Desativar ou redirecionar WP-login.php

10

Existe uma maneira de impedir que os visitantes, logados ou não, cheguem mysite.com/wp-login.php?

Eu tenho um formulário de login separado, que é tudo o que precisamos. Eu sei que posso mudar o estilo do formulário gerado por, wp-loginmas prefiro não precisar lidar com isso. Eu tentei vários filtros e ganchos e não consigo redirecioná-lo. Também tentei usar um .htaccessredirecionamento e descobri que isso funciona, mas impede que meu formulário de logon / logout personalizado funcione.

Ideias?

wp-login-form jchwebdev
fonte

você está fazendo isso por razões de segurança? por que não implementar auth apenas para wp-login.php?

Gaia

Eu não sei o que você quer dizer com isso. Por favor, expanda um pouco. TIA.

Jchwebdev

POR QUE você precisa de um formulário de login separado? por razões de segurança?

Gaia

Descobrimos que muitas pessoas hoje em dia conhecem o 'wp-login'. Preferimos que isso não seja tão óbvio. Você pode me dizer o que significa 'por que não implementar autenticação'? TIA

jchwebdev

veja a resposta fornecida.

Gaia

18

Depois de encontrar essa pergunta e testar algumas das respostas, a seguir está uma versão "limpa" do que estou usando em um ambiente de produção.

Esta versão não lança nenhum aviso / erro e também permite que as redefinições de senha funcionem:

// Hook the appropriate WordPress action
add_action('init', 'prevent_wp_login');

function prevent_wp_login() {
    // WP tracks the current page - global the variable to access it
    global $pagenow;
    // Check if a $_GET['action'] is set, and if so, load it into $action variable
    $action = (isset($_GET['action'])) ? $_GET['action'] : '';
    // Check if we're on the login page, and ensure the action is not 'logout'
    if( $pagenow == 'wp-login.php' && ( ! $action || ( $action && ! in_array($action, array('logout', 'lostpassword', 'rp', 'resetpass'))))) {
        // Load the home page url
        $page = get_bloginfo('url');
        // Redirect to the home page
        wp_redirect($page);
        // Stop execution to prevent the page loading for any reason
        exit();
    }
}

random_user_name
fonte

Isso parece impedir o WP-Login (bom), mas a saída final () parece impedir que o login real () ocorra, o que não é o que queremos. Queremos que as pessoas possam fazer login, mas nunca veja a tela de login do WP. Se eles digitarem um PW incorreto, ele será redirecionado para a nossa página de login personalizada.

21134 jjwebdev

Editado e ele está trabalhando agora: você tem que verificar se $ ação é preenchido antes de fazer in_array ()

simonthesorcerer

Isso não funcionou para mim. Eu ainda podia fazer login.

Mike

@ Mike - Tem certeza de que seu gancho está pegando / funcionando? O que acontece se você colocar echo "HERE";dentro da função? Isso ecoa?

random_user_name

11

@cale_b Sim, o gancho está funcionando bem. O problema é que $_GET['action']está vazio para mim. O formulário é postado em /wp-login.php(sem nenhuma variável GET na URL) e, olhando para a fonte, não há nem um put chamado action, então $_REQUEST['action']está vazio.

Mike

10

Tente isso nas funções do seu tema.php

add_action('init','custom_login');

function custom_login(){
 global $pagenow;
 if( 'wp-login.php' == $pagenow && !is_user_logged_in()) {
  wp_redirect('http://yoursite.com/');
  exit();
 }
}

Androliyah
fonte

trabalhando para mim, mas estou tendo log out problemas e figura não consigo descobrir por que

Androliyah

7

Porque o wp-login.php também lida com o logout.

precisa saber é o seguinte

Sim, isso bloqueia meu formulário de login personalizado. Mas se houvesse uma maneira de verificar com segurança a var requisição ou talvez o referenciador? IOW: este pode ser um ponto de partida. Alguém mais? TIA --- JC

jchwebdev

Ah, sim, o wp-login lida com o logout. Ri muito. Isso é lógico. Talvez este código com um plugin seja suficiente. Deixe-me ver o que mais podemos usar, porque eu odeio usar o wp-login.

Androliyah 24/08/12

Tudo o que acho necessário é monitorar os vars de solicitação quando o wp-login é carregado. Só não tenho uma máquina que possa fazer isso agora.

precisa saber é o seguinte

3

Adicione uma var GET para a ação de logout e ela funcionará bem.

add_action('init','custom_login');

function custom_login(){
 global $pagenow;
 if( 'wp-login.php' == $pagenow && $_GET['action']!="logout") {
  wp_redirect('http://YOURSITE.com/');
  exit();
 }
}

reitor
fonte

Até agora, este é o mais próximo do que queremos. Se removermos a saída () e mudarmos o wp_redirect para a nossa página de login personalizada, ele parece fazer o trabalho.

21134 jjwebdev

3

Estou usando o plug - in do WordPress Renomear wp-login.php há algum tempo.

Permite alternar wp-login.phppara qualquer outro caminho. Eu estava tendo bots batendo minhas páginas de login e agora recebo zero acertos.

gdaniel
fonte

1

O WP-login lida com login, logout, registro, redefinição e recuperação de senha. Supondo que você queira alterar a página de login do front-end. Você pode usar com segurança o seguinte código:

function custom_login_page() {
 $new_login_page_url = home_url( '/login/' ); // new login page
 global $pagenow;
 if( $pagenow == "wp-login.php" && $_SERVER['REQUEST_METHOD'] == 'GET') {
    wp_redirect($new_login_page_url);
    exit;
 }
}

if(!is_user_logged_in()){
 add_action('init','custom_login_page');
}

Este trecho de código:

Redirecione todos os visitantes do site para a nova página de login.
O logout funcionará sem problemas
Na sua página de login personalizada, você terá que criar formulários personalizados de login, registro e redefinição de senha. No entanto, seus formulários personalizados podem postar dados com segurança no wp-login.php, pois as solicitações de postagem não são redirecionadas.

Fiaz Husyn
fonte

11

home_url()já adiciona uma barra principal, portanto não há necessidade disso. Também $pagenowé (a) um global que está presente apenas em admin (e talvez no logon) e (b) deve ser substituído por get_current_screen()verificações de propriedade.

Kaiser #

1

// https://codex.wordpress.org/Plugin_API/Filter_Reference/login_url#Examples
add_filter('login_url', 'custom_login_url', 10, 3);

function custom_login_url($login_url, $redirect, $force_reauth) {
    return home_url('/login/?redirect_to=' . $redirect);
}

Isso irá redirecionar para / login em vez do formulário desagradável de wp-login.

corysimmons
fonte

hmmm idéia interessante, mas por favor, explicar como / por que ela funciona

Mark Kaplun

Isso não vai funcionar. Isso filtra solicitações para o URL de login via login_url (), não impede que alguém digite manualmente wp-login.php.

Matt

0

Se sua intenção é proteger wp-login.phpcontra estranhos, mesmo que seja capaz de vê-lo, a maneira mais simples e eficiente de fazer isso é exigir autorização (autenticação básica) para acessar wp-login.php.

No Apache, a autenticação é implementada através de uma combinação de htaccess e um arquivo de senha . Na primeira vez, em uma sessão do navegador, que alguém tentar acessar wp-login.php, será solicitado que você digite um nome de usuário e senha (antes do login no wordpress).

Para simplificar, esse nome de usuário e senha podem ser os mesmos para todas as pessoas às quais você deseja acessar wp-login.php, pois elas ainda precisam inserir seu login no wordpress após passarem pela primeira caixa de diálogo de autenticação.

Gaia
fonte

Interessante. Estou assumindo que o 'prompt' é o pop-up modal do navegador para inserir credenciais. Eu acho que isso causaria confusão. Idealmente, o que eu quero é que esse URL faça -nothing -... ou talvez apenas redirecione para a página inicial. Mas obrigado por isso. Aprenda algo novo todos os dias!

Jchwebdev

O que você pensa que está fazendo é "segurança através da obscuridade". Mas, na realidade, você está apenas obscurecendo, e isso é terrível. Não use isso. Auth é segurança. Ocultar o ponto de entrada é obscuridade. security.stackexchange.com/questions/32064/…

Gaia

11

Em outras palavras, mesmo se você alterar o local do wp-login, ainda precisará usar o auth: "Devo confiar na alteração do servidor de 22 para a porta 2222 para manter minha conexão segura? Absolutamente não. É ruim alterar meu Servidor SSH para a porta 2222 enquanto também usa uma senha? Não, se essa for a melhor solução. Alterar ("Obscurecer") a porta simplesmente reduzirá um monte de scanners de exploração automática que pesquisam portas normais. obscuridade o que é bom, mas não estamos contando com a obscuridade. Se a encontraram, ainda precisam quebrar a senha. "

Gaia

Obrigado por isso. Eu aprendi muito. Não é o que eu estava procurando, mas ainda assim ... muito útil. Melhor --- JC

jchwebdev 31/05

0

Substitua $pageidpela página para a qual você deseja que os usuários sejam redirecionados

/* Redirect log in page */
function redirect_login_page(){
  // Store for checking if this page equals wp-login.php
   $page_viewed = basename( $_SERVER['REQUEST_URI'] );

  // permalink to the custom login page
  $login_page  = get_permalink($pageid);

  if( $page_viewed == "wp-login.php" ) {
    wp_redirect( $login_page );
    exit();
  }
}

add_action( 'init','redirect_login_page' );

Mohamed Omar
fonte

0

<?php
/* Template Name: Register Template */
if(is_user_logged_in()) { $user_id = get_current_user_id();$current_user = wp_get_current_user();$profile_url = get_author_posts_url($user_id);$edit_profile_url = get_edit_profile_url($user_id); ?>
<div class="regted">
    You're login with nickname <a href="<?php echo $profile_url ?>"><?php echo $current_user->display_name; ?></a> Are you want to <a href="<?php echo esc_url(wp_logout_url($current_url)); ?>">Exit</a> ?
</div>
<?php } else { ?>
<div class="register">
    <?php $err = ''; $success = ''; global $wpdb, $PasswordHash, $current_user, $user_ID; if(isset($_POST['task']) && $_POST['task'] == 'register' ) { $pwd1 = $wpdb->escape(trim($_POST['pwd1']));
        $pwd2 = $wpdb->escape(trim($_POST['pwd2']));
        $email = $wpdb->escape(trim($_POST['email']));
        $username = $wpdb->escape(trim($_POST['username']));

        if( $email == "" || $pwd1 == "" || $pwd2 == "" || $username == "") {
            $err = 'Please enter password in this field';
        } else if(!filter_var($email, FILTER_VALIDATE_EMAIL)) {
            $err = 'Email is invalid';
        } else if(email_exists($email) ) {
            $err = 'Email is existed';
        } else if($pwd1 <> $pwd2 ){
            $err = 'Password does not match the confirm password';
        } else {
            $user_id = wp_insert_user( array ('user_pass' => apply_filters('pre_user_user_pass', $pwd1), 'user_login' => apply_filters('pre_user_user_login', $username), 'user_email' => apply_filters('pre_user_user_email', $email), 'role' => 'subscriber' ) );
            if( is_wp_error($user_id) ) {
                $err = 'Error on user creation.';
            } else {
                do_action('user_register', $user_id);
                $success = 'Registered Successfully';
            }
        }
    }
    ?>
  <link  rel="stylesheet" type="text/css"  href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.7/css/bootstrap.min.css">
<!--display error/success message-->
<div id="message">
        <?php
            if(! empty($err) ) :
                echo ''.$err.'';
            endif;
        ?>
        <?php
            if(! empty($success) ) :
                $login_page  = home_url( '/login' );
                echo ''.$success. '<a href='.$login_page.'> Login</a>'.'';
            endif;
        ?>
    </div>

           <div class="container">    
        <div id="loginbox" style="margin-top:100px;" class="mainbox col-md-6 col-md-offset-3 col-sm-8 col-sm-offset-2">
          <div style="padding-bottom: 50px;" class="col-md-6 col-md-offset-4 col-sm-8 col-sm-offset-2"/><img src="#url.logo"></div>
    <form class="form-horizontal" method="post" role="form">
<div class="form-group">
    <label class="control-label  col-sm-3" for="username">Username:</label>
    <div class="col-sm-9">
    <input type="text" class="form-control" name="username" id="username" placeholder="Username">
    </div>
</div>
<div class="form-group">
    <label class="control-label col-sm-3" for="email">Email:</label>
    <div class="col-sm-9">
        <input type="email" class="form-control" name="email" id="email" placeholder="Email">
    </div>
</div>
<div class="form-group">
    <label class="control-label col-sm-3" for="pwd1">Password</label>
    <div class="col-sm-9">
        <input type="password" class="form-control" name="pwd1" id="pwd1" placeholder="Enter your password">
    </div>
</div>
<div class="form-group">
    <label class="control-label col-sm-3" for="pwd2">Retype password:</label>
    <div class="col-sm-9">
        <input type="password" class="form-control" name="pwd2" id="pwd2" placeholder="Retype password">
    </div>
</div>
<?php wp_nonce_field( 'post_nonce', 'post_nonce_field' ); ?>
<div class="form-group">
    <div class="col-sm-offset-3 col-sm-9"  style="text-align:center;">
    <button type="submit" class="btn btn-primary">Register</button>
    <input type="hidden" name="task" value="register" /><br/>
    </div>
</div>
</form>
</div>
</div>
</div>
<?php 
get_footer();
 ?>
<div class="message">
    <?php
        $login  = (isset($_GET['login']) ) ? $_GET['login'] : 0;
        if ( $login === "failed" ) {
                echo '<strong>Error</strong> Wrong username or password!';
        } elseif ( $login === "empty" ) {
                echo '<strong>Error:</strong>Username or password is blank field.';
        } elseif ( $login === "false" ) {
                echo '<strong>ERROR:</strong> Exit';
        }
    ?>
</div>
<?php } ?>

Exemplo da minha página de login personalizada. Salvando login.php e colocar código

add_action('init','wpse_login');

function wpse_login(){
 global $pagenow;
 if( 'wp-login.php' == $pagenow && !is_user_logged_in()) {
  wp_redirect('http://yoursite.com/login.php');
  exit();
 }
}

no functions.php

Rei
fonte

Você poderia editar sua pergunta e explicar por que essa resposta é melhor do que as respostas anteriores ou o que exatamente você está fazendo? As respostas somente em código geralmente são desaprovadas, sem algum tipo de explicação.

Howdy_McGee

esse código alterna wp-login.php para login.php com meu código personalizado com base no bootstrap Ele pode impedir o bot automático ou adivinhar o URL padrão. o uso pode mudar <i> login </i> para expressar o que você deseja. e ninguém sabe que o URL de login diretamente o excede.

Rei

Desativar ou redirecionar WP-login.php

Respostas: