<form action="<?php echo wp_login_url( get_permalink() ); ?>" method="post">
	<label for="log">
		<input type="text" name="log" id="log" value="<?php echo wp_specialchars(stripslashes($user_login), 1) ?>" size="22" /> User
	</label><br />
	<label for="pwd">
		<input type="password" name="pwd" id="pwd" size="22" /> Password
	</label><br />
	<input type="submit" name="submit" value="Send" class="button" />
	<label for="rememberme"><input name="rememberme" id="rememberme" type="checkbox" checked="checked" value="forever" /> Remember me</label>
</form>

Nun ist das nicht immer ausreichend und abhängig von den Usern, die geloggt sind, und ob man sich überhaupt im Theme registrieren kann, habe ich ein kleines Beispiel geschrieben, welches diverse Aspekte beachtet.
Mit der folgenden Syntax ist dabei die Ansicht für geloggte User (if ( $user_ID )) eine völlig andere und neue User bekommen das Formular nur dann, wenn sie sich registrieren dürfen (get_option('users_can_register')); abhängig von den Einstellungen im Backend von WordPress.
Ebenso bekommen User, die ein User_Level größer 1 (if ( $user_level >= 1 )) haben, einen Link mehr, direkt zum Schreiben eines Artikels. Alternativ kann hier auch mit der Funktion current_user_can() gearbeitet werden und daher explizit das Objekt der Rolle abgefragt werden.

<?php
global $user_ID, $user_identity, $user_level;
if ( $user_ID ) { ?>

	<h3><?php _e( 'Control panel', FB_BASIS_TEXTDOMAIN ); ?></h3>
	<ul>
		<li><?php _e( 'Identified as', FB_BASIS_TEXTDOMAIN ); ?> <strong><?php echo $user_identity ?></strong>.
			<ul>
				<li><a href="<?php bloginfo('url') ?>/wp-admin/"><?php _e( 'Dashboard', FB_BASIS_TEXTDOMAIN ); ?></a></li>

				<?php if ( $user_level >= 1 ) { ?>
					<li><a href="<?php bloginfo('url') ?>/wp-admin/post-new.php"><?php _e( 'Write an article', FB_BASIS_TEXTDOMAIN ); ?></a></li>
				<?php } ?>

				<li><a href="<?php bloginfo('url') ?>/wp-admin/profile.php"><?php _e( 'Profile', FB_BASIS_TEXTDOMAIN ); ?></a></li>
				<li><a href="<?php wp_logout_url( urlencode($_SERVER['REQUEST_URI']) ); ?>"><?php _e( 'Exit', FB_BASIS_TEXTDOMAIN ); ?></a></li>
			</ul>
		</li>
	</ul>

<?php } elseif ( get_option('users_can_register') ) { ?>

		<h3><?php _e( 'Identification', FB_BASIS_TEXTDOMAIN ); ?></h3>
		<ul>
			<li>
				<form action="<?php echo wp_login_url(get_permalink()); ?>" method="post">
					<p>
						<label for="log">
							<?php _e( 'User', FB_BASIS_TEXTDOMAIN ); ?>
							<input type="text" name="log" id="log" value="<?php echo wp_specialchars(stripslashes($user_login), 1) ?>" size="22" />
						</label><br />
						<label for="pwd">
							<?php _e( 'Password', FB_BASIS_TEXTDOMAIN ); ?>
							<input type="password" name="pwd" id="pwd" size="22" />
						</label><br />
						<input type="submit" name="submit" value="<?php _e( 'Send', FB_BASIS_TEXTDOMAIN ); ?>" class="button" />
						<label for="rememberme">
							<input name="rememberme" id="rememberme" type="checkbox" checked="checked" value="forever" /><?php _e( 'Remember me', FB_BASIS_TEXTDOMAIN ); ?>
						</label><br />
						<input type="hidden" name="redirect_to" value="<?php echo $_SERVER['REQUEST_URI']; ?>"/>
					</p>
				</form>
			</li>
			<li>
				<a href="<?php echo site_url('wp-login.php?action=register', 'login'); ?>"><?php _e( 'Register', FB_BASIS_TEXTDOMAIN ); ?></a>
			</li>
			<li>
				<a href="<?php echo site_url('wp-login.php?action=lostpassword', 'login');	 ?>"><?php _e( 'Recover password', FB_BASIS_TEXTDOMAIN ); ?></a>
			</li>
		</ul>

<?php } ?>

Wem die User-Level nicht ausreichen, der kann WordPress auch erweitern, entweder via Code, hier erklärt, oder mit Hilfe eines Plugins.
Mit Hilfe von einigen Zeilen PHP kann schnell ein Berechtigungsobjekt einer Rolle zugewiesen werden, beispielsweise in beim Aktivieren des Theme wie folgt.

function my_new_object() {
	global $wp_roles;

	$wp_roles->add_cap('administrator', 'MyObject');
}

// start an activation theme
if ( is_admin() && isset($_GET['activated'] ) && $pagenow == 'themes.php' )
	my_new_object();

Das Objekt kann dann einfach via Standard angefragt werden.
if ( current_user_can('MyObject') )

Alternativ kann man natürlich auch neue Rollen anlegen: add_role('Neue_Rolle', 'Neuer Name der Rolle');. Die Funktion erlaubt auch das gleichzeitige übernehmen von Rechten, dazu steht der dritte optionale Parameter bereit, der mehrere Werte in einem Array erwartet. Ansonsten die Objekte via add_cap() hinzufügen.

Das ist nur ein kleiner Ansatz, viele Möglichkeiten ergeben sich - viel Erfolg beim Nutzen der Möglichkeiten.

Ab WordPress 3.0

Ab der Version 3.0 geht das alles ein wenig einfacher und es gibt eine Funktion für das Formular um den User das Einloggen zu ermöglichen. Folgende Parameter sind möglich.

wp_login_form(array(
    'echo' => true,
    'redirect' => site_url($_SERVER['REQUEST_URI']),
    'form_id' => 'loginform',
    'label_username' => __('Username'),
    'label_password' => __('Password'),
    'label_remember' => __('Remember Me'),
    'label_log_in' => __('Log In'),
    'id_username' => 'user_login',
    'id_password' => 'user_pass',
    'id_remember' => 'rememberme',
    'id_submit' => 'wp-submit',
    'remember' => true,
    'value_username' => ,
    'value_remember' => false
));

Damit könnte ein Login wie folgt aussehen:

global $user_login;

if (is_user_logged_in()) {
    echo __( 'Hello', FB_BASIS_TEXTDOMAIN ) . $user_login . '<a href="' . wp_logout_url() . '" title="' . __( 'Logout', FB_BASIS_TEXTDOMAIN ) . '">' . __( 'Logout', FB_BASIS_TEXTDOMAIN ) . '</a>';
} else {
    wp_login_form();
}

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Das Plugin ist nach dem Aktivieren aktiv und sperrt Frontend und Backend. Nur Nutzer, die einen Account im Blog haben, können sich anmelden und im Frontend die Inhalte lesen und im Backend je nach Rechten arbeiten. Anmeldung und Rechte werden nicht beeinflusst, es werden alle Daten und Templates von WordPress genutzt. Ebenso gibt es keinerlei Einstellungen - die Anmeldung am Backend von WordPress wird quasi vor das Frontend geholt und prüft nur, ob der Nutzer angemeldet ist.

Anforderungen

Das Plugin arbeitet mit WP 1.5 und höher.

Installation

1. Download der zip-Datei
2. Datei lokal entpacken (Ordner mit einer PHP-Datei)
3. Den entstanden Ordner mit der Datei in euren WP-Plugin Ordner kopieren: /wp-content/plugins/
4. Im Admin-Bereich das Plugin aktivieren, fertig.

Download:

Ist die Arbeit nicht 1 Euro wert?

Jede Spende wird dankbar angenommen und ermöglicht das weitere Arbeiten an freier Software.
Möchtest du mehr oder anders spenden, so besuche meine Wunschliste.

Download als zip-Datei: downloads.wordpress.org/plugin/authenticator.zip - 1 kByte

Historie

Seit geraumer Zeit bietet das WordPress Plugin Repository die Möglichkeit der Ausgabe des Changelog an und so werde ich direkt am Plugin, in der Readme, die Historie pflegen - daher bitte ich, dass ihr euch dort die Änderungen anschaut, so dass ich ein wenig hier pflegen muss: Changelog.

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Für dieses Plugin gibt es keinen Support mehr von mir, die Version wurde komplett übernommen und wird von Site Security Monitor betreut. Bitte nutzt diese Version und meldet euch über die Plugin-Seite mit Fehlern, Wünschen und Hinweisen.

I don't provide support anymore for this plugin. This version has been completely taken over and will be maintained by Site Security Monitor. Please use this version and send emails via the plugin page about errors, wishes and tips.

WordPress gibt dem Anwender Information in die Hand, wenn er/sie sich falsch versucht hat einzuloggen. Die Ausgabe der Informationen sind recht vielschichtig und stellen ein Sicherheitsrisiko dar, denn mit diesen Informationen kann ein potenzieller Eindringling seinen Algorithmus beeinflussen.

Im Bereich Usability ist das auch ein feiner Zug und viele „normale Anwender“ sind für diese Information sicher dankbar. Im Bereich eines Privatblogs oder mit Nutzern die mit der Umgebung vertraut sind sind diese Informationen nicht sonderlich relevant. Darum deaktiviere ich sie und mache so ein weiteres Hilfsmittel für potentielle Eindringlinge dicht. Das geht recht einfach, denn WordPress benutzt auch hier einen Filter-Hook und somit kann man diesen Filter recht einfach deaktivieren.

Je nach Kenntnisstand kann man das auf zwei verschiedene Varianten tun. Entweder der folgende Code kommt in die functions.php des Themes oder man aktiviert einfach das nachstehend angebotene Plugin.

Das Plugin werde ich nach und nach mit weiteren Lösungen ausbauen, je nach Zeit und Kenntnisstand. Aktuell habe ich viele Lösungen auf unterschiedlichem Wege realisiert und will diese in diesem Plugin ablegen. Mit wenig Aufwand soll man so die gängigen Probleme lösen können. Ich werde aber sicher keinen Optionsbereich einbauen, denn zusätzliche Daten in der Datenbank für derartige Lösungen halte ich für überflüssig. Alles weitere dokumentiere ich dann hier im Beitrag und im Quellcode.

/**
 * remove Error-information
 */
add_filter( 'login_errors', create_function( '$a', "return null;" ) );

Was macht das Plugin ?

1. Error Informationen aus dem Login-Bereich entfernen
2. WordPress Version aus allen Bereich, außer Backend, entfernen; auch im Feed (weitere Info's)
3. Versionsinformation für Nicht-Admins auch im Backend nicht ersichtlich.
4. erstellt eine virtuelle index.html im Plugin-Verzeichnis und eventuell das Listen des Inhaltes zu verhindern.
5. Entfernt Link für Windows Live Writer
6. Entfernt Link zum Really Simple Discovery Service
7. Entfernt die Update-Info zur WordPress Version für Nicht-Admins
8. Entfernt die Update-Info zu Plugin Updates für Nicht-Admins
9. Ergänzt um den String um den WP Scanner zu nutzen
10. WordPress gegen bösartige URL-Anforderungen schützen

Anforderungen

Secure WordPress arbeitet ab WP 2.6 und wurde getestet bis Version 2.9-rare.

Installation

• Die gepackte Datei downloaden und lokal entpacken
• Die Datei in dein Plugin-Verzeichnis kopieren (/wp-content/plugins/)
• Aktivieren des Plugins im Adminbereich deines WP

Download:

Der Download ist auf der zugehörigen Plugin-Seite zu finden; dort steht die jeweils letzte Version zur Verfügung.

Historie

• 0.1 - Idee und Umsetzung
• 0.2 - Hinzugekommen: Entfernt WP-Version in allen Bereichen, außer Admin; fügt die index.html zum Plugin-Verzeichnis hinzu (damit kann das Plugin Replace WP-Version entfallen)
• 0.3 - WP 2.7 ready, alle Funktionen optional, Optionsbereich, ital. Sprachfile, etc.
• 0.3.1/2 - fix für WP <2.7; neue Funktion RSD und WLW
• 0.3.3 - Bugfix für WLW
• 0.3.4 - Erweiterung um zwei neue Option, Code verfeinert, mehr Möglichkeiten aus dem Core genutzt; optimiert für >=2.7; CSS ergänzt um auch das Markup der Error-Meldung zu entfernen
• 0.3.5 - Korrigieren Rechtschreibung in der dt. Sprachdatei; eine Abfrage hinzugefügt, die sicher stellt, dass diverse Hooks nur genutzt werden, wenn die Seite auch aktiv ist
• 0.3.6 - Erweiterung um WP Scanner, Bugfix für Mehrsprachigkeit (08/05/2009)
• 0.3.7 - Erweiterung für WP 2.8; Meta Links der Plugin-Seite (10/06/2009)
• 0.3.8 - add function to remove theme-update information for non-admins, rescan language file; edit de_DE (22/06/2009)
• Bitte nutzt das Changelog zum Plugin, welches aktuell immer gepflegt wird.

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren

Mich hatte beim Einloggen in WordPress immer gestört das man nach dem Login im Profil landet. Das ist besonders dann ärgerlich, wenn man unangemeldet im Blog ein wenig gestöbert hat, dann einen Kommentar hinterlassen will und nach dem Login halt im Profil anstatt im Beitrag landet. So muss man u.U. mühsam den Beitrag wieder raus suchen bei dem man seinen Kommentar hinterlassen will.

Etwas eleganter lösen kann man den Login indem man den Besucher nach dem Einloggen genau auf die Seite zurück leitet, die er vor dem Login angeschaut hat.
WordPress erlaubt einen Redirect (Umleitung) mittels der Variablen redirect_to=URL". Dabei muss man die komplette URL inkl. http:// übergeben. Leider unterstützt die Funktion wp_loginout() nicht direkt einen Redirect mittels Parameter.

Eine passende Lösung hat Ralf parat, bei der nur ein recht kleiner Codeschnipsel anstatt der Funktion wp_loginout() im Template integriert werden muss.

In meinem konkreten Fall wird WordPress als Dokumentationstool für ein Entwicklerprojekt genutzt und verschiedene User pflegen die Dokumentation. Diese Anwender wollten nun gern direkt nach einem Login in den Editiermodus - in diesem Fall sieht der Code dann folgendermaßen aus.

<?php
$redirect = 'wp-admin/post-new.php';
if (!is_user_logged_in()) {
	$link = '<a href="' . get_settings('siteurl') . '/wp-login.php?redirect_to='.$redirect.'">' . __('Login') . '</a>';
	}
else {
	$link = '<a href="' . get_settings('siteurl') . '/wp-login.php?action=logout&redirect_to='.$redirect.'">' . __('Logout') . '</a>';
}
echo apply_filters('loginout', $link);
?>

Mit WordPress Version 2.7 wurden neue Funktionen eingeführt, die die obige Syntax nicht ohne weiteres erlauben. Möglich ist der Filter loginout aber weiterhin. Daher nutzt bitte das folgende Beispiel und passt es an eure Wünsche an.

<?php
$redirect = 'wp-admin/post-new.php';
if ( !is_user_logged_in() ) {
	$link = '<a href="' . esc_url( wp_login_url( $redirect ) ) . '">' . __('Login') . '</a>';
} else {
	$link = '<a href="' . esc_url( wp_logout_url( $redirect ) ) . '">' . __('Logout') . '</a>';
}
echo $link;
?>

Alternativ ebenso ein Beispiel über den Filter loginout.

<?php
$redirect = '/wp-admin/post-new.php';
if ( !is_user_logged_in() ) {
	$link = '<a href="' . get_option('siteurl') . $redirect . '">' . __('Login') . '</a>';
} else {
	$link = '<a href="' . get_option('siteurl') . $redirect . '">' . __('Logout') . '</a>';
}
echo apply_filters('loginout', $link);
?>

© Frank Bültge, All rights reserved / Alle Rechte vorbehalten. (ID: 6e8b33de4342c4f2ca76b245199aeee8)

Danke für das Abonnieren meines Feed! Inhalt gefällt? Danke sagen · Kommentieren