Domyślnie WordPress wyświetla komunikaty o błędach na stronie logowania, gdy ktoś wpisze nieprawidłową nazwę użytkownika lub hasło. Komunikaty te mają na celu pomóc użytkownikom, ale mogą również stanowić wskazówkę dla hakerów próbujących włamać się na twoją witrynę.
Wyłączenie tych podpowiedzi logowania to prosty sposób na poprawę zabezpieczeń twojej witryny. Przy mniejszej liczbie ujawnionych szczegółów, trudniej będzie komukolwiek odgadnąć twoje dane uwierzytelniające.
W tym artykule pokażemy ci, jak wyłączyć podpowiedzi logowania w WordPressie, aby zwiększyć bezpieczeństwo twojej witryny internetowej.
Czym są podpowiedzi dotyczące logowania w komunikatach o błędach logowania WordPress?
Za każdym razem, gdy ktoś spróbuje zalogować się do twojej witryny przy użyciu nieprawidłowej nazwy użytkownika lub hasła, WordPress wyświetli komunikat o błędzie na ekranie logowania.
Jeśli osoba ta wpisze niewłaściwą nazwę użytkownika lub adres e-mail, WordPress wyświetli następujący błąd: „Nazwa użytkownika nie jest zarejestrowana na tej witrynie. Jeśli nie masz pewności co do twojej nazwy użytkownika, spróbuj zamiast tego podać twój adres e-mail”.
Może to być pomocne dla prawdziwych użytkowników, ale także pozwala hakerom wiedzieć, że wpisują niewłaściwy rodzaj nazwy użytkownika.
Wpisz poprawną nazwę użytkownika, ale nieprawidłowe hasło, co spowoduje błąd: „Hasło wprowadzone dla nazwy użytkownika jest nieprawidłowe. Zgubiłeś twoje hasło?”.
Potwierdza to potencjalnym atakującym prawidłowe odgadnięcie nazwy użytkownika.
Jeśli komuś uda się odgadnąć twoją nazwę użytkownika, komunikat o błędzie poinformuje go, że jest na dobrej drodze. Oznacza to, że tylko twoje hasło stoi na przeszkodzie, by dostać się na twoje konto.
Właściciele witryn WordPress mogą również logować się do swojej witryny przy użyciu adresu e-mail zamiast nazwy użytkownika. Oznacza to, że haker może wpisać różne rodzaje adresów e-mail, aby spróbować dowiedzieć się, jakiego adresu używasz do swojego konta WordPress.
Gdy tylko haker odgadnie właściwy adres e-mail, WordPress przełączy się na błąd „Hasło, które wpiszesz dla nazwy użytkownika, jest nieprawidłowe”.
Aby zabezpieczyć twój blog lub witrynę WordPress przed hakerami, powinieneś zawsze używać unikatowej nazwy użytkownika i silnego hasła do konta.
Jeśli dodałeś innych użytkowników WordPressa lub autorów do swojej witryny, możesz również użyć wtyczki WordPress, aby wymusić na twoich użytkownikach utworzenie silnego hasła.
Chociaż te kroki są świetnym początkiem, podpowiedzi dotyczące logowania mogą pomóc hakerom włamać się na twoją witrynę. Mając to na uwadze, przyjrzyjmy się, jak można ukryć podpowiedzi logowania w komunikatach o błędach logowania WordPress.
Ukrywanie podpowiedzi logowania w WordPress
Najprostszym sposobem na wyłączenie podpowiedzi logowania w komunikatach o błędach logowania WordPress jest wklejenie kodu do WordPress. Chociaż zwykle nie sugerujemy tego początkującym, WPCode ułatwia każdemu dodanie kodu do swojej witryny internetowej WordPress.
Możesz dodać następujący fragment kodu na dole pliku functions.php twojej witryny, ale może to spowodować jej uszkodzenie.
Zalecamy zainstalowanie darmowej wtyczki WPCode. Szczegółowe instrukcje można znaleźć w naszym przewodniku na temat instalacji wtyczki WordPress.
Po włączaniu, wszystko co musisz zrobić, to przejść do Code Snippets „ +AddSnippet z twojego kokpitu administracyjnego WordPress. Następnie najedź kursorem myszy na „Dodaj swój własny kod” i kliknij „Użyj fragmentu kodu”.
Następnie wystarczy nadać nazwę twojemu nowemu fragmentowi kodu i wkleić poniższy kod w obszarze „Podgląd kodu”:
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Ten kod zmienia domyślny błąd strony logowania na własny komunikat, taki jak „Coś jest nie tak!”.
Ponadto kod ten nakazuje WordPressowi wyświetlanie własnego komunikatu zamiast domyślnego błędu. W powyższym przykładzie używamy komunikatu „Coś jest nie tak!” jako komunikatu o błędzie.
Możesz zmienić ten wiersz, aby wyświetlić dowolny komunikat. Na przykład tutaj używamy „Coś jest nie tak!” jako komunikatu o błędzie:
return 'Something is wrong!';
Pamiętaj, aby wybrać PHP z listy rozwijanej „Rodzaj kodu”, a następnie możesz przełączyć przełącznik z „Nieaktywny” na „Aktywny” i kliknąć „Zapisz fragment kodu”.
Gdy już to zrobisz, warto przetestować twój nowy komunikat o błędzie.
Aby wykonać ten test, po prostu przejdź do strony logowania twojej witryny internetowej i wpisz niewłaściwą nazwę użytkownika, hasło lub e-mail. Następnie kliknij przycisk „Zaloguj się”.
WordPress wyświetli teraz twój nowy komunikat o błędzie, nie dając ci żadnych wskazówek, co może być nie tak.
Należy pamiętać, że chociaż ten kod wyłączy podpowiedzi logowania w WordPress, nie zabezpieczy cię przed bardziej zaawansowanymi próbami lub atakami typu brute-force.
Najprostszym sposobem na uniemożliwienie hakerom dostępu do twojej witryny jest użycie wtyczki zabezpieczenia WordPress, takiej jak Cloudflare lub WordFence.
Aby uzyskać więcej informacji, przeczytaj nasz przewodnik na temat zabezpieczenia twojej witryny internetowej WordPress.
Film instruktażowy
Aby to ułatwić, stworzyliśmy również poradnik filmowy, jak wyłączyć podpowiedzi logowania w komunikatach o błędach logowania WordPress.
Wskazówka bonusowa: Poprawa zabezpieczeń logowania do twojego WordPressa
Teraz, gdy już wiesz, jak ważna jest silna nazwa użytkownika i hasło, przyjrzyjmy się kilku dodatkowym sposobom na zwiększenie twojego zabezpieczenia logowania. Jest to ważne nie tylko dla ciebie, ale także dla każdego, kto współtworzy twojego bloga, zwłaszcza jeśli prowadzi go wielu autorów.
Oto kilka dodatkowych wskazówek, dzięki którym twoje konta będą jeszcze bezpieczniejsze:
- Włącz uwierzytelnianie dwuskładnikowe (2FA): Dodaje to dodatkową warstwę zabezpieczenia, wymagając drugiej formy weryfikacji, takiej jak kod SMS lub pytanie zabezpieczające.
- Korzystaj z menedżera haseł: Narzędzia te pomagają w bezpiecznym tworzeniu i przechowywaniu złożonych haseł, dzięki czemu nie trzeba ich wszystkich zapamiętywać.
- Regularnie aktualizuj swoje hasło: Zmieniaj swoje hasła co kilka miesięcy, aby zminimalizować ryzyko nieautoryzowanego dostępu. Jeszcze lepiej, jeśli możesz wymusić aktualizację haseł dla użytkowników.
- Unikaj korzystania z publicznych sieci Wi-Fi do logowania: Jeśli to możliwe, korzystaj z zabezpieczonego, prywatnego połączenia, gdy logujesz się na ważne konta.
- Aktualizuj swoje oprogramowanie: Regularne aktualizacje mogą zabezpieczyć Cię przed lukami w zabezpieczeniach, które mogą zostać wykorzystane przez atakujących.
Oprócz tego warto ograniczyć próby logowania na twojej witrynie WordPress.
Podczas ataku siłowego hakerzy używają zautomatyzowanego oprogramowania do wielokrotnego odgadywania haseł ze względu na domyślne zezwolenie platformy na nieograniczoną liczbę prób logowania.
Ograniczenie nieudanych prób logowania, takie jak tymczasowe blokowanie użytkowników po 5 nieudanych próbach, znacznie zmniejsza ryzyko nieautoryzowanego dostępu w wyniku ataków siłowych.
Mamy nadzieję, że ten artykuł pomógł ci dowiedzieć się, jak ukryć podpowiedzi logowania w komunikatach o błędach logowania WordPress. W następnej kolejności możesz również zapoznać się z naszym przewodnikiem na temat tworzenia portalu klienta z prywatnymi loginami i stronami lub dodawania logowania społecznościowego do WordPressa.
If you liked this article, then please subscribe to our YouTube Channel for WordPress video tutorials. You can also find us on Twitter and Facebook.
Thomas Maier
Hello how can i translate the code above in different languages? I need it for the woocommerce login for the customers.
WPBeginner Support
You would want to change the 'Something is wrong!’ text to the text you want but if you want the text to change into multiple languages, that would require a bit more coding than we would have for a beginner article. In that case you would want to take a look at multilingual plugins.
Administrator
Vahn
Thank you loads! I spent hours looking for the place to change this.
WPBeginner Support
Glad our guide was helpful
Administrator
Izzy
When I add this to my WpTouch plugin, it shows a part of the code in my header…
WPBeginner Support
As long as the code is working on the desktop version you would want to reach out to WPTouch to let them know about that issue to take a look.
Administrator
Anand
Well it is easy to know the username if it is right, as when entered correct username and the wrong password, the username field does not get blank even after getting the 'something is wrong’ warning. Which clearly is a hint the yes this is the correct username. Is there any way to make the username field blank in this scenario. Please help.
Shane
Is there a way to change the text of the error message on the lostpassword page that says by default, „Please enter your username or email address. You will receive a link to create a new password via email.”?
I can’t seem to find any material on the subject
Nick
I was wondering the same thing. Why can’t we just change the wording of the error message instead of adding a function that might be overwritten with the next update?
Paco
The only thing is that when you enter a correct username and an incorrect password, it gives a message “something is wrong” but you can see the username, which confirms it in case you have guessed it. I don´t know if this happens in WordPress 4.5. Is there any way of leaving the username field blank even though it´s correct? Thank you
maudenicholson2
I am curious to find out what blog system you’re using? I’m having some small security issues with my latest website and I would like to find something more safeguarded. Do you have any solutions?
WPBeginner Support
We are using WordPress with Sucuri.
Administrator
freyaewu73605919
I am truly thankful to the owner of this web page who has shared this enormous article at at this time.
deneengranger
Do you have any video of that? I’d like to find out some additional information.
WPBeginner Support
Video will be available soon. Please subscribe to our YouTube Channel.
Administrator
Bob
WP Simple Firewall or Shield gives you the ability to hide the login menu, lock down the Dashboard and it comes with Sucuri and Brute Attack prevention. It is a free plugin, use it in conjunction with a password manager, so you don’t forget or misplace your passwords. I use Lastpass, which is also free. Shield replaced six security plugins and sped up my website.
Phillip George
Is there a help line in Australia as I have forgotten my user name for logon being a little old it is a problem
Bob
G’day Phillip, sorry mate no help line. Try going through whoever hosts your website, they should be able to help you out. Once reset use a password manager like Lastpass, you only have to remember one password. WRITE IT DOWN; did I say write it down because if you don’t, WRITE IT DOWN you’ll really will be up the creek, without a paddle.