+49 173 825 1196 support@ralf-meischner.de

Inzwischen ist mir noch zwei weitere Methoden begegnet, mit der man sich ohne Passwort als Admin einloggen kann. Ich ergänze hier also diesen Artikel um diese zwei Wege, das Problem mit vergessenen Passworten zu beheben.

Vierte Methode: Installation des Plugins „Temporary Login Without Password“

Das hilft nicht so recht wenn es bereits zu spät ist. Man kann so einen Weg aber als Backup einbauen, wenn man eine neue Seite aufbaut. Mit diesem PlugIn kann man einen User anlegen, dem man über einen Link Zugang gibt. Der generierte Link hat ein Ablaufdatum, aber das kann auch in ferner Zukunft liegen. Der Benutzer kann Administratorrechte haben.
Natürlich muss man mit dem Link sehr vertraulich umgehen, denn jeder, der ihn hat, kommt dann ohne weitere Rückfragen als Admin ins System.

 


 

Fünfte Methode: IP-Adresse per FTP freischalten

Um diese Methode verwenden zu können, braucht man wenigstens einen Zugang per FTP und Zugriff auf die Datei wp-config.php im Root-Verzeichnis der WordPress-Installation. Das ist schon ein wenig die Hackermethode, aber manchmal hat man eben keine Wahl.

In die besagte Datei wp-config.php trägt man nach dem einleitenden <?php folgendes ein:

if ( $_SERVER['REMOTE_ADDR'] == 'x.x.x.x' ) {
    function wp_validate_auth_cookie( $cookie = '', $scheme = '' ) {
        return 1; // User ID
    }
}

Statt x.x.x.x muss man seine aktuelle IP-Adresse eintragen. Die erfährt man von seinem Router oder einem Webdienst wie www.meine-aktuelle-ip.de.
Man sollte hier nicht 0.0.0.0 eintragen. Denn das funktioniert zwar auch, aber jeder Besucher auf der Homepage, der in diesem Moment zufällig vorbeikommt, ist sofort Admin. Das wäre natürlich fatal.

Ein anderes Problem ist die User ID. In einer Standardinstallation steht die 1 für den Admin. Ist der ursprüngliche Admin aber gelöscht worden, dann kann es auch eine andere Nummer sein. Ich habe einen Blog gesehen, bei dem war es eine Zahl über 300. Das wird natürlich mühsam zu ermitteln.

Die Funktion liefert einen bestätigten Login mittels Cookie zurück, wo gar keiner ist.
Den Zugang testen sollte man direkt auf der Adresse http://meinblog.de/wp-admin. Dann kommt man sich nicht mit Cache-Plugins ins Gehege.


 

Zur FTP-Methode noch eine Ergänzung

Es gibt auch die Möglichkeit, per FTP einen Nutzer mit Admin-Rechten in der Datenbank anzulegen.
Daran kann man erkennen, wie gefährlich offene FTP-Zugänge sind. Also: nutzen Sie immer verschlüsselte FTP-Zugänge und ordentliche Passworte.

So gehts:

In der Datei functions.php Ihres Themes muss folgendes eingetragen werden. Sie finden die Datei in diesem Pfad: /deineseite.de/wp-content/themes/dein-aktuelles-theme/functions.php

function wp_admin_account_via_FTP(){
$user = 'Username';
$pass = 'Password';
$email = 'email@domain.com';
if ( !username_exists( $user )  && !email_exists( $email ) ) {
$user_id = wp_create_user( $user, $pass, $email );
$user = new WP_User( $user_id );
$user->set_role( 'administrator' );
} }
add_action('init','wp_admin_account_via_FTP');

Natürlich müssen Sie die Daten für Username, Passwort und E-Mailadresse eintragen. Aber kaum ist dieser Code drin, funktioniert auch der Zugang mit den angegebenen Zugangsdaten.

Solange der Code in der Datei ist, kann der User auch nicht gelöscht werden.