wordpress忘记密码重置密码方法以及相关登录源码解读

最新推荐文章于 2024-05-10 09:30:00 发布
最新推荐文章于 2024-05-10 09:30:00 发布
阅读量710 收藏 1
点赞数
文章标签: php mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011665609/article/details/133950451
版权

一、重置密码

安装最新版 wordpress-5.4.2-zh_CN.zip 很长时间未维护,登录时候突然发现密码忘记了,记录下解决办法吧。

重置登录密码为:123456
UPDATE wp_users SET user_pass = '$P$BiPHCyMrQlCHFzG/1ftoDdulGpfsoP0' WHERE ID =1
使用重置的登录后台设置安全密码
进入登录 后台 >> 用户 >> 所有用户 选项卡 ;点击 编辑 按钮,找到 新密码 >> 生成密码 按钮,输入想设置的密码,最后 更新个人资料

二、登录源码解读

1. 登录控制器方法

在 wp-login.php 1174 行 — 查询数据库用户信息
// If the user wants SSL but the session is not SSL, force a secure cookie.
if ( ! empty( $_POST[‘log’] ) && ! force_ssl_admin() ) {
$user_name = sanitize_user( wp_unslash( $_POST[‘log’] ) );
$user = get_user_by( ‘login’, $user_name ); // 这里查询数据库用户信息
// …
}
// …
$user = wp_signon( array(), $secure_cookie ); // 这里校验密码
其中 get_user_by() 方法最终执行类似下面的 SQL:
$user = $wpdb->get_row(
$wpdb->prepare(
“SELECT * FROM $wpdb->users WHERE $db_field = %s LIMIT 1”,
$value
)
);

2. 接下来是校验密码的逻辑:

主要使用 wp_signon() 方法获取;代码在 wp-includes/user.php 文件中第 95 行

$user = wp_authenticate( $credentials['user_login'], $credentials['user_password'] );

方法最终会调用 wp-includes/pluggable.php 文件的

 function wp_check_password( $password, $hash, $user_id = '' ) {} // 去检测密码。
function wp_signon( $credentials = array(), $secure_cookie = '' ) {
    // ...
    $user = wp_authenticate( $credentials['user_login'], $credentials['user_password'] );

    if ( is_wp_error( $user ) ) {
        return $user;
    }
    // ...
    return $user;
}

wp-includes/pluggable.php >> 2405 行

$check = $wp_hasher->CheckPassword( $password, $hash );

方法,调用的是 wp-includes/class-phpass.php 文件的 CheckPassword()

function wp_check_password( $password, $hash, $user_id = '' ) {
    global $wp_hasher;
    // ...
    $check = $wp_hasher->CheckPassword( $password, $hash );
}

wp-includes/class-phpass.php 文件的 CheckPassword

CheckPassword() 方法又调用内部

$hash = $this->crypt_private($password, $stored_hash);

crypt_private 继续调用 $output .= t h i s − > e n c o d e 64 ( this->encode64( this>encode64(input, 6); 内部方法,最终返回的 o u t p u t = ′ output = ' output=P$BlQ4L10EWkfoyGXC0EtVK.KdwW9WxW.'; 类似的字符串。

最终比较 return $hash === $stored_hash; 这两个字符串是否全等。

class PasswordHash {

    function CheckPassword($password, $stored_hash)
    {
        if ( strlen( $password ) > 4096 ) {
            return false;
        }

        $hash = $this->crypt_private($password, $stored_hash);
        if ($hash[0] == '*')
            $hash = crypt($password, $stored_hash);

        return $hash === $stored_hash;
    }

    function crypt_private($password, $setting)
    {
        $output = '*0';
        if (substr($setting, 0, 2) == $output)
            $output = '*1';

        $id = substr($setting, 0, 3);
        # We use "$P$", phpBB3 uses "$H$" for the same thing
        if ($id != '$P$' && $id != '$H$')
            return $output;

        $count_log2 = strpos($this->itoa64, $setting[3]);
        if ($count_log2 < 7 || $count_log2 > 30)
            return $output;

        $count = 1 << $count_log2;

        $salt = substr($setting, 4, 8);
        if (strlen($salt) != 8)
            return $output;

        # We're kind of forced to use MD5 here since it's the only
        # cryptographic primitive available in all versions of PHP
        # currently in use.  To implement our own low-level crypto
        # in PHP would result in much worse performance and
        # consequently in lower iteration counts and hashes that are
        # quicker to crack (by non-PHP code).
        if (PHP_VERSION >= '5') {
            $hash = md5($salt . $password, TRUE);
            do {
                $hash = md5($hash . $password, TRUE);
            } while (--$count);
        } else {
            $hash = pack('H*', md5($salt . $password));
            do {
                $hash = pack('H*', md5($hash . $password));
            } while (--$count);
        }

        $output = substr($setting, 0, 12);
        $output .= $this->encode64($hash, 16);

        return $output;
    }

    function crypt_private($password, $setting)
    {
        $output = '*0';
        if (substr($setting, 0, 2) == $output)
            $output = '*1';

        $id = substr($setting, 0, 3);
        # We use "$P$", phpBB3 uses "$H$" for the same thing
        if ($id != '$P$' && $id != '$H$')
            return $output;

        $count_log2 = strpos($this->itoa64, $setting[3]);
        if ($count_log2 < 7 || $count_log2 > 30)
            return $output;

        $count = 1 << $count_log2;

        $salt = substr($setting, 4, 8);
        if (strlen($salt) != 8)
            return $output;

        # We're kind of forced to use MD5 here since it's the only
        # cryptographic primitive available in all versions of PHP
        # currently in use.  To implement our own low-level crypto
        # in PHP would result in much worse performance and
        # consequently in lower iteration counts and hashes that are
        # quicker to crack (by non-PHP code).
        if (PHP_VERSION >= '5') {
            $hash = md5($salt . $password, TRUE);
            do {
                $hash = md5($hash . $password, TRUE);
            } while (--$count);
        } else {
            $hash = pack('H*', md5($salt . $password));
            do {
                $hash = pack('H*', md5($hash . $password));
            } while (--$count);
        }

        $output = substr($setting, 0, 12);
        $output .= $this->encode64($hash, 16);

        return $output;
    }

    function encode64($input, $count)
    {
        $output = '';
        $i = 0;
        do {
            $value = ord($input[$i++]);
            $output .= $this->itoa64[$value & 0x3f];
            if ($i < $count)
                $value |= ord($input[$i]) << 8;
            $output .= $this->itoa64[($value >> 6) & 0x3f];
            if ($i++ >= $count)
                break;
            if ($i < $count)
                $value |= ord($input[$i]) << 16;
            $output .= $this->itoa64[($value >> 12) & 0x3f];
            if ($i++ >= $count)
                break;
            $output .= $this->itoa64[($value >> 18) & 0x3f];
        } while ($i < $count);

        return $output;
    }
}

三、总结:

最终加密的算法就是在 wp-includes/class-phpass.php 文件的 crypt_private 方法,其中 $count = 1 << $count_log2; 决定了 md5 的 hash 值,有空可以读读上面的逻辑。

lisgroup
关注
WordPress 忘记登录密码怎么办?重置登录密码的三种方法
2401_87721720的博客
10-06 1968
很多朋友在使用 WordPress建站时,需要设置账号和登录密码。由于很久没有访问或者是没有记住,导致我们忘记WordPress管理员登录账号和密码,就无法进入 WordPress 后台进行网站管理。那么,如果遇到忘记 WordPress 登录账号密码的情况,该如何解决呢?以下是三种解决方法
WordPress源码解析-数据库表结构
最新发布
希望我的博客,能帮上你解决学习中工作中所遇到的问题
12-23 1194
数据表:wp_posts、wp_postmeta、wp_comments、wp_term_relationships、wp_terms、 wp_term_taxonomy、wp_users、wp_usermeta关联关系:一、确定文章信息 (1)wp_posts.ID->wp_postsmeta.post_id。分类信息 数据表:wp_terms、wp_term_taxonomy关联关系:wp_terms.term_id->wp_term_taxonomy.term_id。
WordPress 后台密码忘记后,重置找回密码的 N 种方法
J_Lee
09-08 4584
WordPress 后台密码忘记后,重置找回密码的 N 种方法
wordpress忘记密码怎么办
resilient的博客
07-27 550
打开数据库管理工具Navicat for mysql 打开表wp-user 将密码改为 5d41402abc4b2a76b9719d911017c592 这个5d41402abc4b2a76b9719d911017c592 是hello加密后的 然后使用 hillmay账号 5d41402abc4b2a76b9719d911017c592即可登录wordpress 记得到后台后再修改密码...
wordpress忘记登录密码怎么办?
开源世界
05-05 3065
在使用wordpress网站的时候,如果忘记网站后台登录密码,你可以通过以下两种方式修改: (一)通过wordpress网站注册邮箱找回 在网站后台通过注册邮箱直接重置登录密码,如果忘记注册邮箱地址,可以通过第二种方式重置密码。 1、进入网站后台登录界面 2、输入注册邮箱地址,点击【获取新密码】,然后到您的邮箱查收重置邮件! 3.打开你的邮箱,查看密码重设的邮件。在最下面复制“<”和“>”两个尖括号里面的链接,不要复制两端的尖括号<>,也不要直接点击链接!!! 4.将复制的链接
wordpress忘记密码怎么办?
极乐数据
12-02 720
有的时候,我们会忘记网站的密码,所以网站的密码要记住,那记不住,怎么样才可以登录后台呢?下面来给大家说一下方法,第一种方法,就是进入数据库里面修改密码,第二种就是从新搭建,如果是练习,那没事,如果网站有排名了,那就不能用第二种方法了。在框里双击点击一下,输入$P$BJJXY9o3PoHhOW/B0uPW.7tGWbD1YP1,然后点击箭头处的提交修改, 修改后的密码为admin。首先进入到空间的控制面板,在空间的控制面板点击数据库信息,点击管理。点击wp_users,自动打开数据表。登录进入,看到如下图。
wordpress找不回密码怎么办?4种方法设置新密码
boke112的博客
01-29 1358
有些WordPress站长太久不登录后台了,所以就忘记了管理员登录密码,这种情况我们应该怎么找回密码呢?或者设置一个新密码呢?下面boke112百科就跟大家分享4种方法设置WordPress密码
WordPress视频去水印插件及外卖CPS小程序源码发布
这个Wordpress插件支持流量主的功能,意味着它可以帮助流量主更好地管理他们的内容,以及可能与内容相关的收益。这可能包括监控视频的观看次数、广告展示或视频下载,以及其他与内容分发相关联的收益统计。 #### ...
源码解读】Akismet库工作原理深度剖析
[【源码解读】Akismet库工作原理深度剖析](https://aitechtonic.com/wp-content/uploads/2022/01/activate-akismet-api-key-free-5.png) # 1. Akismet库概述 在当今互联网环境中,垃圾信息的泛滥已成为了一个不容...
WordPress无限相关下一篇文章插件2022版发布
2. 插件功能的详细解读:本资源中的插件名为'WordPress Infinite Related Next Post Manager',其主要功能是帮助WordPress用户管理其网站上的相关帖子,具有无限滚动和自动加载下一个相关帖子的功能。这种功能可以...
WordPress忘记密码找回的方法-附件资源
03-05
WordPress忘记密码找回的方法-附件资源
Wordpress忘记后台密码怎么办 轻松找回WP密码方法
09-29
有的站长很马虎.时常忘记密码.那如何解决呢.下面我们来看一下
从 chromium 源码来窥探浏览器的渲染
李dayday
02-07 2209
你好,我是承和。今天给大家分享一下我对于浏览器渲染以及优化方面的一些理解。传统面试题我们在各种面试题以及面试中都大概率看到过这个题目,浏览器在拿到数据后到最终呈现在⻚面上经历了哪些过程?这...
WordPress忘记密码找回登录密码的四种行之有效的方法
joker柒月的博客
07-28 7921
WordPress的管理员登录密码忘记了是经常有的事情,在LinkWorth注册使用文章中,部落有讲到高档大气上档次的Wordpress主题会更加容易通过国外网赚广告联盟的审核,于是就给自己放在Godaddy主机上的英文Wordpress换了个好看的主题模板。 换了WP主题之后第二天却发现不能登录了,无语的是主题已经去掉了Wordpress登录错误反馈提示,重复了无数次了最终还得走向找回W
wordpress】管理员忘记密码? 三种方法找回
软希网分享源码的博客
05-11 1568
wordpress】管理员忘记密码? 三种方法找回
Wordpress忘记密码的解决方法
apache6的专栏
05-06 1492
1. Wordpress密码在存入数据库是以md5码的形式存放根据此原理可以手动update数据库,重新设置自定的密码2. 通过执行Mysql语句修改Wordpress密码使用Phpmyadmin之类的工具, 登录你的数据库管理, 执行如下语句:update wp_uo2kml_users set password=password("新密码") where user=用户名;即可更新你的W
WordPress忘记密码的5种解决方法
weixin_34037173的博客
06-12 563
为什么80%的码农都做不了架构师?>>> ...
WordPress 管理员密码重置方法汇总
草根博客站长明月登楼的CSDN博客
05-10 2613
有关 WordPress 管理员密码重置方法汇总分享就到这里了,理论上来说第二条方法是最简单,比较适合新手站长们选择,第三、第四个方法更加高效安全一些,比较适合专业运维选择,当然能用第一个方法是最简便的了。总之,还是奉劝大家慎用插件和主题,明月碰到的 99%的 WordPress 安全问题几乎都是插件和主题造成的,尤其是破解版之类的,甚至可以毫不夸张的说凡是破解、去授权的几乎都有后门、木马、恶意代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值