Obrací se na mě klienti, že mají webové stránky postavené na WordPressu, fungujou jim X let a neměli důvod do nich zasahovat. „Synovec souseda bývalého zaměstnance“ jim je kdysi nějak udělal ale oni na něj už nemají kontakt a neví jak stránky upravit, když by to teď zrovna potřebovali. Nemají přístupy na FTP, neví prostě nic. Jak toto vyřešit?
Hned na úvod zopakuji o čem jsem psal v jiném článku, že by si každý měl hlídat, aby měl při přebírání hotového webu od svého dodavatele (reklamní agentura, nezávislý profesionál, nadšenec) tyto plné přístupy: účet u webhostingového poskytovatele, plná práva do WordPress administrace.
Nyní zjednodušeně popíšu reálně řešený případ, co se dá dělat, když toto nemáme. Samozřejmě každá situace je lehce odlišná, ale toto se obecně dá použít.
1. Potřebujeme zjistit přístupy na FTP (tam kde jsou umístěné soubory)
Pokud netušíme, kde je web hostovaný, pomůckou může být registr domén na adrese www.nic.cz – zde se většinou z veřejně dostupných údajů k doménám (pozor tento se týká jen CZ domén) dá zjistit jak registrátor, tak poskytovatel webhostingu. A také na koho je doména registrovaná – pomůže to při pátrání po přístupech (bývá tam uveden i registrační e-mail). Když zjistíme název webhostingu, lze pak v e-mailech nebo účetnictví dohledat na jaký e-mail chodí faktury a nechat si znovu zaslat přístupy a změnit si heslo. Tím se dostaneme k možnosti změny hesla také pro FTP – to potřebujeme.
2. Zjištíme přístupy do databáze
Zjistili (změnili) jsme si tedy přístupy na FTP. Veškerý obsah webu a jeho nastavení – včetně uživatelských účtů je uložen v databázi. V administraci hostingu sice lze změnit heslo k ní, ale tím by přestal fungovat web – bylo by nutno heslo upravit i v napojení databáze. Proto se rovnou podíváme na stávající heslo. Vzhledem k tomu, že WordPress má jasnou souborovou a adresářovou strukturu, jdeme najisto – v kořenovém adresáři, v souboru wp-config.php.
Ten si (například pomocí programu FileZilla) stáhneme a zobrazíme. Část wp-config.php která nás zajímá vypadá takto:
Nyní se potřebujeme do databáze připojit přes phpMyAdmin. Pokud se v souboru wp-config.php u umístění databáze nachází „localhost“ nebo „127.0.0.1“, znamená to, že databáze je umístěna tam, kde zbytek webu. Většina webhostingů má buď rovnou na svém webu nebo v adminu odkaz ma phpMyAdmin – tam se pak snadno přihlásíte pomocí zjištěného jména a hesla.
3. V databázi zjistíme přihlašovací jméno a upravíme heslo
Opět díky tomu, že struktura všech databází WordPressu je stejná, víme přesně, kam jít. V levém sloupci po přihlášení si vyberete jméno databáze, které jsme zjistili z wp-config.php (může jich tam být více). V databázi vybereme tabulku (prefix)_users. Tam je uložen seznam všech uživatelů webu.
Jako jeden z prvků zabezpečení je tzv „prefix“ – neboli část názvu tabulek před podtržítkem – toto se u jednotlivých webů mění. Zajímají nás tedy názvy tabulek za podtržítkem – ty jsou vždy stejné.
V tomto případě vidíme, že zůstal uživatel „admin“ – tak mu jen upravíme heslo a pomocí našeho hesla se přihlásíme a veškeré další úpravy pak uděláme z adminu WordPressu. Důležité je, že hesla jsou v databázi zahashována (= zakódována). Nemůžem je tedy rozluštit. Musíme je nahradit opět zahashovaným heslem. Jedná se o tzv MD5 hash. Heslo si můžete vytvořit například na www.md5.cz. Já si vytvořím heslo „123456789“, které má po zaheshování hodnotu „25f9e794323b453885f5181f1b624d0b“. To vložím do tabulky místo starého hesla.
4. A je to!
No a máme hotovo. Nyní se stačí pomocí zjištěného uživatelského jména a našeho nového hesla přihlásit na adrese našeho webu – www.nasedomena.cz/wp-admin/ nebo www.nasedomena.cz/wp-login.php.
Co nyní? Nyní je potřeba zadat si u uživatele v adminu (Uživatelé > Profil) silnější heslo, změnit si uživatelský e-mail. Také je vhodné upravit hlavní komunikační e-mail webu (Nastavení > Obecné > E-mailová adresa). Na tento e-mail chodí veškeré notifikace spojené s provozem webu.
Tip na závěr
Pokud se takto dostanete k zastaralému webu, buďte obezřetní před zběsilou aktualizací všech pluginů a WordPressu a nainstalujte si nejprve zálohovací plugin a celý web si zazálohujte…pro klid svědomí. Může se totiž stát, že několik let stará šablona nebo použité a již neudržované pluginy nebudou s novou verzí WP kompatibilní a budete web muset trochu předělat. Tak ať se máte kam vrátit.
