Débloquer un compte administrateur bloqué sous WordPress
17 décembre 2011
J’avais pourtant pris soin de changer le login de mon compte administrateur. Aussi, je pensais bêtement que je n’aurais même pas droit aux tentatives de quelques crackers chinois (124.72.213.59), ukrainien (188.163.68.87 ), russe (217.23.140.26)… imbéciles. Face à l’impossible, ces abrutis nos amis du Grand Orient osent tout et c’est même à çà qu’on les reconnaît. Ils sont tout de même parvenus à me bloquer tous les comptes de ce blog. Ça fleure bon la faille.
Pour savoir qui a tenté de se connecter… dans la nuit :
cat /var/log/httpd/access_log|grep « wp-login\.php »
Requêtes SQL
Pour me débloquer, j’ai dû me connecter à ma base de données via un tunnel SSH (accès par clés pour éviter les attaques en force brute). Vous pouvez aussi taper la requête à partir du PhpMyAdmin fourni par votre hébergeur. J’ai ensuite tapé cette requête :
UPDATE wp_users SET user_pass = MD5( ‘mon_nouveau_mot_de_passe‘ ), user_activation_key= »
WHERE user_login = ‘mon_login‘;
Comme j’utilise le plugin User Locker, j’ai dû exécuter une seconde requête :
UPDATE wp_usermeta SET meta_value=0 WHERE meta_key=’wp_ul_locked’;
Vous pouvez les remercier. Ce sont eux qui m’ont amené à écrire ce billet !
Votre compte de messagerie
J’ose croire que l’envoi du mot de passe de récupération se fait, à partir de votre blog, via un SMTP sécurisé ! Je vous conseille chaudement l’emploi, sous WordPress, du plugin Configure SMTP. Pensez au niveau du pare-feu de votre serveur (si vous êtes en mode dédié) à ouvrir les ports Tcp/465 (Smpt Ssl) ou Tcp/587 (Smtp Tls).