Moin, Moin, ich habe jetzt eine Lösung realisiert.
Ich konnte dem Plugin Clean Login, das ich gerne verwenden möchte, nicht beibringen, dass es die korrekten Zugangsdaten bekommt. Die Fehlermeldung bleibt nach wie vor.
Ich habe jetzt die Plugins LoginWP (früher Peter’s Login Redirect) für die Weiterleitung auf die jeweilig gewünschte Seite nach dem Login und ProfilePress für das eigentliche Login-Formular eingerichtet. Das funktioniert auch zuverlässig.
Jetzt habe ich noch eine vermutlich banale Frage.
Der geschützte Bereich ist, sagen wir, auf der URL
https://www.xyz.de/geschuetzter-bereich.
Mit den Zugangsdaten im Login-Formular gelangt man z.B. auf die jeweils zum Benutzer spezifische Seite
https://www.xyz.de/geschuetzter-bereich/firma1.
Soweit, so gut.
Ohne Zugangsdaten kommt man also nicht weiter. Wenn diese sehr kryptisch vergeben werden, ist es für Hacker schon einmal schwierig, auf die benutzerspezifische Seite zu gelangen.
Ich frage mich jetzt nur, wenn jemand einfach in einem Browser mit den URLs etwas herumspielt und „zufällig“ auf die URL der benutzerspezifischen Seite, in diesem Fall:
https://www.xyz.de/geschuetzter-bereich/firma1, gelangt, dann umgeht er das Login und kommt auf die vermeintlich geschützte Seite.
Wie verhindert man das?
Wenn ich die Sichtbarkeit der benutzerspezifischen Seite auf „Passwortgeschützt“ oder „Privat“ setze, ist sie nicht mehr zugänglich.