Bezpieczeństwo WordPress’a jest ważne i może być zagrożone, nawet jeżeli prowadzisz małą stronę na którą nikt nie wchodzi, nawet jeżeli masz prywatny zabezpieczony hasłem pamiętnik, a przy stronach firmowych czy blogach z setkami czy tysiącami użytkowników trzeba o nie dbać maksymalnie jak tylko się da.
Bez wątpienia formularz logowania w WordPress to jeden z najbardziej newralgicznych punktów całej instalacji.
To już druga część serii Filtr&Akcja Dnia Poprzednia cześć dostępna jest na końcu wpisu.
Wyłączenie błędów logowania w WordPress
Zacznijmy od podstawowego pytania – Dlaczego?
Roboty szukające podatności prawie nigdy nie korzystają z okna logowania, ale próby manualnego logowania mogą się powieść, jeżeli ktoś odgadnie nasz login i hasło – Poznanie nazwy użytkownika nie jest trudne, wystarczy wpisywać TOP100 najczęściej używanych, aż pojawi się komunikat „BŁĄD: Wprowadzone hasło dla nazwy użytkownika admin nie jest poprawne. Nie pamiętasz hasła?” i już mamy z górki.
I znając nazwę użytkownika niekoniecznie ktoś będzie chciał odgadywać hasło, ale np. wykorzystać lukę w jednej z wtyczek, gdzie do autoryzacji wystarczy podać login administratora.
Poniżej znajdziesz dwa kody – pierwszy zmienia go na inny, wyświetlany z każdą próbą, a drugi całkowicie go usuwa.
Filtr – Zmiana komunikatu błędu logowania
function jcz_bez_bledow(){
return 'Co Ty kombinujesz?';
}
add_filter( 'login_errors', 'jcz_bez_bledow' );Od teraz każde błędne logowanie zwróci komunikat „Co Ty kombinujesz?” – oczywiście możesz go dowolnie zmienić.
Filtr – Usunięcie komunikatu o błędnym logowaniu
add_filter('login_errors', create_function('$a', "return null;"));Ten kod z kolei wyłączy całkowicie komunikaty o błędzie logowania.
Jak dodać ten kod do WordPress?
Kod ten dodaj do motywu, najlepiej motywu potomnego lub własnej wtyczki funkcyjnej. Przed „?>” na końcu pliku (może tego fragmentu nie być i wtedy po prostu na końcu). Więcej szczegółów w artykule: Własny kod w WordPress.
Źródło: Pixabay
