Kategorie „WordPress Security“

WordPress absichern – Tipps gegen Hacker

WordPress Admin Passwort zurücksetzen in der Datenbank

WordPress Admin Passwort funktioniert nicht mehr

Falls ihr euer WordPress Admin Passwort vergessen haben solltet und auch die Wiederherstellung über die Passwort vergessen Funktion keinen Erfolg bringt, lässt sich das Passwort nur noch über die Datenbank zurücksetzen.

Grundsätzlich erfolgt der Zugriff auf die Datenbank über das MySQL Administrationswerkzeug phpMyAdmin.

Je nach Anbieter findet ihr den phpMyAdmin im Kundenbereich eures Webhosters häufig unter „Datenbanken verwalten“, „MySql-Datenbanken“ o.ä. Im Zweifelsfall kann der Hoster sicherlich weiterhelfen.

Die korrekte Datenbank zur WordPress Admin Passwort Änderung finden

Die von WordPress verwendete Datenbank findet ihr in der Datei wp-config.php im Hauptverzeichnis der WordPress Installation. Öffnet die Datei mit einem Texteditor und sucht nach einem Eintrag ähnlich diesem:

1
define( 'DB_NAME', 'db123456_XX' );

Der letzte Wert, hier exemplarisch db123456_XX (sieht bei euch anders aus!),  ist der Name der WordPress Datenbank.

Ändern des WordPress Admin Passworts mit phpMyAdmin

Ruft den phpMyAdmin auf und selektiert oben links die Datenbank, die in der wp-config.php hinterlegt ist. In unserem Beispiel wäre das die Datenbank db123456_XX.

Anschließend klickt ihr in der linken Sidebar die Tabelle wp_users an. Das Präfix wp_  kann zur WordPress Absicherung umbenannt worden sein in eine beliebige andere Zeichenkette.

Jetzt solltet ihr oben auf „Anzeigen“ und anschließend auf das Stiftsymbol neben dem Admin User Eintrag klicken.

Im nächsten Schritt kann der Wert im Feld user_pass gelöscht und durch ein neues Passwort ersetzt werden.

Da der Wert im Passwort Feld allerdings md5 verschlüsselt hinterlegt wird, könnt ihr nicht einfach euer Wunschpasswort eintragen. Stattdessen nutzt zunächst bitte den md5 Hash Generator von Miracle Salad. Tragt hier unter String das neue gewünschte Passwort ein und klickt anschließend auf md5. Als Resultat erhaltet ihr den verschlüsselten md5 Hash. Diesen kopiert ihr nun und tragt ihn in das Datenbank Feld user_pass als Wert ein.

Über den „OK“ Button speichert ihr die Änderungen anschließend.

Falls alles geklappt hat, könnt ihr euch mit dem festgelegten Wunschpasswort einloggen.

Bei weiteren Fragen helfen wir euch natürlich gerne weiter.

Hotlinking verhindern und alternatives Bild ausgeben

Beim Hotlinking verwendet ein Nutzer die exakte URL zu einem Bild auf eurem Server, um dieses direkt auf der eigenen Seite, in einem Forum oder an anderer Stelle einzubinden. Leider wird das Bild bei jedem neuen Aufruf von eurem Server geladen, was abhängig von der Besucherzahl zu hohem Traffic führen kann.

Im Klartext bedeutet das nichts anderes, als das der Server gestresst wird und euch u.U. beim Erreichen des Trafficlimits sogar Kosten durch den Hoster entstehen.

Eine einfache Lösung Hotlinking zu unterbinden lässt sich über mod_rewrite in eurer htaccess Datei realisieren.

Optional könnt ihr auch ein alternatives Bild anzeigen, welches auf das Problem aufmerksam macht.

Hierzu kopiert ihr einfach folgenden Code in htaccess Datei und ersetzt die URL wp-sorglos.de durch eure eigenen.

1
2
3
4
5
6
7
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https://(www\.)?wp-sorglos\.de(/.*)?$ [NC]
RewriteCond %{HTTP_REFERER} !^https://www\.google\..*$ [NC]
RewriteCond %{HTTP_REFERER} !^https://www\.bing\..*$ [NC]
RewriteCond %{REQUEST_URI} !^.*alternatives-bild\.png$ [NC]
RewriteRule \.(gif|jpg|GIF|JPG|png|PNG)$ https://wp-sorglos.de/alternatives-bild.png [R,L]

Erläuterung der htaccess-Datei
Nach Aktivierung der Apache ReWrite-Engine, die für sämtliche Umleitungen von Anfragen zuständig ist, wird zunächst in Zeile 2 geprüft, ob es überhaupt einen Referrer gibt.

Ab Zeile 4 werden folgenden Konditionen abgefragt:

  • ist es nicht meine eigene Seite (hier exemplarisch wp-sorglos.de), die das Bild anzeigen möchte
  • sind es nicht Google oder Bing, die das Bild in der Bildersuche anzeigen möchten
  • ist es nicht mein alternatives Bild

Treffen alle Konditionen zu, greift die RewriteRule in Zeile 7 und es wird das Bild „alternatives-bild.png“ unter der angegebenen URL (hier https://wp-sorglos.de/alternatives-bild.png) ausgegeben.

Neben Google und Bing weitere Dienste erlauben
Sollen neben Google und Bing weitere Dienste zugelassen werden, könnt ihr die htaccess einfach um die entsprechenden Conditions erweitern.

Code Beispiel um auch Pinterest den Zugang zu gewähren:

1
2
3
4
5
6
7
8
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https://(www\.)?wp-sorglos\.de(/.*)?$ [NC]
RewriteCond %{HTTP_REFERER} !^https://pinterest\.com.*$ [NC]
RewriteCond %{HTTP_REFERER} !^https://www\.google\..*$ [NC]
RewriteCond %{HTTP_REFERER} !^https://www\.bing\..*$ [NC]
RewriteCond %{REQUEST_URI} !^.*alternatives-bild\.png$ [NC]
RewriteRule \.(gif|jpg|GIF|JPG|png|PNG)$ https://wp-sorglos.de/alternatives-bild.png [R,L]