Как то незаметно в ядро WP с версии 4.5 была добавлена функция, которая позволяет пользователю проходить авторизацию, указав вместо логина свой емейл.
Не знаю, зачем это вообще было сделано, возможно, многочисленные просьбы пользователей WP заставили разработчиков пойти навстречу и добавить такой функционал в ядро. Может быть, кому то это может показаться даже очень удобным: забыл логин - указал емейл и готово, но я так не думаю.
Если хорошенько подумать, то такой функционал добавляет в ядро WP большую дыру в безопасности. Ранее много разговоров шло о том, что хорошо бы убирать из урл архивной страницы пользователя указание его логина или хотя бы делать user_nicename отличным от логина из-за очевидной проблемы с безопасностью, ведь если злоумышленник знает логин пользователя, то остается только начать подбирать пароль для получения доступа к аккаунту. Теперь же, эта дыра стала еще больше - для получения доступа к аккаунту пользователя можно знать не только логин, но и его емейл, либо то либо другое и уже можно подбирать пароль!
По-моему, это совсем не круто.
Если вы согласны с этим, то вам полезно будет знать как отключить возможность авторизации пользователя по указанию емейла. Пропишите в файле функций вашего шаблона строку:
remove_filter( 'authenticate', 'wp_authenticate_email_password', 20);
Эта строчка отключит функционал авторизации по емейлу пользователя и поможет увеличить безопасность вашего сайта.
Автор публикации
Спасибо! Оказалось просто мего полезно. Не буду писать подробности, много букв 🙂 но несколько сайтов клиентских теперь чувствуют себя спокойно, точнее их админы. После установки и анализа логов плагина цербер, выясняется...спамеры и господа с более конкретными намерениями, активно сие юзают.