正文

好久没更新博文了,最近也没有什么好写的,赶着国庆放长假,于是我就找些无聊的东西来写一写,碰巧今天想着修改一下wordpress后台的密码,发现了wordpress的一个小漏洞(也不算是漏洞吧,就是一个小bug),就是修改密码的时候,系统会发送一个密码重设链接到你的邮箱,本来是没问题的,成功收到邮件后,点击邮件链接却发现显示(你的密码重设链接无效)。

其实是邮箱发送的地址后面多了个(>)号,本来是WordPress为了美观,前后加上了尖括号,结果适得其反,被邮箱解析到地址里面去了,点击后自然会是无效的了,解决的方法很简单,下面给出两种方案。

方案一

在主题根目录下的 functions.php 文件中插入以下代码即可

/**
 * 修复WordPress找回密码bug
 * 注:https://www.ikxin.com/fix-wp-passwd-link-invalid.html
 */
function reset_password_message( $message, $key ) {
    if ( strpos($_POST['user_login'], '@') ) {
        $user_data = get_user_by('email', trim($_POST['user_login']));
    } else {
        $login = trim($_POST['user_login']);
        $user_data = get_user_by('login', $login);
    }
    $user_login = $user_data->user_login;
    $msg = __('有人要求重设如下帐号的密码:'). "\r\n\r\n";
    $msg .= network_site_url() . "\r\n\r\n";
    $msg .= sprintf(__('用户名:%s'), $user_login) . "\r\n\r\n";
    $msg .= __('若这不是您本人要求的,请忽略本邮件,一切如常。') . "\r\n\r\n";
    $msg .= __('要重置您的密码,请打开下面的链接:'). "\r\n\r\n";
    $msg .= network_site_url("wp-login.php?action=rp&key=$key&login=" . rawurlencode($user_login), 'login') ;
    return $msg;
}
add_filter('retrieve_password_message', reset_password_message, null, 2);

这个方法的缺点就是更换主题后需要重新添加代码。

方案二

还有一种方法就是修改wordpress根目录下的 wp-login.php 文件

找到

$message .= '<' . network_site_url("wp-login.php?action=rp&key=$key&login=" . rawurlencode($user_login), 'login') . ">\r\n";

修改成

$message .= network_site_url("wp-login.php?action=rp&key=$key&login=" . rawurlencode($user_login), 'login') ;

其实也就是把(<)和(>\r\n)去掉,但是这种方法在升级wordpress后会失效,因为升级后该文件会被替换掉,需要重新修改 wp-login.php ,所以推荐使用第一种方法。

如果觉得我的文章对你有用,请随意赞赏