支持»请求和反馈»登录页严重的信息披露

查看5个答复-1至5(总计5)
  • 主持人 yui

    (@fierevere)

    ゆい

    我在#Core Slack频道上共享了该主题的链接
    ((https://make.www.kotonoha369.com/chat/

    但是,如果您可以在TRAC上填写票,会更好

    https://core.trac.www.kotonoha369.com/

    主持人 Marius L. J.

    (@clorith)

    你好呀,

    WordPress不认为用户名是敏感或私人信息。实际上,如今很少有网站这样做,尤其是考虑到如何使用电子邮件地址登录(您每天分发无数次电子邮件地址,例如,您用来登录到像社交媒体这样的服务)。

    通过向用户提供明确的说明,我们改为减少非技术用户的登录摩擦,并在添加用户或更改密码时强制使用强密码(除非明确驳回)使用强密码。

    您可以在https://make.www.kotonoha369.com/core/handbook/testing/reporting-security-vulnerabilities/#why-are-are-disclosures-of-usernames-orernames-ornames-or-user-user-ids-not-a-aecurity-security-issue

    Pedrotski

    (@pedrotski)

    马里乌斯,

    虽然我感谢答复,但您错了。

    试图泄露密码时,任何信息都不应披露。这是主要的安全风险。

    我们不得不手动从每个站点中删除它;但是默认情况下应该是这种方式。

    更不用说,一个不记得密码的人也不知道如何正确保护他们的网站。“登录摩擦”借口无效。

    启用了“常规设置”页面上的“会员资格 - 任何人可以注册”选项。这意味着用户可以通过标准WordPress WP-login.php页面注册。如果您不希望用户能够通过此页面注册,并且仅通过最终会员注册表注册,则应停用此选项。如果您想保留wp-login.php注册页面,则可以驳回此通知

    错误:启用了“常规设置”页面上的“成员资格 - 任何人可以注册”选项。这意味着用户可以通过标准WordPress WP-login.php页面注册。如果您不希望用户能够通过此页面注册,并且仅通过最终会员注册表注册,则应停用此选项。如果您希望将WP-login.php注册页面打开,则可以驳回此通知。
    请帮助

查看5个答复-1至5(总计5)
  • 你一定是登录回复此主题。