Две ошибки два пожелания

Switching to Russian context…
Спасибо за развернутый комментарий! С этой нелепой ошибкой согласен, в течение суток выложу обновленный релиз. Это следствие борьбы с чудовищными по своей запутаности и излишней сложности алгоритмами авторизации WordPress по трем разным путям (форма, куки, RPC). Судя по коду, девелоперы и не думали о рефакторинге этой части и оно все нарастало само собой.
Про AJAX будем думать. Отказываться от заголовков, которые предназначены для fail2ban не хочется, но совместимость с AJAX надо обеспечить. Наверное, на какое-то время DOING_AJAX будет решением. Хреново, что JS разработчики не обрабатывают ошибочные коды. Это общее место в JS девелопменте сейчас. Не обрабатывать ошибки, не следить за тайм-аутами при запросе к серверу. В конце концов даже не знать как расшифровывается AJAX. Это просто какой-то современный аналог Бейсика.
Насчет пожеланий.
1) Для отключения поставьте в параметрах Цитадели нули. Далее будем думать насчет кнопки отключения.
2) Уже в плане на следующий релиз.
3) С локализацией сообщения на странице авторизации уже разбираюсь.

Выложен обновленный релиз без обновления номера версии. Первые два вопроса закрыты.

Выложен обновленный релиз с исправленным переводом страницы авторизации.

Спасибо за оперативное исправление ошибок!

Судя по коду, девелоперы и не думали о рефакторинге этой части и оно все нарастало само собой.

да, говнокода там достаточно.

Насчет “цитадели”: все таки надо сделать возможность отключение этого режима, ибо у меня он постоянно включается, даже если поставить все по нулям https://i.imgur.com/yKnHbqF.png (скрин почты).

Нашел еще одну ошибку:
Если использовать другой url для страницы входа, то ссылка на страницу “Забыли пароль” остается прежней, т.е. /wp-login.php?action=lostpassword

И еще один еррор вылазит, при активном дебаге:

<br />
<b>Warning</b>:  Missing argument 2 for cerber_block_add(), called in \wp-content\plugins\wp-cerber\wp-cerber.php on line 300 and defined in <b>\wp-content\plugins\wp-cerber\wp-cerber.php</b> on line <b>314</b><br />

Насчет цитадели очень странно. Не должно активироваться ибо в коде есть проверка наличия параметра ciperiod – период за который подсчитываются неудачные попытки.
if (cerber_get_options('ciperiod') && !cerber_is_citadel()) {

Не могу воспроизвести ссылку “Забыли пароль”. Есть подозрения что какой-то плагин мешает?

1) Насчет цитадели – да, действительно если установить по нулям – то цитадель отключается. Просто письма на почтовый ящик приходили еще спустя час, после отключения (там было около 3к писем). В общем больше не актуально. А для того чтоб не делать галку, думаю в описании цитадели можно написать “Чтоб отключить цитадель, установите пустые значения”.
2) Поставил cerber на другой сайт. Если, например, для страницы входа установить url “login”, то “Забыли пароль” по прежнему ведет на “wp-login.php?action=lostpassword”. Оно и не удивительно, так как это жестко прописано в функции wp_lostpassword_url().
Надо добавить похожий фильтр:

//php5.3+, 'login/' надо заменить на ссылку указанную в настройках плагина
add_filter('lostpassword_url', function($lostpassword_url){
	return str_replace('wp-login.php', 'login/', $lostpassword_url);
}, 1);

3) Поставьте WP_DEBUG в true (в wp-config.php). Плагин генерирует очень много нотайсов, очень желательно их поправить)) https://i.imgur.com/yIfjAUU.png, https://i.imgur.com/7mzHTLw.png, https://i.imgur.com/yViXDBn.png
4) Маленькое пожелание: если будет время и настроение, то добавьте пожалуйста пагинацию на страницу “Активность”)

Еще раз спасибо, плагин просто супер!

1) OK
2) Мне удалось воспроизвести такое поведение – но на мультисайте только. Так как там немного по другому создается ссылка. Исправлю в текущей версии. Перевыложу релиз.
3) Всегда проверяю через WP_DEBUG. Про Notice знаю, поправлю это дело в следующем релизе.
4) Yes! Pagination already in the feature list for next release.

Тут спасибо не отделаешся ??
Хороший отзыв не помешает: https://www.ads-software.com/support/view/plugin-reviews/wp-cerber

Раз уж тут общаемся на русском, то напишу сюда по поводу цитадели ??
Сейчас на моём сайте сработал режим цитадели. Стояли настройки на 100 неудачных авторизацией, хотя блокировано было всего 12 IP адресов.

Разумней делать цитадель при превышении числа блокированных адресов (ведь цитадель – от массового подбора паролей, а не единичного?). Единичные адреса должны блокироваться самостоятельно…

И второе.
При этом заспамило меня письмами с содержимым:
“Число активных блокировок на данный момент
: 12
Последняя блокировка добавлена: 08.10.2015 10:01″
Во всех письмах одно и тоже значение. Догадываюсь, что письмо отсылается реально не при увеличении числа заблокированных IP, а при очередном отказе в авторизации с ранее заблокированного IP. Что не верно.. это простой способ заспамить админа сайта.

Спасибо

Третье.
Когда сайт уже в режиме цитадели… нет способа её отключить.
Единственное что помогло – деактивировать и активировать плагин вновь.

Четвёртое.
В Активности вкладка “Заблокировано”. Там много-много раз один и тот же IP адрес. Но решение о его блокировке принимается один раз на период блокировки. Я ожидаю это и увидеть в логе один раз (ошибки авторизации я могу увидеть в другом месте).
Возможно, это и есть причина срабатывания цитадели..

== Важно! Открывайте новый топик. Не пишите в уже закрытые. ===

Цитадель в первую очередь предназначена для противодействия массовым попыткам с большого количества разных адресов. При этом неважно была ли блокировка отдельного адреса или нет. Зачастую это медленные атаки расчитанные так, чтобы не превысить значения в полях Limit login attempts. Срабатывание Цитадели, по идее, это исключение, например botnet атака на подбор пароля. Основная работа плагина по блокировке должна приходиться на настройки Limit login attempts.
Насчет второго – переустановите плагин начисто с удалением. В самом последнем релизе 1.5 это поправлено – уведомление приходит по факту добавления новой блокировки.
Третье – в версии 1.6, которая будет выложена на днях эта возможность есть.
В Активностях отображается активность по IP адресу независимо от факта его блокировки. “Заблокировано” означает, что адрес заблокирован, но попытки авторизоваться в этого адреса продолжаются. Момент блокировки имеет статус “IP заблокирован”.