¡Aviso a navegantes, este truco tiene más peligro que una ensaladilla a las 9 de la noche en un chiringuito de playa!
Pero, vamos al lío, que aquí estamos para jugar, y aprender…
¿Has venido a este mundo a que te digan por dónde entrar y por dónde no?
¿Te pasa que tienes tantas webs que nunca te acuerdas de con qué usuario y contraseña acceder a cada una?
Y sí, hay gestores de contraseñas automáticos, incluso administraciones centralizadas para varios WordPress, pero tú no eres un débil, de los que necesitan aplicaciones adicionales, ni tienes tiempo para aprender cosas nuevas, instalar aplicaciones y esas cosas para gente floja, tú eres más de soluciones radicales, vives en modo jevipunk.
Entonces, ¿qué te parecería tener una URL con la que acceder a cualquier web WordPress sin tener que introducir usuario o contraseña, sino estar directamente conectado?
Pues vete olvidando de esas urls de dominio.com/wp-login.php y similares, a partir de ahora podrás entrar a cualquier web únicamente acordándote de tu URL personalizada para acceder a administrarla sin frenos ni pasos intermedios.
¿Te gustaría poder estar conectado a cualquier web con una url del tipo midominio.com/?ya-estoy-administrando-porque-yo-lo-valgo?
Fácil, en todas las webs a las que quieras estar conectado como administrador, sin necesidad de tener que acceder con usuario y/o contraseña, añade lo siguiente al archivo functions.php del tema, o como prefieras, será la última vez que tengas que acordarte del usuario y contraseña de esas webs:
/* Cambiar url de login de WP con un hash */
add_action( 'send_headers', function() {
if ( ! isset( $_GET['mi-hash-personalizado-que-debes-cambiar-a-lo-que-sea'] ) || is_user_logged_in() ) {
return;
}
$admins = get_users( [
'role' => 'administrator',
] );
$remember = true;
wp_set_auth_cookie( $admins[0]->ID, $remember );
// Y recargamos la web
header( 'Refresh: 0' );
} );
¿Qué hace este código?
Pues mediante la función wp_set_auth_cookie guarda una cookie de sesión para cualquier usuario administrador que acceda con la URL (hash) personalizado.
¿Cómo entraría a la web?
Nada más simple, teclea el dominio más el hash personalizado, por ejemplo:
https://midominio.com/?mi-hash-personalizado-que-debes-cambiar-a-lo-que-sea
Y se recargará la página mostrándote la barra de administración, pues estás conectado a WordPress con la cookie de admin recién creada.
¿No te lo crees? Mira este vídeo…
Advertencia (otra vez): Esto es peligrosísimo. Si alguien adivina o consigue detectar tu hash personalizado entrará en la web como si nada, sin ningún tipo de credencial. Este truco solo es para quienes gusten de vivir peligrosamente.
¿Te gustó este artículo? ¡Ni te imaginas lo que te estás perdiendo en YouTube!
Buenos días Fernando, gracias por enseñarnos algo nuevo.
Una duda…
Hace unos día escuche el Webinar optimizar WordPress para 2024 donde comentaste que una amenaza de seguridad importante, son las cookies de sesión.
¿ seria una buena practica este sistema de inicio de sesión?
Uy no, ni de lejos, es una malísima práctica, solo la comparto como curiosidad 😀
jjjjj , me extrañaba…
Gracias
Esto es mas peligroso que un «tiroteo en un ascensor» 😉 pero está bueno el dato sobre todo para instalaciones BETA y sitio para probar cosas.
Saludos Fernando
Exacto, tiene más peligro que un político con presupuesto ilimitado 😀