当登录 WordPress 后台时,如果输入的用户名或密码错误,系统会根据默认的错误提示方式给出相应的提示信息。这种情况下,别人可以通过错误提示信息判断出用户名是否存在,从而造成隐患。
为了增强安全性,我们可以通过修改登录错误提示信息来隐藏信息。下面是将下述代码添加到主题的 functions.php 文件中的示例代码。
<?php
function change_login_error_message($errors) {
$error_code = $errors->get_error_code();
if (in_array($error_code, ['invalid_username', 'invalid_email', 'incorrect_password'])) {
$errors->remove($error_code);
$errors->add($error_code, '用户名或密码错误!');
}
return $errors;
}
add_filter('wp_login_errors', 'change_login_error_message');
?>保存文件后,无论是用户名不存在还是密码不正确,系统都会统一提示 “用户名或密码错误!”,如下图所示:
通过这样的设置,无论输入的用户名不存在还是密码不正确,系统都给出了相同的错误提示,提高了网站的安全性。