[WordPress] 新版 Stealth Login Page 運作方式變更

上星期介紹過「Stealth Login Page」這個保護 WordPress 登入頁面及管理後臺免於被登入攻擊的 Plugin,稍早前釋出了完全不同於之前保護機制的 4.0.0 版。

舊版的「Stealth Login Page」是採用自訂網址參數名稱及參數值的作法達到保護的目的,而新版本則改掉了這種保護方式,改採「Authorization Code」來保護登入頁面:

設定完成後在登入頁面會多出一個輸入「Authorization Code」的欄位,必須正確輸入才可進行登入:

新的保護方式會比較安全嗎?我的直覺是:「不會」。畢竟,原先的保護方式有兩個使用者自訂的變數在保護登入頁面(參數名稱、參數值),沒有正確填入網址根本連登入頁面都看不到及連不到(Bot 也一樣)。新的方式則是登入頁面大開,每個人都能連到該頁面,心中感覺就不是很 OK。本來是不打算要升級的,可是看到 Changelog 有「WordPress 3.6 compatibility.」這條,就腦衝血一時昏頭升上去了。其實我大可等 WordPress 3.6 正式發佈後舊版沒法用再升級的,現在升上去後,我反而懶得換回舊版了。

以上,有在使用這個套件的人自行考慮要不要升到新版吧!

相關連結:

2 Comments

  1. 感覺新版的功能跟名字不合啊XDD這下就沒有Stealth了…。不過我猜可能是被發現有漏洞可以繞過那個機制才會改的,只是猜測

    Reply

    1. 對啊,新版根本沒 Stealth…

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.