wordpress用户加密
编辑整理:整理来源:搜狗问问,浏览量:73,时间:2023-03-05 03:30:02
wordpress用户加密,wordpress 设置访问密码,wordpress设置用户权限
前沿:wordpress用户加密
WordPress使用PHP函数wp_hash_password()来加密用户密码。该函数使用SHA-256算法来加密用户密码,并将其存储在数据库中。
WordPress 是目前最流行的博客程序,许多个人博客和网站都采用它来搭建,简单易用的操作,丰富的主题和插件,让它能完成许多功能,创建不同需求的网站。
我这次想把〖中国矫治网〗开放为用户注册,让用户自行在后台发布文章。但他们都报告没有收到注册邮件,不能设置用户密码,而导致注册失败。我在后台查看,他们已经完成注册,但没有收到注册邮件,就不能登录后台。
在网上搜索了一下,发现这是个普遍的问题,原因是各大主机服务商出于避免垃圾邮件的考虑,不支持发送邮件的 mail () 函数,只能启用 SMTP 方式发送邮件。像我网站所在的阿里云服务器,就是这样的。
有些网友给出了通过修改程序文件的方法,但每次升级后,又要重新修改,太麻烦了,所以我采用了插件的方式。
推荐使用 WP Mail SMTP 插件,可在后台搜索安装,是目前安装数最大的一款插件。插件的设置不复杂,但我还是遇到了问题,测试邮件时报错。
问题一:“From Email”要填写真实的邮箱地址,就是你作发送认证的邮箱地址。我受注释的误导,填写了没启用的邮箱地址:wordpress@xxx.com,想显示更官方些,结果出错了。“From Name”倒是可以随意填写的,一般可写上我们网站的名称,这样可明确告诉用户这是从哪里发来的邮件。
问题二:选择合适的SMTP服务器。看网上都是QQ邮箱的教程,我也是选用了QQ邮箱作为服务器的,但就是报错,后来改用163邮箱的,就成功了。设置如下图,SMTP Host:smtp.163.com,SMTP Port:465,启用 SSL 加密。
QQ邮箱,由于启用了安全保护功能,密码这里我填写的是系统生成的授权码,不知是不是这个原因,导致失败。
我也尝试使用 Gmail 的 API ,按教程操作都顺利完成,但 Google 对这个应用没有认证通过,虽然完成授权,但测试时出错,不知是什么原因。
问题三:将邮箱密码储藏在 wp-config.php 文件里,防止密码被泄。插件官方说明文档里就是这样提醒用户的,这个密码会用明文保存,为了安全,需储藏在 WordPress 根目录下的设置文件中,方法是添加两行代码:
define( ‘WPMS_ON’, true );
define( ‘WPMS_SMTP_PASS’, ‘your_password‘ );
将 your_password 替换为你自己邮箱的密码就可以了。这里,后台设置界面,密码输入框就是灰色的。
设置是否成功,大家可在 Email Test 中填入一个邮箱地址测试一下。
通过这样的操作,新用户顺利收到了注册邮件,但点击设置密码的链接时,却重复跳出重置密码的提示。Wordpress提示“您的密码重设链接无效,请在下方请求新链接。”在寻回密码时,发送给用户的重置密码链接也是如此。
经“堕落的鱼”解释,原来是不同服务商对编码的解读不一致造成。邮箱收到重置密码邮件后,会将密码重置链接地址及其前后的“<>”一起当成链接地址生成超链接,点击此超链接后,由于传给 WordPress 的参数不对(多了个>),所以 WordPress 提示密码重设链接无效。
可通过以下两个步骤解决此问题:
1、解决找回密码时提示“您的密码重设链接无效”:
打开 WordPress 根目录下的 wp-login.php,找到如下代码:
$message .= ‘<‘ . network_site_url(“wp-login.php?action=rp&key=$key&login=” . rawurlencode($user_login), ‘login’) . “>\r\n”;
修改为:
$message .=network_site_url(“wp-login.php?action=rp&key=$key&login=” . rawurlencode($user_login), ‘login’) . “\r\n”;
2、解决新用户注册时,点击邮件中的重置密码链接提示“您的密码重设链接无效”:
打开 WordPress 安装目录下的/wp-includes/pluggable.php,找到如下代码:
$message .= ‘<‘ . network_site_url(“wp-login.php?action=rp&key=$key&login=” . rawurlencode($user->user_login), ‘login’) . “>\r\n\r\n”;
修改为:
$message .= network_site_url(“wp-login.php?action=rp&key=$key&login=” . rawurlencode($user->user_login), ‘login’) . “\r\n\r\n”;
以上修改后,用户收到的密码重置及新用户收到的密码设置邮件将不会再包含“<>”,用户再邮箱中点击链接后即可正常重置或者设置密码。
要注意的是,以上修改涉及到 WordPress 源代码的修改,而每次升级 WordPress 后修改会被覆盖,必须重新进行以上修改。这确定是比较麻烦的事儿,不知道哪位大神可以统一制作个插件不?
我只是很奇怪,这个邮件的问题存在已经很久,为什么官方没有修改过来呢?WordPress 的升级频率是非常高的,难道这些问题只在我们中国大陆区发生吗?
补充拓展:wordpress用户加密
WordPress系统的用户密码是保存在wp_users数据表的user_pass字段,密码是通过Portable PHP password hashi胞再ng framework类产生的量陆景,密码的形式是随机且不可逆,同一个明文的密码在不同时间,产生的密文也不一样,相对来说较为安全。WordPress用户密码产生的过程是,当需要生成用户密码的时照岩旧乡即督入呢候,随机产生了一个salt,然后将salt和password相加,又进行了count次卫岁三孩培参宣张和引md5,最后和en来自code64的hash数值累加,就得到了一个以$P$开头的密码,这个密码每次产生的结果都不一样,下面就是产生WordPress密码的代码,将其放在WordPress根目录下,就可以生成一个加密的passw据味袁光管部张系ord,用这个密码替换掉wp_users数据表的user_pass字段即可修改密码。
<?php
$password = 'abc';
global $wp_hasher;
if ( empty($wp_hasher) ) {
require_o消nce( './wp-includes/class-phpass.php');
$wp_hasher = 误同季命new PasswordHash(8, TRUE)长合步弦岩简余掌土营;
}
echo $wp_has严亚her->HashPassword($password);
?>
商行接屋大笔 不过,修改WordPress用户密码还有更简单的方法,就是直接将wp_users数据表的user_pass字段修改为32位的md5(passowrd)即可修改密码为password,这样的密码形式当然不是很安全,所以,当这个用户在WordPress登录后,系统会自动将MD5密码修改为以$P$开头的密码。
WordPress的这种支持简单md5格式的密码使得其他系统(例如Ucenter系统)的责氧立裂界友面干严用户整合WordPr能初常式ess更为简单。
希望可以帮到你!