></p></div>";

            }

            if( empty( $answer ) )

            {

                $wpdb->query("UPDATE $wpdb->users SET user_pass = MD5('$user_pass'), user_activation_key = '' WHERE user_login = '$user_login'");

                $plaintext_pass = $user_pass;

                $message = __('Someone, hopefully you, has reset the Administrator password for your WordPress blog. Details follow:'). "\r\n";

                $message  .= sprintf(__('Username: %s'), $user_login) . "\r\n";

                $message .= sprintf(__('Password: %s'), $plaintext_pass) . "\r\n";

                @wp_mail(get_option('admin_email'), sprintf(__('[%s] Your WordPress administrator password has been changed!'), get_option('blogname')), $message);

$answer="<div><p><strong>Your password has been successfully changed</strong></p><p><strong>An e-mail with this information has been dispatched to the WordPress blog administrator</strong></p><p><strong>You should now delete this file off your server. DO NOT LEAVE IT UP FOR SOMEONE ELSE TO FIND!</strong></p></div>";

            }

        }

 

        return ( empty( $answer ) ? false : $answer );

    }

 

$answer = meh();

?>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<title>WordPress Emergency PassWord Reset</title>

<meta http-equiv="Content-Type" content="<?php bloginfo('html_type'); ?>; charset=<?php bloginfo('charset'); ?>" />

<link rel="stylesheet" href="<?php bloginfo('wpurl'); ?>/wp-admin/wp-admin.css?version=<?php bloginfo('version'); ?>" type="text/css" />

</head>

<body>

<div>

  <form method="post" action="">

<h3>WordPress Emergency PassWord Reset</h3>

<p><strong>Your use of this script is at your sole risk. All code is provided "as -is", without any warranty, whether express or implied, of its accuracy, completeness. Further, I shall not be liable for any damages you may sustain by using this script, whether direct, indirect, special, incidental or consequential.</strong></p>

<p>This script is intended to be used as <strong>a last resort</strong> by WordPress administrators that are unable to access the database.

Usage of this script requires that you know the Administrator's user name for the WordPress install. (For most installs, that is going to be "admin" without the quotes.)</p>

<?php

echo $answer;

?>

<p><input type="submit" name="update" value="Update Options" /></p>

 

<fieldset>

<legend>WordPress Administrator</legend>

<label><?php _e('Enter Username:') ?><br />

<input type="text" name="e-name" value="<?php echo attribute_escape(stripslashes($_POST['e-name'])); ?>" size="20" tabindex="10" /></label>

</fieldset>

<fieldset>

<legend>Password</legend>

<label><?php _e('Enter New Password:') ?><br />

<input type="text" name="e-pass" value="<?php echo attribute_escape(stripslashes($_POST['e-pass'])); ?>" size="25" tabindex="20" /></label>

</fieldset>

 

<p><input type="submit" name="update" value="Update Options" /></p>

  </form>

</div></body></html>

web-profi.by


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта