Стандартные сообщения об ошибках при входе в WordPress часто бывают слишком общими или неинформативными. Это может сбивать с толку пользователей и ухудшать опыт взаимодействия. В этой статье мы подробно разберем, как создавать кастомные сообщения об ошибках при авторизации, чтобы сделать процесс входа более понятным и удобным.
Почему важна кастомизация ошибок при входе в WordPress
По умолчанию, WordPress выводит простые сообщения об ошибках, например, «Неверный логин или пароль». Это не всегда полезно, особенно если вы хотите дать пользователю конкретные подсказки или обезопасить сайт, скрывая детали об ошибках.
Кастомные сообщения помогают:
- Улучшить пользовательский опыт, предоставляя более точную информацию.
- Снизить риск фишинговых атак, скрывая конкретные причины ошибки.
- Отличить ошибки администратора от ошибок обычного пользователя.
- Добавить стиль и адаптировать сообщения под дизайн сайта.
Теперь рассмотрим, как реализовать кастомные сообщения с помощью хуков и фильтров WordPress.
Как перехватить ошибки входа и заменить стандартные сообщения
Главный фильтр, который отвечает за вывод ошибок при входе, называется wp_login_errors. Он позволяет перехватить объект WP_Error и изменить или добавить свои ошибки.
Пример функции, которая меняет сообщение об ошибке на более дружелюбное:
function wpauth_custom_login_errors($errors, $redirect_to) {
if (isset($errors->errors['invalid_username'])) {
$errors->errors['invalid_username'] = array('Пользователь с таким логином не найден. Проверьте ввод.');
}
if (isset($errors->errors['incorrect_password'])) {
$errors->errors['incorrect_password'] = array('Неверный пароль. Попробуйте еще раз или восстановите пароль.');
}
return $errors;
}
add_filter('wp_login_errors', 'wpauth_custom_login_errors', 10, 2);В этом примере мы меняем две стандартные ошибки: «invalid_username» и «incorrect_password» на более понятные и полезные для пользователя.
Скрытие деталей для повышения безопасности
Иногда полезно выводить универсальное сообщение без указания, какой именно параметр неверен, чтобы не помогать злоумышленникам.
function wpauth_generic_login_error($errors, $redirect_to) {
if (!empty($errors->errors)) {
$errors = new WP_Error();
$errors->add('authentication_failed', 'Неверный логин или пароль.');
}
return $errors;
}
add_filter('wp_login_errors', 'wpauth_generic_login_error', 10, 2);Так мы всегда показываем одно сообщение, не раскрывая деталей, что повышает безопасность.
Добавление пользовательских ошибок при проверках формы входа
Иногда нужно добавить свои собственные проверки и вывести ошибки. Например, проверим, что логин не пустой и соответствует определённым правилам.
function wpauth_validate_custom_login($user, $username, $password) {
if (empty($username)) {
return new WP_Error('empty_username', 'Пожалуйста, введите логин.');
}
if (strlen($username) < 4) {
return new WP_Error('short_username', 'Логин должен быть не короче 4 символов.');
}
return $user;
}
add_filter('authenticate', 'wpauth_validate_custom_login', 30, 3);Этот код добавляет проверки до стандартной аутентификации и выводит ошибки, если логин пустой или слишком короткий.
Обработка ошибок с помощью AJAX
Если у вас форма входа с AJAX, то можно отправлять и получать ошибки без перезагрузки страницы, улучшая UX.
Пример простой AJAX-валидации ошибок на стороне сервера:
add_action('wp_ajax_nopriv_wpauth_ajax_login', 'wpauth_ajax_login_handler');
function wpauth_ajax_login_handler() {
$info = array();
$info['user_login'] = $_POST['username'];
$info['user_password'] = $_POST['password'];
$info['remember'] = true;
$user_signon = wp_signon($info, false);
if (is_wp_error($user_signon)) {
echo json_encode(array('loggedin' => false, 'message' => $user_signon->get_error_message()));
} else {
echo json_encode(array('loggedin' => true, 'message' => 'Вход успешно выполнен!'));
}
wp_die();
}Этот обработчик принимает данные, пытается войти и возвращает JSON с сообщением об ошибке или успехе.
Настройка вывода ошибок в шаблоне
По умолчанию ошибки выводятся в wp_login_form(), но можно полностью кастомизировать вывод, чтобы вписать сообщения в дизайн сайта.
Пример вывода ошибок в своем шаблоне:
if (isset($errors) && !empty($errors->errors)) {
echo '<div class="wpauth-login-errors">';
foreach ($errors->get_error_messages() as $error) {
echo '<p>' . esc_html($error) . '</p>';
}
echo '</div>';
}Таким образом можно стилизовать блок ошибок, добавить иконки, цвета и т.д.
Полезные плагины для кастомизации сообщений входа
Если хотите готовые решения без кода, обратите внимание на следующие плагины:
- Custom Login Error — позволяет настроить сообщения об ошибках через интерфейс.
- LoginPress — мощный плагин для настройки страницы входа, включая ошибки и уведомления.
- WP Better Messages — улучшает все системные сообщения, включая ошибки входа, с поддержкой AJAX и кастомного дизайна.
Однако для гибкости и безопасности лучше писать свои решения на PHP и использовать хуки, как показано в примерах.
Советы по безопасности при работе с ошибками входа
Обратите внимание, что слишком подробные сообщения об ошибках могут помочь злоумышленникам подобрать логины и пароли. Поэтому лучше избегать сообщений, которые прямо указывают, что именно неверно.
Используйте универсальные сообщения или комбинируйте их с дополнительной защитой, например, ограничением попыток входа и двухфакторной аутентификацией.
Также не забывайте про XSS-защиту при выводе сообщений, используйте функции esc_html() и аналогичные.