Word

Hi, I detected your main language is not Japanese. I have an english version of about me, so please try it!

この投稿は4年半前の記事です。 情報が古くなっている可能性があるので、その点ご了承ください。
2013 年 6 月 9 日 1,516日前)
1,325文字 (読了時間3分)

SPONSORED LINK

WordPressをお仕事でやっていると、わりと丸投げ感のある状態で渡されることがあります。よくあるパターンとしては「さくらインターネットとかから送られてくるサーバ設定情報のメールがそのまま送られてくる」という奴ですね。

僕はすぐ邪推する人間なので、こういうときは「前の人がバックレたか空中分解したかのどちらかだなー、やりたくないなー」と内心怯えつつ設定を確認していくのですが、まれにクライアントが管理画面へのアクセス権を持っていない上に、管理者のパスワードもメールアドレスもわからん、という状況があります。

こうなるとユーザーが作れなくて困ってしまうのですが、最悪FTPが使えればログインできるので、その方法を紹介します。

1. ログイン用スクリプトを作成

以下のような内容のファイルを作成します。

<?php
require './wp-load.php';

// ユーザーID1としてログインさせる。
// 普通は管理者が1。違ったらphpMyAdminとかで調べてください。
wp_set_auth_cookie(1);

//管理画面へリダイレクト
wp_redirect(admin_url());
exit;

2. ログイン用スクリプトをアップロードしてアクセス

このファイルがサーバに上がっているということは、銀行に喩えるならば、暗証番号が付箋で貼付けられたキャッシュカードがATMに落ちているというぐらいヤバいです。

したがって、ログインしたらすぐに消さなくてはなりません。

今回はさらに万全を期して、486e78371abaf1019b0eec54fb0f9a2b.phpというmd5ハッシュ値のファイル名にしておきましょう。このご、次の手順を速やかに実行します。

  1. 486e78371abaf1019b0eec54fb0f9a2b.phpをアップロード
  2. http://example.jp/486e78371abaf1019b0eec54fb0f9a2b.phpにアクセス
  3. 486e78371abaf1019b0eec54fb0f9a2b.phpを消す

はい、これでログインできたと思います。パスワードやメールアドレスを変更してください。

おまけ:セキュリティは慎重にね!

ここまでざっと見て気づいた方はいると思いますが、悪い人からすると、任意のファイルを配置できるWordPressサイトには自由にログインできちゃうことになります。

知らない人が好きなPHPファイルを配置できている段階で本来はアウトなので、気をつけましょう。

テーマ内にわけのわからないBase64コードが挿入されている方、エロサイトのリンクが出るぐらいでよかったですね。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 [書籍]

著者徳丸 浩

出版社SBクリエイティブ

出版日2011 年 3 月 1 日

商品カテゴリー単行本

ページ数496

ISBN4797361190

特徴DVD-ROM 付属

Supported by amazon Product Advertising API

 

SPONSORED LINK

この記事について

この記事はが2013 年 6 月 9 日にその他の記事として公開しました。

フォローしてください

ここで会ったのもなにかの縁。
高橋文樹.comの最新情報を見逃さないためにもフォローをお願いします。
めったに送らないメルマガもあります。