在登录WordPress后台的时候,如果输入的用户或密码错误,会出现针对性的提示。如输入错误的用户名,会提示用户名未在本站点注册;输入错误的密码会提示用户名指定的密码不正确。如果用户名和密码同时输入错误,根据WordPresss默认的错误提示优先级,会先提示用户名未注册,如果用户名已注册则再提示密码不正确。
用户名正确,密码不正确的提示
用户名不存在的提示
这样一来,可能会被获取到正确的用户名,然后暴力破解密码,在一定程序上属于安全隐患,所谓小心驶得万年船,修改登录的错误提示信息会更加保险。
把下面的代码放在主题的functions.php文件
1 2 3 4 5 6 7 8 9 10 11 | function change_login_error_message($errors){ $error_code = $errors->get_error_code(); if(in_array($error_code, ['invalid_username', 'invalid_email', 'incorrect_password'])){ $errors->remove($error_code); $errors->add($error_code, '用户名或者密码错误!'); } return $errors; } add_filter('wp_login_errors', 'change_login_error_message'); |
保存文件后,登录时不管是用户名不存在或者密码不正确,都会统一提示“用户名或者密码错误!”,如下图:
帐号信息泄露往往是导致网站安全问题的重要原因,所以一定要重视起来。
