Wege das Adminpasswort zurüclzusetzen - welche gibt es

Eigentlich gibt es nur:
- In der Datenbank zurücksetzen (auslesen nicht möglich)
- Die Passwort-Reset-Email
- Ein anderer Administrator kann das Passwort unter "Benutzer" ändern

Andere Möglichkeiten wüsste ich jetzt nicht...

Edit: Über einen Hook müsste es theoretisch auch noch gehen.

 

Warum ist Passwort auslesen nicht möglich?

Nach meinen Kenntnissen setzt Wordpress auf MD5 ohne Salt. Ist fast wie Klartext.

 

Das ist aber nicht mehr Standard und wird aber nur noch aus Gründen der Abwärtskompatibilität unterstützt, oder?

Ich hab auch die schnelle gerade keine andere Quelle gefunden:

Quelle: https://ttmm.io/tech/wordpress-password-hashing/

Abgesehen davon kann man die Salts schon (optional) über die wp-config.php festlegen.

 

Ich weiss auch nicht ab wann Salt Standard wurde. Habe aber viele Installationen gesehen die ohne Salt sind.

Wollte nur anmerken das die Passwörter nicht sehr sicher sind, wenn man jemand Zugang zur DB ehält, erst recht nicht bei alten Wordpress Versionen die die Config nie aktualisiert haben.

 

Seit knapp 10 Jahren (genauer seit WordPress 2.5) sind MD5-Passwörter nicht mehr Standard sondern werden nur noch als Fallback unterstützt. Wie das vor sich geht kann man hier nachlesen.

@danielgoehr: Über einen Filter geht es auch, per FTP in das aktive Theme oder in ein aktives Plugin temporär z.B. diese Zeile einsetzen, dann klappt der Login in jedem Account mit jedem Passwort:

PHP:

Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!

 

Ne klar. Ich meinte das "auslesen nicht möglich" auch weniger im Sinne von Sicherheit, sondern eher im Sinne von "der Durchschnitts-User kann da nicht einfach reinschauen und nochmal eben schauen, wie das Passwort war".

Das meinte ich mit "Hook". Ich weiß, genau genommen ist das nicht das selbe, aber ich werfe Hooks und Filter (unkorrekterweise) oft in einen Topf...