2012-03-02 192 views
0

In Wordpress Version-3.1.2: 我们必须要求存储最后13个密码,并且不允许用户从最近的13个密码列表中重置密码。为了实现它,我们发现了一个名为“user-security-tools”的插件,它在过去5年有这种实现。所以我们修改了插件为13作为我们的要求,它在用户配置文件页面上工作正常。但是,在用户尝试使用“忘记密码”链接重置密码的情况下,这不起作用,用户正在收到包含链接以重置密码的邮件。在该页面中用户甚至可以在当前密码太:(Wordpress |密码重置历史记录

任何指针将高度赞赏。

谢谢! NIRANJAN库马尔

+2

鉴于这是一个安全标记的问题。我将指出你有5个版本,并且有11个漏洞http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/version_id-112478/Wordpress-Wordpress-3.1.2 .html考虑更新。 – Cheekysoft 2012-03-02 11:45:17

回答

0

我这个插件的作者,我只是解决这个问题并且我今天仍会在WordPress.org上更新 并且在下一个主要版本中,“旧密码历史记录”的数量将可以定制。 。

更新:完成...新版本1.1.1修复此错误。 http://wordpress.org/extend/plugins/user-security-tools/

+0

感谢Erick的决议。是的,它工作正常。如果我们可以将密码历史记录设置为可配置的将会很好。目前它被硬编码为5.另外在重置密码页面[点击邮件中的链接重新设置密码页面],如果有错误,我们显示错误信息并带有链接'密码不符合密码策略再试一次“,然后通过单击再次尝试链接,表单被打开。如果可能留在同一页面意味着带有错误的字段“新密码”和“新密码”将与用户体验一样好。谢谢 – Niranjan 2012-03-13 13:13:52

+0

另外,我会建议用户应该在一段时间后自动解锁[可配置],如果用户使用错误的密码没有锁定。指定的时间。目前,管理员必须使用左侧导航栏中用户选项卡下提供的链接解锁用户。 – Niranjan 2012-03-14 09:45:02