functions.php – Löschen der detaillierten Fehlerausgabe beim Login

Gelöst Torqueix
(@torqueix)

vor 8 Jahren, 3 Monaten
Hallo nochmals!

Um den detaillierten Fehlerhinweis beim Login zu löschen, habe ich folgende Ergänzung in die jeweilige „functions.php“ geschrieben:
```
function remove_wp_generator(){
add_filter( 'the_generator', create_function( '$x', 'return;' ) );
}
add_action( 'init'; 'remove_wp_generator');
add_filter( 'login_errors'; create_function( '$x', 'return "ERROR";' ) );
```
Leider gibt mir das System immer noch konkrete Fehlermeldungen zum Benutzernamen und/oder Paßwort aus.

Meine Fragen:
1. Ist der Code richtig verfaßt?
2. Was sollte ich tun, um tatsächlich nur die Meldung ERROR zu erhalten?

Und danke …!

[Moderationshinweis: Code bitte auch immer als Code auszeichen. Danke! – Torsten]

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)

Moderator Bego Mario Garde
(@pixolin)

vor 8 Jahren, 3 Monaten
Wenn du nicht explizit ausgeben möchtest, ob User-Name oder Passwort falsch waren, hilft folgende Funktion
```
add_filter('login_errors',create_function('$a', "return 'Login-Fehler';"));
```
Möchtest du hingegen eine Fehlermeldung komplett unterdrücken, hilft
```
add_filter('login_errors',create_function('$a', "return null;"));
```
Im Login-Formular wird noch ein leeres Textkästchen angezeigt, das mit ein wenig CSS ausgeblendet werden kann:
```
.login #login_error { display: none; }
```
Wichtiger ist aber, das Login-Formular generell gegen Brute Force-Angriffe zu schützen, in dem man die Anzahl an Anmeldeversuchen beschränkt. Mit dem Plugin Wordfence kannst du User, die sich mit einem falschen Benutzernamen anmelden, direkt blocken.

Ich packe solche Funktionen gerne in ein eigenes Plugin, damit sie nicht beim nächsten Update überschrieben werden. Also z.B.
```
<?php
/*
Plugin Name: Eigene Einstellungen
Description: Was mir so an Einstellungen eingefallen ist.
*/
if ( ! defined( ‘ABSPATH’ ) ) exit; // Exit if accessed directly

add_filter('login_errors',create_function('$a', "return null;"));

// Add more functions here …
```
Noch ein Nachtrag: Es macht eigentlich wenig Sinn, die Ausgabe der WordPress-Version zu unterdrücken. Hier wird gerne argumentiert, dass Angreifer anhand eines Hinweises auf eine ältere WordPress-Version mögliche Schwachstellen auf dem Silbertablett präsentiert bekämen. Nur nutzt es dann wenig, wenn die Versions-Nummer z.B. in der nicht gelöschten readme.html steht oder im Feed ausgegeben wird (es gibt da noch ein paar pfiffigere Methoden, auf die ich aber nicht eingehen möchte). Statt dessen sollte man seine WordPress-Installation möglichst aktuell halten.
Thread-Starter Torqueix
(@torqueix)

vor 8 Jahren, 3 Monaten

Hallo Bego,
vielen Dank für die Antwort(en).
Das hilft mir weiter.
An einen Brute-Force-Schutz hatte ich asuch schon gedacht und ihn installiert.
Und wenn mehr Aufwand eigentlich weniger bringt, werd‘ ich’s ja nicht machen müssen.
Danke nochmals.

Ansicht von 2 Antworten - 1 bis 2 (von insgesamt 2)

Das Thema „functions.php – Löschen der detaillierten Fehlerausgabe beim Login“ ist für neue Antworten geschlossen.

functions.php – Löschen der detaillierten Fehlerausgabe beim Login

Themen-Schlagwörter

Ansichten