Hoy os vamos a exponer las tres formas más comunes para recuperar contraseñas de WordPress si hemos sido hackeados o hemos olvidado la misma.
La primera y la más evidente es solicitar la recuperación de la contraseña a través de la pantalla de login de WordPress, haciendo click sobre «¿Has perdido tu contraseña?». Nos llegará un email a la dirección que tengamos configurada en el usuario con un enlace para reestablecer la contraseña.
Esto lamentablemente no siempre funciona, tal y como pudimos comprobar el lunes con el exploit día-cero de «hacked by hacker» por lo que hay ver las otras dos posibilidades que tenemos:
La segunda es cambiando la contraseña directamente en la base de datos a través de PHPMyAdmin. Para ello tenemos que acceder a la administración de la base de datos (que normalmente suele ser MySQL y por tanto accederemos a través de PHPMyAdmin). Esta administración está disponible en el panel de control de vuestro hosting u os lo deberían de haber dado al dar de alta el mismo. Si no tenéis ni idea, pedirlo a vuestro proveedor de alojamiento.
Dentro de la base de datos de WordPress hay una tabla que se llama «wp_users«, allí buscamos el usuario del que queremos cambiar la contraseña y lo editamos (pinchando sobre el lapiz). Se os abre el usuario y existe un campo llamado «user_pass» que contiene la contraseña del usuario encriptada con MD5. El aspecto de la contraseña es similar al siguiente: 1a08d56e555963626819b7363e06d4fd.
Lo que tendremos que hacer es reemplazar esa contraseña por la nueva que queramos asignar al usuario. Para ello necesitamos encriptar la contraseña que queramos poner con MD5 y esto es tan sencillo que acudir a una web como http://md5decryption.com/ donde introducimos el texto de la contraseña y pulsamos ENCRYPT IT.
Ese texto obtenido es el que pegamos en el campo «user_pass» del usuario y guardamos. Ahora ya tenemos la contraseña modificada.
Si esto os parece demasiado complicado, hay una solución más sencilla, pero algo peligrosa si no eliminamos el archivo de recuperación posteriormente.
La tercera forma es recuperar la contraseña mediante una herramienta de emergencia llamada «WordPress Emergency Password Reset». La herramienta está disponible en esta página; hay que bajarse la versión «Download emergency.php for WordPress 2.2.x and 2.3.x – Emergency for WordPress«.
Una vez descargado el archivo ZIP, lo descomprimimos y subimos mediante FTP el archivo emergency.php a la carpeta principal del WordPress del blog (dónde normalmente está ubicado el archivo wp-config.php). A continuación hay que acceder a ese archivo: http://web.com/emergency.php (cambiado web.com por el nombre de tu dominio y la ubicación del blog si estuviese en una carpeta).
Ahora nos aparece una pantalla que nos pide el nombre del usuario adminsitrador (debéis conocerlo si le habéis puesto otro nombre que no sea admin) y la nueva contraseña que queramos asignarle. OJO: Si no conocéis el nombre del usuario adminstrador, esta herramienta no os servirá.
Una vez se ha confirmado con «UPDATE OPTIONS» habremos cambiado la contraseña y es IMPRESCINDIBLE eliminar enseguida el archivo emergency.php mediante FTP para que otras personas no puedan hacer un cambio de contraseña. Esto es muy importante y por eso es tan peligroso utilizar esta herramienta.
Con alguna de las tres opciones seguro que habréis podido recuperar la contraseña. Si teneis preguntas, dejarnos un comentario.