Как изменить сообщения об ошибках авторизации?
В WordPress уже давно при установке движка возможно изменить имя администратора (раньше такого выбора не было и администратор всегда получал имя "admin"). Делать это необходимо, так как подбирать пароль к известному имени пользователя во много раз проще, чем пытаться подобрать и имя пользователя, и его пароль. К сожалению, WordPress при попытке авторизации выдает злоумышленникам информацию о наличии на сайте искомого имени пользователя (как это видно на скриншоте). Данную ситуацию можно исправить, изменив сообщения об ошибках авторизации и сделав их не такими информативными.
Добавьте в файл functions.php вашей темы следующий код:
//изменение сообщения об ошибке авторизации start function wph_login_error() { return 'Имя пользователя или его пароль указаны неверно.'; } add_filter('login_errors', 'wph_login_error'); //изменение сообщения об ошибке авторизации end |
При таком сообщении злоумышленник не будет знать, в чем состоит его ошибка - то ли в имени пользователя, то ли в его пароле. Если подобрать одно неизвестное значение можно простым перебором, то найти сразу два неизвестных значения практически невозможно. Конечно, не забудьте при этом изменить в своем профиле отображаемое имя пользователя, так как иначе вы сами выдадите свое имя пользователя в записях или комментариях вашего сайта.
Удалите также имя администратора из css-класса оформления комментариев.
Главная