Zitat:
Zitat von hubspe
Removing unnecessary error messages on failed log-ins.
By default WordPress will show you what was wrong with your login
credentials - login or password. This will allow hackers to start a brute
force attack to get your password once they know the login.
Add few lines of code to functions.php in your current theme:
PHP-Code:
function explain_less_login_issues(){ return '<strong>ERROR</strong>: Entered credentials are incorrect.';}
add_filter( 'login_errors', 'explain_less_login_issues' );
|
Das ist nicht verkehrt. Es ist schwieriger ein Login zu knacken, wenn man nicht weiß welche der Eingaben fehlerhaft war. Das lohnt sich allerdings nur, wenn man nicht die Standardnamen verwendet. Den Nutzer benachteiligt es eventuell, wenn er sich nicht mehr an sein Login erinnern kann, aber dafür gibt es eigentlich die Passwort-vergessen-Funktion.
Ich setze das bei eigenen Projekten immer so um, es gibt keinen Hinweis darauf ob der Nutzername überhaupt existiert.
Zitat:
Zitat von hubspe
Dieses Plugin installieren:
[…]
|
Ich weiß nicht was in Wordpress oder Plugins mit dieser Variable angefangen wird. Grundsätzlich sollte man Nutzereingaben (und die Request-URI ist eine Nutzereingabe) nie ohne Überprüfung verwenden und am besten gar nicht direkt weiterverarbeiten. Wenn die Entwickler ihren Job gut gemacht haben ist das Plugin also überflüssig, möglicherweise führt es auch zu ungewünschten Effekten. Was wenn du einen Artikel über base64 veröffentlichen willst?
