Passwortgeschützte Beiträge offen nach einmaliger Passworteingabe

Kredar · 20. Juni 2010

Hi,

eine Frage ob das normal ist:

Ich habe ein Passwortgeschützten Beitrag im Blog erstellt. Okay.
Nach dem ersten Passworteingabe ist dieser Beitrag immer offen, auch wenn man den Browser schließt. Ist das normal? Wäre nicht fein, im Internetkaffee z.b. vergessen den Verlauf zu löschen, und dann kann jeder nachfolgende den Passwortgeschützten Beitrag lesen dank gespeicherten Cookie. Läuft die Zeit des Cookies denn nicht ab, so das nach 5min. wieder eine Passworteingabe erforderlich ist?

Kann man es nicht einstellen das dieser Passwortgeschützte Bereich kein Cookie setzt. Sicher muß man immer wieder das Passwort eingeben, aber besser so als das es für immer gespeichert ist. Oder das Registrierte User es lesen können, aber das ist das der Privat-Modus oder?

Mit dem IE speichert er es nicht ab, habe ich gerade bemerkt. Man muß sich mit dem IE immer wieder neu einloggen.
Mit dem Firefox nicht, da ist der Cookie gespeichert, hmm.

mfg

Bambaataa · 20. Juni 2010

Ist in der Tat ein kleines Problem, allerdings sollte in dem meisten Inet Cafes nachdem du Dich abmeldest die Cookies, Verlauf etc. weg sein. Ich weiß keine Problemlösung, aber beruhigt vielleicht ein wenig. Anders sieht es natürlich aus an gemeinsam genutzten PC´s.

Kredar · 20. Juni 2010

Das Problem ist nur beim Firefox, da bleibt es offen der Passwortgeschützte Beitrag im Blog. Wenn man den Firefox beendet und neu öffnet.

Im IE sieht die Sache anders aus, da muß man sich nach IE Beenden und neu öffnen immer wieder neu Einloggen in den Passwortgeschützten Beitrag im Blog.

Und ich bin nicht angemeldet! Es ist ja Passwortgeschützt. Aber selbst wenn man Angemeldet ist, und dann das Passwort für den Beitrag eingibt und sich dann Abmeldet bleibt der Passwortgeschützte Beitrag offen. Da scheint ein extra Cookie für zuständig zu sein.

Sieht nach einem kleinen Bug aus, in verbindung mit dem Firefox. In meinen Augen eine klare Sicherheitslücke, zumal wenn man verschiedene Beiträge hat wo man verschiedene Passwörter vergeben hat, er das letzte Passwort vergisst und nur das aktuelle Passwort in einem Cookie speichert. Kann man diesen Cookie für Passwortgeschützte Beiträge nicht unterbinden das er gespeichert wird bzw. nur ein Session-cookie ist?

Andere Browser habe ich nicht zum testen .

mfg

Kredar · 20. Juni 2010

Ein Plugin gibt es für das Cookie problem. Dort kann man die Cookie-Zeit einstellen und wenn man alle auf 0 einstellt ist es ein Session Cookie. Außer man macht das" Erinnere dich an mich " ankreuzt, dann merkt er sich die Anmeldung. Geht in den Optionen einzustellen.

Plugin Download

Das Plugin installieren, in der Pluginzeile sieht man dann den Optionen-Link zum ändern der Zeit.

Und die wp-pass im Hauptverzeichnis von Wordpress auch ersetzen damit Passwortgeschützte Beiträge auch einbezogen werden.

Diesen Punkt sollten die Programmierer von Wordpress mal betrachten, evtl. in einer Zukünftigen Version einpflegen. Ich denke bin nicht der Einzige der so etwas vermisst bzw. will.

Die alten Cookies löschen, sonst klappt es nicht!

mfg

mfitzen · 20. Juni 2010

Der Vollständigkeit halber hier noch eine Methode ohne Plugin: http://wordpress.org/support/topic/281227

Hier gilt es jedoch zu beachten, dass die Änderung beim nächsten WP-Update überschrieben werden kann und damit wieder verloren geht.

Kredar · 20. Juni 2010

Besten dank @infected. Auch eine super einfache möglichkeit. Das sollte als Option angeboten werden in Wordpress, dann ist der ganze Editieren nicht notwendig. Egal ändere ich mit jedem Update wieder . Danke nochmals.

Same issue here and I was able to locate and apply a "fix",
Find your wp-pass.php file in the WordPress root install folder. Download and save a copy. Then edit it and look for the following line of code:

setcookie('wp-postpass_' . COOKIEHASH, $_POST['post_password'], time() + 864000, COOKIEPATH);

Change the 10 day cookie timeout of "864000" (number of seconds) to something like "60".
Upload and overwrite the existing wp-pass.php file (again make sure you have a backup of the original just in case).
Reset the passwords on your protected pages to clear any existing cookies and the new timeout should be in effect.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Diese Methode ist genial. Kein Plugin nötig, einfach den 864000 Wert auf z.b. 60 ändern, dann ist nach 60 Sekunden der Cookie ungültig und die Passwortgeschützten Seiten sind wieder geschlossen. Super sache, und so einfach. Nachteil: Wenn man gerade ein Kommentar schreibt und die Cookiezeit abläuft kann man das Kommentar nicht mehr abschicken.
Der Wert den man ändert muss mindestens 1 sein, sonst ist kein Login möglich bei den Passwortgeschützten Beiträgen!

Deshalb hier die Session-Cookie Zeit (NULL):

// 10 days
setcookie('wp-postpass_' . COOKIEHASH, $_POST['post_password'], NULL, COOKIEPATH);
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Session Cookie, siehe Code! Zu ändern in der wp-pass.php im Hauptverzeichnis von Wordpress.

mfg

mmartin · 27. August 2012

Hallo,
mit der Verfallzeit - Einstellung verzweifle ich ein wenig.

Bevor sich der Kunde in Heimarbeit alle Menüs selbst löschte ,
hatte die Seite eine PW- geschützten Bereich (wp-pass.php stand auf 5 Min.) es funktionierte hervorragend!! -> http://bridgeclubessen-kettwig.de

Nach dem wiederherstellen der Menüpunkte wird die Einstellung in der
wp-pass.php nun vollkommen ignoriert.

Ich habe beides sowohl das Plugin ausprobiert wie auch die wp-pass.php neu hochgeladen.
-> Kein Erfolg, nach PW Eingabe und erneutem Aufruf der Seite (auch nach Stunden)
leider keine erneute PW Abfrage.

Nur wenn man die Cookies löscht, aber genau darum geht es ja.
Plugin habe ich mittlerweile wider runter geschmissen.

Was könnte das noch sein?

Über eine Antwort würde ich mich freuen,

Freundliche Grüße,

mmartin · 27. August 2012

Hallo,
wer sucht der findet!!!

Ab der Wordpress Version 3.4.1 ist die wp-pass.php nicht mehr dafür zuständig.
Die Einstellungen sind nun in der wp-login.php (im gleichen Ordner) zu tätigen.

http://wordpress.org/support/topic/wp-passphp-timeout-not-working-after-update-to-341
http://wordpress.org/support/topic/upgraded-to-34-now-password-protected-pages-not-working

Problem somit gelöst :razz:

Caro3105 · 18. Mai 2018

Und 6 Jahre später...(Wordpressversion 4.9.6.)...ich hab´s jetzt so gelöst:

add_action( 'wp', 'post_pw_sess_expire' );
function post_pw_sess_expire() {
if ( isset( $_COOKIE['wp-postpass_' . COOKIEHASH] ) )
// Setting a time of 0 in setcookie() forces the cookie to expire with the session
setcookie('wp-postpass_' . COOKIEHASH, '', 0, COOKIEPATH);
}

In der functions.php meines Themes.

Denn weder existiert eine wp-pass.php noch wurde ich in der wp-login.php fündig.

Ich spreche aber auch nur sehr gebrochen php

Danke an Dietmar Janowski https://www.dietmarjanowski.de/wordpress/?p=13883&hilite='functions.php'

CSupp · 31. August 2020

Hallo zusammen,

Besten Dank für Eure Vorschläge

Nun wenn ich diesen Code von Caro zu unterst in der functions.php des Themes eintrage, kommt eine Fehlermeldung beim aufrufen der WP Seite:

Es gab einen kritischen Fehler auf deiner Website.

Erfahre mehr über die Fehlerbehebung in WordPress.

Hat sich da wieder etwas geändert?

Besten Dank und einen schönen Abend.

CSupp

WPDE.org

Passwortgeschützte Beiträge offen nach einmaliger Passworteingabe

Kredar Well-Known Member

Bambaataa Well-Known Member
Ehrenmitglied

Kredar Well-Known Member

Kredar Well-Known Member

mfitzen Well-Known Member

Kredar Well-Known Member

mmartin Member

mmartin Member

Caro3105 New Member

CSupp New Member

Nützliche Suchen

Passwortgeschützte Beiträge offen nach einmaliger Passworteingabe

Kredar Well-Known Member

Bambaataa Well-Known Member Ehrenmitglied

Kredar Well-Known Member

Kredar Well-Known Member

mfitzen Well-Known Member

Kredar Well-Known Member

mmartin Member

mmartin Member

Caro3105 New Member

CSupp New Member

Bambaataa Well-Known Member
Ehrenmitglied