WordPress アプリケーションのパスワードを手間のかからない方法で管理する

English version: Managing WordPress application passwords a hassle-free way

WordPress 5.6 では、セキュリティ対策としてアプリケーション パスワードを使用することが導入されました。この機能により、管理者とユーザーは、 REST APIなどの Web サイト API にアクセスするための個別のパスワードを生成して使用できます。 WP Cerber プラグインは、アプリケーションのパスワードを効果的かつ安全な方法で管理するための一連のツールを提供します。この記事では、アプリケーション パスワードの使用状況を監視する方法と、ユーザーがパスワードを作成したときに通知を受け取る方法についても説明します。

アプリケーションのパスワードを制御する必要がある

アプリケーション パスワードを使用すると追加のセキュリティ バリアがもたらされますが、アプリケーション パスワードのデフォルトの WordPress 実装は最小限であり、次の問題があります。

• アプリケーションのパスワードには、ブルート フォース攻撃に対する保護がありません
• 特定のユーザー ロールのパスワードを無効または有効にする機能はありません
• Web サイト API へのアクセスには、標準のインタラクティブなユーザー パスワードを引き続き使用できます。
• ロギングがないため、パスワードの使用を制御できません

アプリケーション パスワードの無効化

WordPress でアプリケーション パスワードを完全に無効にする場合は、[アプリケーション パスワード] 設定を [無効] に設定します。この設定は、[グローバル] タブの [ユーザー ポリシー] 管理メニューの下にあります。アクティブ化されると、ユーザーは新しいパスワードを作成できなくなり、以前に生成されたパスワードを使用できなくなります。高度な管理については、記事の残りの部分をお読みください。

WP Cerber を使用してアプリケーションのパスワードを管理する

すべての設定は、「ユーザー ポリシー」管理メニューの下にあります。 Web サイトのすべてのユーザーに対してアプリケーション パスワードの使用を構成するには、[グローバル] タブに切り替えます。各ユーザー ロールの設定を個別に構成するには、[ロール ベース] タブに切り替えます。役割に対して構成された設定は、優先度が高くなります。

構成する必要があるWP Cerber設定は、「アプリケーションパスワード」という名前です

Managing WordPress application passwords with WP Cerber

設定のデフォルト値は、WordPress に実装されている方法でアプリケーション パスワードの使用を許可することです。これは、Web サイト API にアクセスする際に、従来のパスワード (ユーザーがログイン フォームを介して Web サイトにログインするために使用するパスワード) とアプリケーション パスワードの両方を使用することを意味します。この場合の設定は「有効、標準ユーザーパスワードを使用した API へのアクセスを許可」です。

アプリケーション パスワードを使用する、より安全で高度な推奨される方法は、アプリケーション パスワードのみを使用して Web サイト API へのアクセスを許可することです。この場合、指定されたパスワードが有効であっても、Web サイト API にアクセスするときに従来の対話型パスワードを使用することはできません。 API にアクセスしようとしても拒否されます。これを実現するには、[有効、標準ユーザー パスワードを使用した API へのアクセスなし] を選択します。

アプリケーション パスワードを扱う最後の簡単な方法は、設定を"Disable"に設定して無効にすることです。

特定のユーザー ロールの設定を構成する

役割に対して構成されたすべての設定は、グローバル設定よりも優先度が高くなります。そのため、すべてのユーザーに対してグローバルにアプリケーション パスワードの使用を無効にし、特定のロールに対してのみ有効にすることができます。

すべての役割のデフォルト値は、[グローバル] タブで構成されたグローバル設定を使用することです。ロール設定では、このオプションは「グローバル ポリシーを使用する」という名前になっています。これは、ロールの設定がグローバル設定に加えられたすべての変更を継承することを意味します。

[グローバル ポリシーを使用する] オプション以外を選択すると、[グローバル] タブで構成された設定ではなく、その選択したオプションが役割に影響を与えます。

注: 役割ベースの設定は、WP Cerber のプロフェッショナル バージョンで利用できます。

アプリケーション パスワードの使用状況を監視する方法

WP Cerber は、WordPress ダッシュボードのプロファイル ページにあるユーザーのアプリケーション パスワードのリストに 2 つの新しい列を追加します。これらの列のリンクを使用して、アクティビティ ログを確認できます。 [承認済み] 列のリンクは、ユーザーがアプリケーション パスワードを使用したログに記録されたすべてのイベントに移動します。 「Authorization Failed」列のリンクは、ユーザーのユーザー名または電子メールが使用されていたときに Web サイト API を使用しようとして失敗したすべての試行に移動します。

Monitoring the usage of application passwords with WP Cerber

ユーザーが新しいパスワードを作成したときに通知を受け取る方法

アクティビティ ログ管理ページでは、任意のユーザーまたは指定されたユーザーが新しいアプリケーション パスワードを作成したときに、電子メールまたはモバイル通知を送信できるようにすることができます。アクティビティ ログに移動し、表の上にある最初の選択から[ユーザー アプリケーション パスワードが作成されました] を選択し、[フィルター] をクリックします。通知を有効にするには、右側の [アラートの作成] ボタンをクリックする必要があります。通知用の電子メール アドレスまたはモバイル デバイスを設定するには、[通知] タブに切り替えます。

必要な通知を設定する方法について詳しくは、 WordPress の通知を簡単に。

REST API と XML-RPC へのアクセスを制限する方法

WP Cerber には、アクセスを制限するためのいくつかのオプションが用意されており、それらを任意に組み合わせて構成できます。これらの API を無効にすることで、これらの API へのアクセスを完全にブロックできます。 IP アクセス リストを使用して、特定の IP アドレスからのこれらの API へのアクセスを許可またはブロックできます。さらに、特定の役割または特定の名前空間のみに REST API へのアクセスを許可できます。国ベースのアクセス ルールを構成することで、REST API または XML-RPC へのアクセスを国のリストごとに許可または拒否できます。