web-dev-qa-db-ja.com

カスタムログインフォームでのナンスの使用

私はテンプレートとしてwp-login.phpを使ってWordPress用の私自身のログインフォームを作成しようとしています。

ユーザーからログイン情報を収集するために使用される形式(wp-login.phpの680から703行目)では、一回だけの実装はないようです。

フォームから情報を収集するときは常にナンスを使うべきだと多くの人から言われてきましたが、これらの4つの非常に重要なフォームであるにもかかわらず、このファイル全体にナンスへの参照はありません。

だから - 私は何が足りないのですか?

POST情報を読むときに、ログインフォームでtestcookieを使用していて、securecookieを作成していることはわかっていますが、これでセキュリティ上の問題は解決したでしょうか。この場合にセキュアなCookieがどのように機能するかを理解するための優れたリソースはありますか?

1
William

テンプレートとしてwp-login.phpを使う。

正しい方法ではありません。

出典

カスタムテンプレートでは wp_login_form() 関数を使用したほうがよいでしょう。

編集:

パスワードをリセットするオプションを追加したい場合は、次のようにします。

add_action( 'login_form_middle', 'add_lost_password_link' );
function add_lost_password_link() {
return '<a href="/wp-login.php?action=lostpassword">Lost Password?</a>';
}

出典

3
JMau