Wordpress 3.1-scripts
[autoinstalls/wordpress.git] / wp-login.php
1 <?php
2 /**
3  * WordPress User Page
4  *
5  * Handles authentication, registering, resetting passwords, forgot password,
6  * and other user handling.
7  *
8  * @package WordPress
9  */
10
11 /** Make sure that the WordPress bootstrap has run before continuing. */
12 require( dirname(__FILE__) . '/wp-load.php' );
13
14 // Redirect to https login if forced to use SSL
15 if ( force_ssl_admin() && !is_ssl() ) {
16         if ( 0 === strpos($_SERVER['REQUEST_URI'], 'http') ) {
17                 wp_redirect(preg_replace('|^http://|', 'https://', $_SERVER['REQUEST_URI']));
18                 exit();
19         } else {
20                 wp_redirect('https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
21                 exit();
22         }
23 }
24
25 /**
26  * Outputs the header for the login page.
27  *
28  * @uses do_action() Calls the 'login_head' for outputting HTML in the Log In
29  *              header.
30  * @uses apply_filters() Calls 'login_headerurl' for the top login link.
31  * @uses apply_filters() Calls 'login_headertitle' for the top login title.
32  * @uses apply_filters() Calls 'login_message' on the message to display in the
33  *              header.
34  * @uses $error The error global, which is checked for displaying errors.
35  *
36  * @param string $title Optional. WordPress Log In Page title to display in
37  *              <title/> element.
38  * @param string $message Optional. Message to display in header.
39  * @param WP_Error $wp_error Optional. WordPress Error Object
40  */
41 function login_header($title = 'Log In', $message = '', $wp_error = '') {
42         global $error, $is_iphone, $interim_login, $current_site;
43
44         // Don't index any of these forms
45         add_filter( 'pre_option_blog_public', '__return_zero' );
46         add_action( 'login_head', 'noindex' );
47
48         if ( empty($wp_error) )
49                 $wp_error = new WP_Error();
50
51         // Shake it!
52         $shake_error_codes = array( 'empty_password', 'empty_email', 'invalid_email', 'invalidcombo', 'empty_username', 'invalid_username', 'incorrect_password' );
53         $shake_error_codes = apply_filters( 'shake_error_codes', $shake_error_codes );
54
55         if ( $shake_error_codes && $wp_error->get_error_code() && in_array( $wp_error->get_error_code(), $shake_error_codes ) )
56                 add_action( 'login_head', 'wp_shake_js', 12 );
57
58         ?>
59 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
60 <html xmlns="http://www.w3.org/1999/xhtml" <?php language_attributes(); ?>>
61 <head>
62         <title><?php bloginfo('name'); ?> &rsaquo; <?php echo $title; ?></title>
63         <meta http-equiv="Content-Type" content="<?php bloginfo('html_type'); ?>; charset=<?php bloginfo('charset'); ?>" />
64 <?php
65         wp_admin_css( 'login', true );
66         wp_admin_css( 'colors-fresh', true );
67
68         if ( $is_iphone ) { ?>
69         <meta name="viewport" content="width=320; initial-scale=0.9; maximum-scale=1.0; user-scalable=0;" />
70         <style type="text/css" media="screen">
71         form { margin-left: 0px; }
72         #login { margin-top: 20px; }
73         </style>
74 <?php
75         } elseif ( isset($interim_login) && $interim_login ) { ?>
76         <style type="text/css" media="all">
77         .login #login { margin: 20px auto; }
78         </style>
79 <?php
80         }
81
82         do_action( 'login_enqueue_scripts' );
83         do_action( 'login_head' ); ?>
84 </head>
85 <body class="login">
86 <?php   if ( !is_multisite() ) { ?>
87 <div id="login"><h1><a href="<?php echo apply_filters('login_headerurl', 'http://wordpress.org/'); ?>" title="<?php echo apply_filters('login_headertitle', esc_attr__('Powered by WordPress')); ?>"><?php bloginfo('name'); ?></a></h1>
88 <?php   } else { ?>
89 <div id="login"><h1><a href="<?php echo apply_filters('login_headerurl', network_home_url() ); ?>" title="<?php echo apply_filters('login_headertitle', esc_attr($current_site->site_name) ); ?>"><span class="hide"><?php bloginfo('name'); ?></span></a></h1>
90 <?php   }
91
92         $message = apply_filters('login_message', $message);
93         if ( !empty( $message ) ) echo $message . "\n";
94
95         // Incase a plugin uses $error rather than the $errors object
96         if ( !empty( $error ) ) {
97                 $wp_error->add('error', $error);
98                 unset($error);
99         }
100
101         if ( $wp_error->get_error_code() ) {
102                 $errors = '';
103                 $messages = '';
104                 foreach ( $wp_error->get_error_codes() as $code ) {
105                         $severity = $wp_error->get_error_data($code);
106                         foreach ( $wp_error->get_error_messages($code) as $error ) {
107                                 if ( 'message' == $severity )
108                                         $messages .= '  ' . $error . "<br />\n";
109                                 else
110                                         $errors .= '    ' . $error . "<br />\n";
111                         }
112                 }
113                 if ( !empty($errors) )
114                         echo '<div id="login_error">' . apply_filters('login_errors', $errors) . "</div>\n";
115                 if ( !empty($messages) )
116                         echo '<p class="message">' . apply_filters('login_messages', $messages) . "</p>\n";
117         }
118 } // End of login_header()
119
120 /**
121  * Outputs the footer for the login page.
122  *
123  * @param string $input_id Which input to auto-focus
124  */
125 function login_footer($input_id = '') {
126         echo "</div>\n";
127
128         if ( !empty($input_id) ) {
129 ?>
130 <script type="text/javascript">
131 try{document.getElementById('<?php echo $input_id; ?>').focus();}catch(e){}
132 if(typeof wpOnload=='function')wpOnload();
133 </script>
134 <?php
135         }
136 ?>
137 <p id="backtoblog"><a href="<?php bloginfo('url'); ?>/" title="<?php esc_attr_e('Are you lost?') ?>"><?php printf(__('&larr; Back to %s'), get_bloginfo('title', 'display' )); ?></a></p>
138 <?php do_action('login_footer'); ?>
139 </body>
140 </html>
141 <?php
142 }
143
144 function wp_shake_js() {
145         global $is_iphone;
146         if ( $is_iphone )
147                 return;
148 ?>
149 <script type="text/javascript">
150 addLoadEvent = function(func){if(typeof jQuery!="undefined")jQuery(document).ready(func);else if(typeof wpOnload!='function'){wpOnload=func;}else{var oldonload=wpOnload;wpOnload=function(){oldonload();func();}}};
151 function s(id,pos){g(id).left=pos+'px';}
152 function g(id){return document.getElementById(id).style;}
153 function shake(id,a,d){c=a.shift();s(id,c);if(a.length>0){setTimeout(function(){shake(id,a,d);},d);}else{try{g(id).position='static';wp_attempt_focus();}catch(e){}}}
154 addLoadEvent(function(){ var p=new Array(15,30,15,0,-15,-30,-15,0);p=p.concat(p.concat(p));var i=document.forms[0].id;g(i).position='relative';shake(i,p,20);});
155 </script>
156 <?php
157 }
158
159 /**
160  * Handles sending password retrieval email to user.
161  *
162  * @uses $wpdb WordPress Database object
163  *
164  * @return bool|WP_Error True: when finish. WP_Error on error
165  */
166 function retrieve_password() {
167         global $wpdb, $current_site;
168
169         $errors = new WP_Error();
170
171         if ( empty( $_POST['user_login'] ) && empty( $_POST['user_email'] ) )
172                 $errors->add('empty_username', __('<strong>ERROR</strong>: Enter a username or e-mail address.'));
173
174         if ( strpos($_POST['user_login'], '@') ) {
175                 $user_data = get_user_by_email(trim($_POST['user_login']));
176                 if ( empty($user_data) )
177                         $errors->add('invalid_email', __('<strong>ERROR</strong>: There is no user registered with that email address.'));
178         } else {
179                 $login = trim($_POST['user_login']);
180                 $user_data = get_userdatabylogin($login);
181         }
182
183         do_action('lostpassword_post');
184
185         if ( $errors->get_error_code() )
186                 return $errors;
187
188         if ( !$user_data ) {
189                 $errors->add('invalidcombo', __('<strong>ERROR</strong>: Invalid username or e-mail.'));
190                 return $errors;
191         }
192
193         // redefining user_login ensures we return the right case in the email
194         $user_login = $user_data->user_login;
195         $user_email = $user_data->user_email;
196
197         do_action('retreive_password', $user_login);  // Misspelled and deprecated
198         do_action('retrieve_password', $user_login);
199
200         $allow = apply_filters('allow_password_reset', true, $user_data->ID);
201
202         if ( ! $allow )
203                 return new WP_Error('no_password_reset', __('Password reset is not allowed for this user'));
204         else if ( is_wp_error($allow) )
205                 return $allow;
206
207         $key = $wpdb->get_var($wpdb->prepare("SELECT user_activation_key FROM $wpdb->users WHERE user_login = %s", $user_login));
208         if ( empty($key) ) {
209                 // Generate something random for a key...
210                 $key = wp_generate_password(20, false);
211                 do_action('retrieve_password_key', $user_login, $key);
212                 // Now insert the new md5 key into the db
213                 $wpdb->update($wpdb->users, array('user_activation_key' => $key), array('user_login' => $user_login));
214         }
215         $message = __('Someone requested that the password be reset for the following account:') . "\r\n\r\n";
216         $message .= network_site_url() . "\r\n\r\n";
217         $message .= sprintf(__('Username: %s'), $user_login) . "\r\n\r\n";
218         $message .= __('If this was a mistake, just ignore this email and nothing will happen.') . "\r\n\r\n";
219         $message .= __('To reset your password, visit the following address:') . "\r\n\r\n";
220         $message .= '<' . network_site_url("wp-login.php?action=rp&key=$key&login=" . rawurlencode($user_login), 'login') . ">\r\n";
221
222         if ( is_multisite() )
223                 $blogname = $GLOBALS['current_site']->site_name;
224         else
225                 // The blogname option is escaped with esc_html on the way into the database in sanitize_option
226                 // we want to reverse this for the plain text arena of emails.
227                 $blogname = wp_specialchars_decode(get_option('blogname'), ENT_QUOTES);
228
229         $title = sprintf( __('[%s] Password Reset'), $blogname );
230
231         $title = apply_filters('retrieve_password_title', $title);
232         $message = apply_filters('retrieve_password_message', $message, $key);
233
234         if ( $message && !wp_mail($user_email, $title, $message) )
235                 wp_die( __('The e-mail could not be sent.') . "<br />\n" . __('Possible reason: your host may have disabled the mail() function...') );
236
237         return true;
238 }
239
240 /**
241  * Retrieves a user row based on password reset key and login
242  *
243  * @uses $wpdb WordPress Database object
244  *
245  * @param string $key Hash to validate sending user's password
246  * @param string $login The user login
247  *
248  * @return object|WP_Error
249  */
250 function check_password_reset_key($key, $login) {
251         global $wpdb;
252
253         $key = preg_replace('/[^a-z0-9]/i', '', $key);
254
255         if ( empty( $key ) || !is_string( $key ) )
256                 return new WP_Error('invalid_key', __('Invalid key'));
257
258         if ( empty($login) || !is_string($login) )
259                 return new WP_Error('invalid_key', __('Invalid key'));
260
261         $user = $wpdb->get_row($wpdb->prepare("SELECT * FROM $wpdb->users WHERE user_activation_key = %s AND user_login = %s", $key, $login));
262
263         if ( empty( $user ) )
264                 return new WP_Error('invalid_key', __('Invalid key'));
265
266         return $user;
267 }
268
269 /**
270  * Handles resetting the user's password.
271  *
272  * @uses $wpdb WordPress Database object
273  *
274  * @param string $key Hash to validate sending user's password
275  */
276 function reset_password($user, $new_pass) {
277         do_action('password_reset', $user, $new_pass);
278
279         wp_set_password($new_pass, $user->ID);
280
281         wp_password_change_notification($user);
282 }
283
284 /**
285  * Handles registering a new user.
286  *
287  * @param string $user_login User's username for logging in
288  * @param string $user_email User's email address to send password and add
289  * @return int|WP_Error Either user's ID or error on failure.
290  */
291 function register_new_user( $user_login, $user_email ) {
292         $errors = new WP_Error();
293
294         $sanitized_user_login = sanitize_user( $user_login );
295         $user_email = apply_filters( 'user_registration_email', $user_email );
296
297         // Check the username
298         if ( $sanitized_user_login == '' ) {
299                 $errors->add( 'empty_username', __( '<strong>ERROR</strong>: Please enter a username.' ) );
300         } elseif ( ! validate_username( $user_login ) ) {
301                 $errors->add( 'invalid_username', __( '<strong>ERROR</strong>: This username is invalid because it uses illegal characters. Please enter a valid username.' ) );
302                 $sanitized_user_login = '';
303         } elseif ( username_exists( $sanitized_user_login ) ) {
304                 $errors->add( 'username_exists', __( '<strong>ERROR</strong>: This username is already registered, please choose another one.' ) );
305         }
306
307         // Check the e-mail address
308         if ( $user_email == '' ) {
309                 $errors->add( 'empty_email', __( '<strong>ERROR</strong>: Please type your e-mail address.' ) );
310         } elseif ( ! is_email( $user_email ) ) {
311                 $errors->add( 'invalid_email', __( '<strong>ERROR</strong>: The email address isn&#8217;t correct.' ) );
312                 $user_email = '';
313         } elseif ( email_exists( $user_email ) ) {
314                 $errors->add( 'email_exists', __( '<strong>ERROR</strong>: This email is already registered, please choose another one.' ) );
315         }
316
317         do_action( 'register_post', $sanitized_user_login, $user_email, $errors );
318
319         $errors = apply_filters( 'registration_errors', $errors, $sanitized_user_login, $user_email );
320
321         if ( $errors->get_error_code() )
322                 return $errors;
323
324         $user_pass = wp_generate_password( 12, false);
325         $user_id = wp_create_user( $sanitized_user_login, $user_pass, $user_email );
326         if ( ! $user_id ) {
327                 $errors->add( 'registerfail', sprintf( __( '<strong>ERROR</strong>: Couldn&#8217;t register you... please contact the <a href="mailto:%s">webmaster</a> !' ), get_option( 'admin_email' ) ) );
328                 return $errors;
329         }
330
331         update_user_option( $user_id, 'default_password_nag', true, true ); //Set up the Password change nag.
332
333         wp_new_user_notification( $user_id, $user_pass );
334
335         return $user_id;
336 }
337
338 //
339 // Main
340 //
341
342 $action = isset($_REQUEST['action']) ? $_REQUEST['action'] : 'login';
343 $errors = new WP_Error();
344
345 if ( isset($_GET['key']) )
346         $action = 'resetpass';
347
348 // validate action so as to default to the login screen
349 if ( !in_array($action, array('logout', 'lostpassword', 'retrievepassword', 'resetpass', 'rp', 'register', 'login'), true) && false === has_filter('login_form_' . $action) )
350         $action = 'login';
351
352 nocache_headers();
353
354 header('Content-Type: '.get_bloginfo('html_type').'; charset='.get_bloginfo('charset'));
355
356 if ( defined('RELOCATE') ) { // Move flag is set
357         if ( isset( $_SERVER['PATH_INFO'] ) && ($_SERVER['PATH_INFO'] != $_SERVER['PHP_SELF']) )
358                 $_SERVER['PHP_SELF'] = str_replace( $_SERVER['PATH_INFO'], '', $_SERVER['PHP_SELF'] );
359
360         $schema = is_ssl() ? 'https://' : 'http://';
361         if ( dirname($schema . $_SERVER['HTTP_HOST'] . $_SERVER['PHP_SELF']) != get_option('siteurl') )
362                 update_option('siteurl', dirname($schema . $_SERVER['HTTP_HOST'] . $_SERVER['PHP_SELF']) );
363 }
364
365 //Set a cookie now to see if they are supported by the browser.
366 setcookie(TEST_COOKIE, 'WP Cookie check', 0, COOKIEPATH, COOKIE_DOMAIN);
367 if ( SITECOOKIEPATH != COOKIEPATH )
368         setcookie(TEST_COOKIE, 'WP Cookie check', 0, SITECOOKIEPATH, COOKIE_DOMAIN);
369
370 // allow plugins to override the default actions, and to add extra actions if they want
371 do_action('login_form_' . $action);
372
373 $http_post = ('POST' == $_SERVER['REQUEST_METHOD']);
374 switch ($action) {
375
376 case 'logout' :
377         check_admin_referer('log-out');
378         wp_logout();
379
380         $redirect_to = !empty( $_REQUEST['redirect_to'] ) ? $_REQUEST['redirect_to'] : 'wp-login.php?loggedout=true';
381         wp_safe_redirect( $redirect_to );
382         exit();
383
384 break;
385
386 case 'lostpassword' :
387 case 'retrievepassword' :
388
389         if ( $http_post ) {
390                 $errors = retrieve_password();
391                 if ( !is_wp_error($errors) ) {
392                         $redirect_to = !empty( $_REQUEST['redirect_to'] ) ? $_REQUEST['redirect_to'] : 'wp-login.php?checkemail=confirm';
393                         wp_safe_redirect( $redirect_to );
394                         exit();
395                 }
396         }
397
398         if ( isset($_GET['error']) && 'invalidkey' == $_GET['error'] ) $errors->add('invalidkey', __('Sorry, that key does not appear to be valid.'));
399         $redirect_to = apply_filters( 'lostpassword_redirect', !empty( $_REQUEST['redirect_to'] ) ? $_REQUEST['redirect_to'] : '' );
400
401         do_action('lost_password');
402         login_header(__('Lost Password'), '<p class="message">' . __('Please enter your username or email address. You will receive a link to create a new password via email.') . '</p>', $errors);
403
404         $user_login = isset($_POST['user_login']) ? stripslashes($_POST['user_login']) : '';
405
406 ?>
407
408 <form name="lostpasswordform" id="lostpasswordform" action="<?php echo site_url('wp-login.php?action=lostpassword', 'login_post') ?>" method="post">
409         <p>
410                 <label><?php _e('Username or E-mail:') ?><br />
411                 <input type="text" name="user_login" id="user_login" class="input" value="<?php echo esc_attr($user_login); ?>" size="20" tabindex="10" /></label>
412         </p>
413 <?php do_action('lostpassword_form'); ?>
414         <input type="hidden" name="redirect_to" value="<?php echo esc_attr( $redirect_to ); ?>" />
415         <p class="submit"><input type="submit" name="wp-submit" id="wp-submit" class="button-primary" value="<?php esc_attr_e('Get New Password'); ?>" tabindex="100" /></p>
416 </form>
417
418 <p id="nav">
419 <a href="<?php echo site_url('wp-login.php', 'login') ?>"><?php _e('Log in') ?></a>
420 <?php if (get_option('users_can_register')) : ?>
421  | <a href="<?php echo site_url('wp-login.php?action=register', 'login') ?>"><?php _e('Register') ?></a>
422 <?php endif; ?>
423 </p>
424
425 <?php
426 login_footer('user_login');
427 break;
428
429 case 'resetpass' :
430 case 'rp' :
431         $user = check_password_reset_key($_GET['key'], $_GET['login']);
432
433         if ( is_wp_error($user) ) {
434                 wp_redirect( site_url('wp-login.php?action=lostpassword&error=invalidkey') );
435                 exit;
436         }
437
438         $errors = '';
439
440         if ( isset($_POST['pass1']) && $_POST['pass1'] != $_POST['pass2'] ) {
441                 $errors = new WP_Error('password_reset_mismatch', __('The passwords do not match.'));
442         } elseif ( isset($_POST['pass1']) && !empty($_POST['pass1']) ) {
443                 reset_password($user, $_POST['pass1']);
444                 login_header(__('Password Reset'), '<p class="message reset-pass">' . __('Your password has been reset.') . ' <a href="' . site_url('wp-login.php', 'login') . '">' . __('Log in') . '</a></p>');
445                 login_footer();
446                 exit;
447         }
448
449         wp_enqueue_script('utils');
450         wp_enqueue_script('user-profile');
451
452         login_header(__('Reset Password'), '<p class="message reset-pass">' . __('Enter your new password below.') . '</p>', $errors );
453
454 ?>
455 <form name="resetpassform" id="resetpassform" action="<?php echo site_url('wp-login.php?action=resetpass&key=' . urlencode($_GET['key']) . '&login=' . urlencode($_GET['login']), 'login_post') ?>" method="post">
456         <input type="hidden" id="user_login" value="<?php echo esc_attr( $_GET['login'] ); ?>" autocomplete="off" />
457
458         <p>
459                 <label><?php _e('New password') ?><br />
460                 <input type="password" name="pass1" id="pass1" class="input" size="20" value="" autocomplete="off" /></label>
461         </p>
462         <p>
463                 <label><?php _e('Confirm new password') ?><br />
464                 <input type="password" name="pass2" id="pass2" class="input" size="20" value="" autocomplete="off" /></label>
465         </p>
466
467         <div id="pass-strength-result" class="hide-if-no-js"><?php _e('Strength indicator'); ?></div>
468         <p class="description indicator-hint"><?php _e('Hint: The password should be at least seven characters long. To make it stronger, use upper and lower case letters, numbers and symbols like ! " ? $ % ^ &amp; ).'); ?></p>
469
470         <br class="clear" />
471         <p class="submit"><input type="submit" name="wp-submit" id="wp-submit" class="button-primary" value="<?php esc_attr_e('Reset Password'); ?>" tabindex="100" /></p>
472 </form>
473
474 <p id="nav">
475 <a href="<?php echo site_url('wp-login.php', 'login') ?>"><?php _e('Log in') ?></a>
476 <?php if (get_option('users_can_register')) : ?>
477  | <a href="<?php echo site_url('wp-login.php?action=register', 'login') ?>"><?php _e('Register') ?></a>
478 <?php endif; ?>
479 </p>
480
481 <?php
482 login_footer('user_pass');
483 break;
484
485 case 'register' :
486         if ( is_multisite() ) {
487                 // Multisite uses wp-signup.php
488                 wp_redirect( apply_filters( 'wp_signup_location', site_url('wp-signup.php') ) );
489                 exit;
490         }
491
492         if ( !get_option('users_can_register') ) {
493                 wp_redirect( site_url('wp-login.php?registration=disabled') );
494                 exit();
495         }
496
497         $user_login = '';
498         $user_email = '';
499         if ( $http_post ) {
500                 $user_login = $_POST['user_login'];
501                 $user_email = $_POST['user_email'];
502                 $errors = register_new_user($user_login, $user_email);
503                 if ( !is_wp_error($errors) ) {
504                         $redirect_to = !empty( $_POST['redirect_to'] ) ? $_POST['redirect_to'] : 'wp-login.php?checkemail=registered';
505                         wp_safe_redirect( $redirect_to );
506                         exit();
507                 }
508         }
509
510         $redirect_to = apply_filters( 'registration_redirect', !empty( $_REQUEST['redirect_to'] ) ? $_REQUEST['redirect_to'] : '' );
511         login_header(__('Registration Form'), '<p class="message register">' . __('Register For This Site') . '</p>', $errors);
512 ?>
513
514 <form name="registerform" id="registerform" action="<?php echo site_url('wp-login.php?action=register', 'login_post') ?>" method="post">
515         <p>
516                 <label><?php _e('Username') ?><br />
517                 <input type="text" name="user_login" id="user_login" class="input" value="<?php echo esc_attr(stripslashes($user_login)); ?>" size="20" tabindex="10" /></label>
518         </p>
519         <p>
520                 <label><?php _e('E-mail') ?><br />
521                 <input type="text" name="user_email" id="user_email" class="input" value="<?php echo esc_attr(stripslashes($user_email)); ?>" size="25" tabindex="20" /></label>
522         </p>
523 <?php do_action('register_form'); ?>
524         <p id="reg_passmail"><?php _e('A password will be e-mailed to you.') ?></p>
525         <br class="clear" />
526         <input type="hidden" name="redirect_to" value="<?php echo esc_attr( $redirect_to ); ?>" />
527         <p class="submit"><input type="submit" name="wp-submit" id="wp-submit" class="button-primary" value="<?php esc_attr_e('Register'); ?>" tabindex="100" /></p>
528 </form>
529
530 <p id="nav">
531 <a href="<?php echo site_url('wp-login.php', 'login') ?>"><?php _e('Log in') ?></a> |
532 <a href="<?php echo site_url('wp-login.php?action=lostpassword', 'login') ?>" title="<?php _e('Password Lost and Found') ?>"><?php _e('Lost your password?') ?></a>
533 </p>
534
535 <?php
536 login_footer('user_login');
537 break;
538
539 case 'login' :
540 default:
541         $secure_cookie = '';
542         $interim_login = isset($_REQUEST['interim-login']);
543
544         // If the user wants ssl but the session is not ssl, force a secure cookie.
545         if ( !empty($_POST['log']) && !force_ssl_admin() ) {
546                 $user_name = sanitize_user($_POST['log']);
547                 if ( $user = get_userdatabylogin($user_name) ) {
548                         if ( get_user_option('use_ssl', $user->ID) ) {
549                                 $secure_cookie = true;
550                                 force_ssl_admin(true);
551                         }
552                 }
553         }
554
555         if ( isset( $_REQUEST['redirect_to'] ) ) {
556                 $redirect_to = $_REQUEST['redirect_to'];
557                 // Redirect to https if user wants ssl
558                 if ( $secure_cookie && false !== strpos($redirect_to, 'wp-admin') )
559                         $redirect_to = preg_replace('|^http://|', 'https://', $redirect_to);
560         } else {
561                 $redirect_to = admin_url();
562         }
563
564         $reauth = empty($_REQUEST['reauth']) ? false : true;
565
566         // If the user was redirected to a secure login form from a non-secure admin page, and secure login is required but secure admin is not, then don't use a secure
567         // cookie and redirect back to the referring non-secure admin page.  This allows logins to always be POSTed over SSL while allowing the user to choose visiting
568         // the admin via http or https.
569         if ( !$secure_cookie && is_ssl() && force_ssl_login() && !force_ssl_admin() && ( 0 !== strpos($redirect_to, 'https') ) && ( 0 === strpos($redirect_to, 'http') ) )
570                 $secure_cookie = false;
571
572         $user = wp_signon('', $secure_cookie);
573
574         $redirect_to = apply_filters('login_redirect', $redirect_to, isset( $_REQUEST['redirect_to'] ) ? $_REQUEST['redirect_to'] : '', $user);
575
576         if ( !is_wp_error($user) && !$reauth ) {
577                 if ( $interim_login ) {
578                         $message = '<p class="message">' . __('You have logged in successfully.') . '</p>';
579                         login_header( '', $message ); ?>
580                         <script type="text/javascript">setTimeout( function(){window.close()}, 8000);</script>
581                         <p class="alignright">
582                         <input type="button" class="button-primary" value="<?php esc_attr_e('Close'); ?>" onclick="window.close()" /></p>
583                         </div></body></html>
584 <?php           exit;
585                 }
586
587                 if ( ( empty( $redirect_to ) || $redirect_to == 'wp-admin/' || $redirect_to == admin_url() ) ) {
588                         // If the user doesn't belong to a blog, send them to user admin. If the user can't edit posts, send them to their profile.
589                         if ( is_multisite() && !get_active_blog_for_user($user->id) )
590                                 $redirect_to = user_admin_url();
591                         elseif ( is_multisite() && !$user->has_cap('read') )
592                                 $redirect_to = get_dashboard_url( $user->id );
593                         elseif ( !$user->has_cap('edit_posts') )
594                                 $redirect_to = admin_url('profile.php');
595                 }
596                 wp_safe_redirect($redirect_to);
597                 exit();
598         }
599
600         $errors = $user;
601         // Clear errors if loggedout is set.
602         if ( !empty($_GET['loggedout']) || $reauth )
603                 $errors = new WP_Error();
604
605         // If cookies are disabled we can't log in even with a valid user+pass
606         if ( isset($_POST['testcookie']) && empty($_COOKIE[TEST_COOKIE]) )
607                 $errors->add('test_cookie', __("<strong>ERROR</strong>: Cookies are blocked or not supported by your browser. You must <a href='http://www.google.com/cookies.html'>enable cookies</a> to use WordPress."));
608
609         // Some parts of this script use the main login form to display a message
610         if              ( isset($_GET['loggedout']) && TRUE == $_GET['loggedout'] )
611                 $errors->add('loggedout', __('You are now logged out.'), 'message');
612         elseif  ( isset($_GET['registration']) && 'disabled' == $_GET['registration'] )
613                 $errors->add('registerdisabled', __('User registration is currently not allowed.'));
614         elseif  ( isset($_GET['checkemail']) && 'confirm' == $_GET['checkemail'] )
615                 $errors->add('confirm', __('Check your e-mail for the confirmation link.'), 'message');
616         elseif  ( isset($_GET['checkemail']) && 'newpass' == $_GET['checkemail'] )
617                 $errors->add('newpass', __('Check your e-mail for your new password.'), 'message');
618         elseif  ( isset($_GET['checkemail']) && 'registered' == $_GET['checkemail'] )
619                 $errors->add('registered', __('Registration complete. Please check your e-mail.'), 'message');
620         elseif  ( $interim_login )
621                 $errors->add('expired', __('Your session has expired. Please log-in again.'), 'message');
622
623         // Clear any stale cookies.
624         if ( $reauth )
625                 wp_clear_auth_cookie();
626
627         login_header(__('Log In'), '', $errors);
628
629         if ( isset($_POST['log']) )
630                 $user_login = ( 'incorrect_password' == $errors->get_error_code() || 'empty_password' == $errors->get_error_code() ) ? esc_attr(stripslashes($_POST['log'])) : '';
631         $rememberme = ! empty( $_POST['rememberme'] );
632 ?>
633
634 <form name="loginform" id="loginform" action="<?php echo site_url('wp-login.php', 'login_post') ?>" method="post">
635         <p>
636                 <label><?php _e('Username') ?><br />
637                 <input type="text" name="log" id="user_login" class="input" value="<?php echo esc_attr($user_login); ?>" size="20" tabindex="10" /></label>
638         </p>
639         <p>
640                 <label><?php _e('Password') ?><br />
641                 <input type="password" name="pwd" id="user_pass" class="input" value="" size="20" tabindex="20" /></label>
642         </p>
643 <?php do_action('login_form'); ?>
644         <p class="forgetmenot"><label><input name="rememberme" type="checkbox" id="rememberme" value="forever" tabindex="90"<?php checked( $rememberme ); ?> /> <?php esc_attr_e('Remember Me'); ?></label></p>
645         <p class="submit">
646                 <input type="submit" name="wp-submit" id="wp-submit" class="button-primary" value="<?php esc_attr_e('Log In'); ?>" tabindex="100" />
647 <?php   if ( $interim_login ) { ?>
648                 <input type="hidden" name="interim-login" value="1" />
649 <?php   } else { ?>
650                 <input type="hidden" name="redirect_to" value="<?php echo esc_attr($redirect_to); ?>" />
651 <?php   } ?>
652                 <input type="hidden" name="testcookie" value="1" />
653         </p>
654 </form>
655
656 <?php if ( !$interim_login ) { ?>
657 <p id="nav">
658 <?php if ( isset($_GET['checkemail']) && in_array( $_GET['checkemail'], array('confirm', 'newpass') ) ) : ?>
659 <?php elseif ( get_option('users_can_register') ) : ?>
660 <a href="<?php echo site_url('wp-login.php?action=register', 'login') ?>"><?php _e('Register') ?></a> |
661 <a href="<?php echo site_url('wp-login.php?action=lostpassword', 'login') ?>" title="<?php _e('Password Lost and Found') ?>"><?php _e('Lost your password?') ?></a>
662 <?php else : ?>
663 <a href="<?php echo site_url('wp-login.php?action=lostpassword', 'login') ?>" title="<?php _e('Password Lost and Found') ?>"><?php _e('Lost your password?') ?></a>
664 <?php endif; ?>
665 </p>
666 </div>
667 <p id="backtoblog"><a href="<?php bloginfo('url'); ?>/" title="<?php esc_attr_e('Are you lost?') ?>"><?php printf(__('&larr; Back to %s'), get_bloginfo('title', 'display' )); ?></a></p>
668 <?php } else { ?>
669 </div>
670 <?php } ?>
671
672 <script type="text/javascript">
673 function wp_attempt_focus(){
674 setTimeout( function(){ try{
675 <?php if ( $user_login || $interim_login ) { ?>
676 d = document.getElementById('user_pass');
677 d.value = '';
678 <?php } else { ?>
679 d = document.getElementById('user_login');
680 <?php if ( 'invalid_username' == $errors->get_error_code() ) { ?>
681 if( d.value != '' )
682 d.value = '';
683 <?php
684 }
685 }?>
686 d.focus();
687 d.select();
688 } catch(e){}
689 }, 200);
690 }
691
692 <?php if ( !$error ) { ?>
693 wp_attempt_focus();
694 <?php } ?>
695 if(typeof wpOnload=='function')wpOnload();
696 </script>
697 <?php do_action( 'login_footer' ); ?>
698 </body>
699 </html>
700 <?php
701
702 break;
703 } // end action switch
704 ?>