Публикация в группе: Полезное для WordPress

Добавлено в закладки: 1

Как то незаметно в ядро WP с версии 4.5 была добавлена функция, которая позволяет пользователю проходить авторизацию, указав вместо логина свой емейл.

Не знаю, зачем это вообще было сделано, возможно, многочисленные просьбы пользователей WP заставили разработчиков пойти навстречу и добавить такой функционал в ядро. Может быть, кому то это может показаться даже очень удобным: забыл логин - указал емейл и готово, но я так не думаю.

Если хорошенько подумать, то такой функционал добавляет в ядро WP большую дыру в безопасности. Ранее много разговоров шло о том, что хорошо бы убирать из урл архивной страницы пользователя указание его логина или хотя бы делать user_nicename отличным от логина из-за очевидной проблемы с безопасностью, ведь если злоумышленник знает логин пользователя, то остается только начать подбирать пароль для получения доступа к аккаунту. Теперь же, эта дыра стала еще больше - для получения доступа к аккаунту пользователя можно знать не только логин, но и его емейл, либо то либо другое и уже можно подбирать пароль!

По-моему, это совсем не круто.

Если вы согласны с этим, то вам полезно будет знать как отключить возможность авторизации пользователя по указанию емейла. Пропишите в файле функций вашего шаблона строку:

Эта строчка отключит функционал авторизации по емейлу пользователя и поможет увеличить безопасность вашего сайта.

7

Автор публикации

не в сети 35 минут

Андрей CS

12k

Есть задание? Вам сюда http://codeseller.ru/task
Нужна консультация? Вам сюда http://codeseller.ru/products/skype-konsultaciya/
Если не приглашал в личку, писать туда не надо.
Для всего остального есть форум.

Комментарии: 1612Публикации: 496Регистрация: 30-11--0001Продаж/Покупок: 12689/92