Das Problem mit den WordPress-Zugangsdaten
Dein Kunde kommt zu dir als Webdesigner und möchte, dass du die Wartung für WordPress übernimmst. Oder eine Kleinigkeit ausbesserst. Aber: er hat keine Zugangsdaten zu WordPress oder nur einen “normalen” Benutzer ohne Vollzugriff.
Das ist mir alles schon passiert, der vorige Webdesigner ist untergetaucht und meldet sich nicht mehr, der Kunde wird im Regen stehen gelassen.
Oder die vorige Agentur ist unseriös und gibt deinem Kunden zu seiner bezahlten Website keinen Vollzugriff und lässt sich für jede Änderung fürstlich entlohnen.
Fakt ist: du als neuer Dienstleister bist aus WordPress ausgesperrt und kannst dich nicht mehr am WordPress-Admin-Dashboard anmelden.
Um zu arbeiten, benötigst du aber:
- Zugang zum Hoster-Panel und damit
- Zugang zur WordPress-Datenbank via PHPMyAdmin und zu guter Letzt
- Zugriff auf WordPress selbst.
So gehst du vor, um dich in WordPress zu hacken:
Zugriff auf das Hosting-Panel erlangen
Hoffentlich hat dein Kunde selbst den Vertrag mit dem Hoster abgeschlossen. Denn dann kannst er sich bei diesem um aktuelle Zugangsdaten des Hosting-Pakets bemühen.
Über dieses Hosting-Panel haben du und dein Kunde Zugriff auf:
- die Vertragsdaten
- die Domainverwaltung (Domains bestellen, kündigen, das DNS bearbeiten)
- den Webspace und WebFTP, um die WordPress-Dateien zu ändern
- die Datenbank mit den Inhalten der WordPress-Website
Solltest du aktuell keinen Zugang zum Hosting-Panel haben: frag beim Hoster nach.
Dieser sendet dir (oder deinem Kunden, falls du dich in eine Kundenwebsite hackst) die Zugangsdaten erneut zu. Eventuell auch per Post, es kann also in paar Tage dauern, bis du dich wieder einloggen kannst.
Bereit für Schritt 2?
Wasserdichte Angebote schreiben in nur 10 Minuten?
Hol dir die ultimative Angebotsvorlage für Webdesigner, Web-Programmierer und Online-Marketer.
Zugriff auf die WordPress-Datenbank erlangen
Im Hosting-Panel findest du üblicherweise die Datenbanken angezeigt. Eine davon ist dem WordPress zugewiesen, für das du einen neuen Benutzer anlegen willst.
Bei jedem guten Hoster kannst du dich via PHPMyAdmin (oder einer Alternative) zur Datenbank verbinden.
Der Login sollte ohne Benutzername/Kennwort erfolgen. Falls nicht, kannst du dich via FTP (oder WebFTP oder SSH) zum Server verbinden und die Zugangsdaten in der Datei wp-config.php nachsehen.
So sieht eine WordPress-Datenbank in PHPMyAdmin aus:
Manche Hoster verwenden auch Adminer:
Wie du siehst: dasselbe, nur in hellblau :-)
Hast du im Hosting-Panel keine Möglichkeit auf die Datenbank zuzugreifen, musst du beim Hoster nachfragen, wie das funktioniert und unter welcher URL du die entsprechende Software findest.
Bietet dein Hoster keine Möglichkeit des Web-Zugriffs an, solltest du schleunigst den Hoster wechseln*.
Hinweis: Aus Sicherheitsgründen verwendet WordPress für die Datenbanktabellen ein zufälliges Prefix. Die Tabellen heißen z.B. xyz_users oder wp_abcd_users. Im Folgenden schreibe ich immer wp_users. Lass dich dadurch nicht verwirren und verwende das Präfix, das dein WordPress verwendet.
Die Benutzer-Tabelle von WordPress
Öffne in der Datenbank die wp_users-Tabelle.
In dieser Tabelle findest du alle Benutzer, die schon angelegt sind, aufgelistet.
Das Kennwort eines WordPress-Admins in der Datenbank zurücksetzen
Idealerweise weißt du, welcher dieser Benutzer ein Administrator ist und setzt das Kennwort zurück. Dieses wird in der Spalte „user_pass” gespeichert, allerdings nicht im Klartext.
Denn sonst könnte ein böser Hacker, der Zugriff auf die Datenbank erhält, alle Kennwörter auslesen und für Credential Stuffing verwenden.
Verwende daher den WordPress Password Hash Generator, um aus einem (langen und komplexen!) Kennwort einen Password-Hash für WordPress zu erstellen:
Diesen Hash (z.B. $P$BHWT/7OVZ8OsqDfkCXLG1tRP3tZbxR/) kopierst du anschließend in die entsprechende Zeile der Datenbank.
Klicke dazu auf den Bleistift am Beginn der Zeile, ändere den Kennwort Hash und drücke anschließend am Ende der Seite auf “Go”.
Jetzt kannst du dich direkt mit dem neuen Kennwort an WordPress anmelden.
Einen neuen Administrator in der WordPress-Datenbank erstellen
Findest du keinen WordPress-Administrator in der Datenbank oder möchtest du einen neuen Administrator für WordPress anlegen?
Dann öffne ebenso die Tabelle wp_users und füge unter “Insert” einen neuen Eintrag zur Tabelle hinzu:
- Unter “Insert” kannst du einen neuen Benutzer zu WordPress hinzufügen.
- Das Feld “ID” bleibt frei, unter user_login gib einen Benutzernamen (z.B. “neueradmin”) an.
- Gib im user_pass-Feld einen gültigen Passwort-Hash an. Diesen kannst du z.B. hier generieren.
- user_nicename enthält den Anzeige-Namen des Benutzers, z.B. “Neuer Admin”.
- user_email enthält die E-Mail-Adresse des neuen Admins.
- user_status muss eine 1 enthalten, damit der Benutzer aktiv ist.
- display_name enthält den vollen Namen des Benutzers, z.B. “Neuer Admin”.
- Mit einem Klick auf “Go” wird der neue Eintrag in der Datenbank gespeichert.
So weit, so gut, der neue Benutzer ist angelegt.
Aber – er hat noch keine Administrator-Rechte. Denn es gab kein Feld, in dem du sagen konntest, dass der neue Benutzer ein Administrator sein soll.
Dafür ist ein zweiter Schritt notwendig.
Update der wp_usermeta-Tabelle um die Rechte zu setzen
Merke dir den Wert der Spalte “ID” des gerade angelegten Benutzers. Diese ID wirst du gleich benötigen.
Öffne anschließend die Tabelle wp_usermeta und füge auch hier über “Insert” einen neuen Eintrag hinzu:
- Unter “Insert” kannst du einen neuen Eintrag zur Tabelle hinzufügen.
- Gib unter user_id die ID des soeben erstellten Benutzers ein.
- Der meta_key muss auf
wp_capabilitiesgesetzt werden (auch hier wieder mit deinem individuellen Datenbank-Präfix). - Beim meta_value gib den folgenden Wert ein:
a:1:{s:13:"administrator";b:1;} - Mit einem Klick auf ”Go” speicherst du den Eintrag.
Du hast somit erfolgreich deinem zuvor angelegten Benutzer die Rechte als Administrator zugewiesen. Jetzt kannst du dich mit dem soeben angelegten Benutzer in WordPress anmelden und hast auch Administrator-Rechte.
WordPress hacken ist gar nicht so schwer
Bist du dieser Anleitung gefolgt, dann hast du dein Wissen über WordPress erweitert. Du weißt jetzt, wie du dich in WordPress hackst, indem du in der Datenbank einen neuen Benutzer anlegst oder das Kennwort eines bestehenden Benutzers zurücksetzt.
Gerade für uns Webdesigner:innen ist dieses Wissen sehr wertvoll und wichtig, denn wir haben immer wieder Situationen, in denen uns unsere Kunden keinen Zugang zu WordPress geben können.
Bitte hinterlasse mir einen Kommentar, wenn in der Anleitung etwas unklar ist oder du andere Schritte durchgeführt hast. Ich aktualisiere die Anleitung sehr gerne.
Michael
