如果忘记了WordPress的用户名和秘密,又是安装在本地不能通过邮件找回怎么办。懒人的做法,直接自动登录,无需知道用户名密码,创建一个文件叫autologin.php放到wp根目录下,文件代码如下
require('wp-blog-header.php');
$query_str = "SELECT ID FROM $wpdb->users";
$user_ids = $wpdb->get_results($query_str);
foreach ($user_ids as $uid) {
$user_id = $uid->ID;
if (user_can($user_id, 'administrator')) {
$user_info = get_userdata($user_id);
$user_login = $user_info->user_login;
wp_set_current_user($user_id, $user_login);
wp_set_auth_cookie($user_id);
do_action('wp_login', $user_login);
echo "You are logged in as $user_login";
if (function_exists('get_admin_url')) {
wp_redirect(get_admin_url());
} else {
wp_redirect(get_bloginfo('wpurl') . '/wp-admin');
}
exit;
}
}
?>
直接通过浏览器访问该文件就可以用管理员身份登录后台,登陆后台以后看看用户名是啥,修改一下密码。如果不小心被黑客获得了向服务器写文件的权限(比如之前的timthumb.php漏洞),整上这么一段代码,就爽了,使用时要注意安全。
当然也有有用的地方,比如执行cron作业,需要管理员权限,可以设定一下管理员自动登陆。
又比如希望用户注册后直接登陆后台,也可以利用这段脚本。知道用户名的情况下就不用那么麻烦的去搜数据库了,可以简化如下<?php
require('wp-blog-header.php');
$user_login = '[username]';
$user = get_userdatabylogin($user_login);
$user_id = $user->ID;
wp_set_current_user($user_id, $user_login);
do_action('wp_login', $user_login);
?>