Tagged: cache, password, Passwort, Passwortgeschützt
-
AuthorPosts
-
April 30, 2016 at 11:26 am #624919
Hallo liebes Enfold-Team,
ich habe das Problem, dass das Passwort für eine geschützte Seite, wenn es einmal in dem Browser eingegeben wurde, dort gespeichert bleibt und nur über das Löschen des gesamten Verlaufes/ Cache wieder “zurückgesetzt” werden kann (also dass ich es erneut eingeben muss). Für den Privatrechner ist das kein Problem, es ist aber schlecht, wenn man sich irgendwo anders einmal einloggt und das Passwort dann “für immer” dort gespeichert bleibt.
Gibt es eine Möglichkeit, dass das Passwort nur für kurze Zeit (ein paar Sekunden) im Cache gespeichert wird und das Passwort neu eingegeben werden muss, wenn die Seite neu geladen wird!?
Ich finde das eine ziemlich große Sicherheitslücke. Vielen Dank für eure Unterstützung!
LG AlbrechtApril 30, 2016 at 11:43 am #624929Hey Albrecht,
Da wir hier nur WordPress interne Funktionen verwenden und der code nicht aus den Theme files sondern aus den WordPress Core Files kommt fürchte ich dass uns das nicht möglich ist.
Vielleicht gibts dazu ein Plugin, bekannt ist mir allerdings leider keines :/
Da das speichern des passworts eigentlich ja vom Browser bestimmt wird und nicht von WordPress oder dem Theme wärs auch ne möglichkeit ein Browser Plugin zu suchen :)Lg,
KriesiApril 30, 2016 at 11:50 am #624936Hey Kriesi,
danke für die schnelle Antwort.
Es muss allerdings eine Code-Lösung geben, weil ich die früher schon einmal gefunden hatte. Ich habe den Link, den ich mir damals gespeichert hatte, leider nicht mehr. Aber damals hatte ich es geschafft, dass man Passwort wieder neu eingeben musste, wenn man die Seite neu geladen hatte. Vielleicht hilft dieser Auszug aus einem Forum, um das Anliegen zu verdeutlichen (ich finde allerdings nicht, wo ich das so ändern kann):Find your wp-pass.php file in the WordPress root install folder. Download and save a copy. Then edit it and look for the following line of code:
setcookie(‘wp-postpass_’ . COOKIEHASH, $_POST[‘post_password’], time() + 864000, COOKIEPATH);
Change the 10 day cookie timeout of “864000” (number of seconds) to something like “60”.
Upload and overwrite the existing wp-pass.php file (again make sure you have a backup of the original just in case).
Reset the passwords on your protected pages to clear any existing cookies and the new timeout should be in effect.April 30, 2016 at 1:28 pm #624989Jo, das problem mit dieser anleitung ist dass du da WordPress Core files ändern würdest und diese änderung mit jedem wordpress update wieder weg wäre.
Ist generell eine praktik von der abzuraten ist. Wie gesagt, das ganze hat leider nichts mit dem theme zu tun. Könnte mir vorstellen das es ein plugin gibt das kann was du dir wünscht, leider ist mir da keines bekannt.
Ne kurze suche zu wordpress plugins mit logout hat folgendes gefunden, vielleicht hilft das ja?
https://wordpress.org/plugins/idle-user-logout/April 30, 2016 at 1:34 pm #625001Wo könnte ich das denn in der aktuellen Version ändern (auch auf die Gefahr hin, dass ich das jedes mal wieder neu machen muss)?
April 30, 2016 at 1:54 pm #625007Ich hab es gefunden:
https://www.dietmarjanowski.de/wordpress/?p=13883Man muss folgenden Code in die functions.php des aktuellen Themes hinzufügen:
add_action( ‘wp’, ‘post_pw_sess_expire’ );
function post_pw_sess_expire() {
if ( isset( $_COOKIE[‘wp-postpass_’ . COOKIEHASH] ) )
// Setting a time of 0 in setcookie() forces the cookie to expire with the session
setcookie(‘wp-postpass_’ . COOKIEHASH, ”, 0, COOKIEPATH);
}Damit erstellt man ein Timeout für passwortgeschützte Seiten. Wird die Seite neu geladen oder geschlossen, muss man beim nächsten Aufruf das Passwort erneut eingeben.
NACHTEIL: Dieser Code muss nach jedem Update oder bei dem Wechsel des Themes neu hinzugefügt werden.
May 1, 2016 at 7:12 pm #625363Danke fürs Follow up :)
Gute Sache. Wusste nicht das man diese Core funktion mittlerweile schon ändern kann ;)
Wenn du das ganze in ein Plugin file schreibst und dieses Plugin aktivierst wird der code auch funktionieren und nicht entfernt wenn du das Theme wechselst :)
Wenn du ein “av-expire-session.php” file in deinem wp-content/plugins folder erstellst und diesen code reinkopierst solltest du ein funktionierendes Plugin haben:
https://gist.github.com/Kriesi/ee8fc8fe8526e6e92393652f9ccfa996
lg,
Kriesi -
AuthorPosts
- You must be logged in to reply to this topic.