web-dev-qa-db-fra.com

Déconnexion URL effectuant étrange

Quand j'entre l'URL:

http://www.example.com/wp-login.php?action=logout

il vous demande si vous voulez vous déconnecter ou pas?

pourquoi cela se produit-il si je ne suis pas connecté en tant qu'administrateur?

Si je lance cette URL sur n’importe quel site comme

http://www.example.com/wp-login.php?action=logout

L'administrateur de ce site apprend que quelqu'un s'est déconnecté lorsque je viens d'utiliser cette URL, sans nom d'utilisateur ni mot de passe d'administrateur.

4
smith

Cela est dû à un paramètre nonce manquant dans l'URL.

Chaque action WordPress, y compris la connexion/déconnexion, valide d’abord le nonce, afin de s’assurer que la demande provient d’une source connue.

3
Dan Ștefancu

Pour approfondir la réponse de Dan, afin de former correctement un lien de connexion ou de déconnexion, WordPress vous fournit deux fonctions;

wp_login_url () et wp_logout_url () - qui génèrent tous deux une URL avec un nonce pour vous. Il y a en fait une autre fonction d'assistance, wp_loginout () qui fournit un lien de connexion si l'utilisateur est connecté et un lien de déconnexion si l'utilisateur est connecté. dans.

Si vous regardez sur l'écran qui vous est présenté si vous ne faites que taper exemple.com/wp-login.php?action=logout, vous verrez qu'il génère un lien qui inclut un nonce.

2
RichardTape