Odzyskiwanie hasła użytkownika, a raczej jego resetowanie / ponowne wygenerowanie możliwe jest poprzez link „Nie pamiętasz hasła?” przy okienku logowania do WordPressa.
Jest wiele opisów jak zmienić kod WP by wyelimonować tę opcję. Ale… po co ingerować w kod? Zrobimy update i wszystko od nowa, bez sensu jednym słowem.
Dlaczego wyłączyć tę funkcję? dla spokoju ;) w wersji chyba 2.8.3 była możliwość zdalnego resetu hasła admina i mógł to zrobić KAŻDY. Teoretycznie wszystko załatane, ale…


Ja funkcji / akcji lostpassword nie wyłączyłem tylko zablokowałem. W pliku .htaccess oczywiście. Wywołanie jakiegokolwiek parametru np.
http://naszblog.pl/wp-login.php?action=lostpassword
powoduje wygenerowanie kodu błędu 403, czyli „Zabroniony – serwer zrozumiał zapytanie lecz konfiguracja bezpieczeństwa zabrania mu zwrócić żądany zasób”.
Do zalogowania się WYSTARCZY wywołanie skryptu bez parametru czyli np.
http://naszblog.pl/wp-login.php,
a jeśli chcemy zresetować hasło, to na tę chwilę zawsze można zakomentować odpowiednie linie znakiem #.

Te odpowiednie linie, które należy dodać (lub zahaszować) w pliku .htaccess wyglądają tak:

RewriteBase /
RewriteCond %{QUERY_STRING} ^.+$
RewriteRule ^wp-login.php$ - [F]

Oczywiście zamiast generowania 403 możemy przekierować na jakąś stronę – wedle fantazji.

Tagged with →  
Share →