Security Blog
Posted By Gregory

Einfaches Verwalten von Passwörtern für WordPress-Anwendungen

English version: Managing WordPress application passwords a hassle-free way


Die Verwendung von Anwendungskennwörtern als Sicherheitsmaßnahme wurde in WordPress 5.6 eingeführt. Diese Funktion ermöglicht es Ihnen und Ihren Benutzern, separate Kennwörter für den Zugriff auf Website-APIs wie die REST-API zu generieren und zu verwenden. Das WP Cerber-Plugin bietet eine Reihe von Tools zur effektiven und sicheren Verwaltung von Anwendungskennwörtern. In diesem Artikel zeigen wir Ihnen auch, wie Sie die Verwendung von Anwendungskennwörtern überwachen und benachrichtigt werden, wenn ein Benutzer eines erstellt.

Wir müssen Anwendungskennwörter kontrollieren

Obwohl die Verwendung von Anwendungskennwörtern eine zusätzliche Sicherheitsbarriere mit sich bringt, ist die standardmäßige WordPress-Implementierung von Anwendungskennwörtern minimalistisch und weist die folgenden Probleme auf.

  • Anwendungskennwörter sind nicht vor Brute-Force-Angriffen geschützt

  • Wir haben keine Möglichkeit, Kennwörter für eine bestimmte Benutzerrolle zu deaktivieren oder zu aktivieren

  • Standardpasswörter für interaktive Benutzer können weiterhin für den Zugriff auf Website-APIs verwendet werden.

  • Auf die Verwendung von Passwörtern haben wir aufgrund fehlender Protokollierung keinen Einfluss

Anwendungskennwörter deaktivieren

Wenn Sie Anwendungskennwörter auf Ihrem WordPress vollständig deaktivieren möchten, setzen Sie die Einstellung „Anwendungskennwörter“ auf „Deaktiviert“. Diese Einstellung befindet sich im Admin-Menü „Benutzerrichtlinien“ auf der Registerkarte „Global“. Sobald es aktiviert ist, können Benutzer keine neuen Passwörter mehr erstellen und keine der zuvor generierten Passwörter verwenden. Für die erweiterte Verwaltung lesen Sie bitte den Rest des Artikels.

Verwenden Sie WP Cerber, um Anwendungskennwörter zu verwalten

Alle Einstellungen befinden sich im Admin-Menü „Benutzerrichtlinien“. Um die Verwendung von Anwendungspasswörtern für alle Benutzer Ihrer Website zu konfigurieren, wechseln Sie auf die Registerkarte „Global“. Um die Einstellung für jede Benutzerrolle separat zu konfigurieren, wechseln Sie auf die Registerkarte „Rollenbasiert“. Die für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität.

Die WP Cerber-Einstellung, die Sie konfigurieren müssen, heißt "Application Passwords".

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Der Standardwert der Einstellung besteht darin, die Verwendung der Anwendungskennwörter so zuzulassen, wie sie in WordPress implementiert sind. Dies impliziert die Verwendung sowohl traditioneller Passwörter (mit denen sich Benutzer über ein Anmeldeformular bei Ihrer Website anmelden) als auch von Anwendungspasswörtern beim Zugriff auf Website-APIs. Die Einstellung ist in diesem Fall „Enabled, access to API using standard user passwords is allow“ .

Eine sicherere, fortschrittlichere und empfohlene Methode zur Verwendung von Anwendungskennwörtern besteht darin, den Zugriff auf Website-APIs nur mit Anwendungskennwörtern zuzulassen. In diesem Fall können herkömmliche interaktive Passwörter beim Zugriff auf Website-APIs nicht verwendet werden, selbst wenn das angegebene gültig ist. Jeder Versuch, Zugriff auf APIs zu erhalten, wird verweigert. Wählen Sie dazu „Enabled, no access to API using standard user passwords“ aus .

Die letzte und einfachste Möglichkeit, mit Anwendungspasswörtern umzugehen, besteht darin, sie mit der Einstellung „Deaktivieren“ zu deaktivieren.

Konfigurieren Sie Einstellungen für eine bestimmte Benutzerrolle

Alle für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität als die globalen. So können Sie die Verwendung von Anwendungspasswörtern global für alle Benutzer deaktivieren und sie nur für eine bestimmte Rolle aktivieren.

Der Standardwert für alle Rollen ist die Verwendung globaler Einstellungen, die auf der Registerkarte "Global" konfiguriert sind. In den Rolleneinstellungen heißt diese Option „Globale Richtlinien verwenden“. Das bedeutet, dass die Einstellung der Rolle alle Änderungen erbt, die an den globalen Einstellungen vorgenommen wurden.

Wenn Sie eine andere Option als die Option "Globale Richtlinien verwenden" auswählen, wirkt sich diese ausgewählte Option auf die Rolle aus und nicht auf eine auf der Registerkarte "Global" konfigurierte Einstellung.

Hinweis: Die rollenbasierten Einstellungen sind in der professionellen Version von WP Cerber verfügbar .

So überwachen Sie die Verwendung von Anwendungskennwörtern

WP Cerber fügt den Listen der Anwendungskennwörter der Benutzer auf ihren Profilseiten im WordPress-Dashboard zwei neue Spalten hinzu. Mithilfe von Links in diesen Spalten können Sie das Aktivitätsprotokoll überprüfen. Die Links in der Spalte "Autorisiert" navigieren Sie zu allen protokollierten Ereignissen der Verwendung von Anwendungskennwörtern durch den Benutzer. Die Links in der Spalte „Autorisierung fehlgeschlagen“ führen Sie zu allen fehlgeschlagenen Versuchen, Website-APIs zu verwenden, wenn der Benutzername oder die E-Mail-Adresse des Benutzers verwendet wurde.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

So werden Sie benachrichtigt, wenn ein Benutzer ein neues Passwort erstellt

Auf der Administratorseite des Aktivitätsprotokolls können Sie das Senden einer E-Mail oder einer mobilen Benachrichtigung aktivieren, wenn ein Benutzer oder ein bestimmter Benutzer ein neues Anwendungskennwort erstellt. Gehen Sie zum Aktivitätsprotokoll, wählen Sie „Passwort der Benutzeranwendung erstellt“ aus der ersten Auswahl über der Tabelle aus und klicken Sie auf Filter . Um Benachrichtigungen zu aktivieren, müssen Sie nun rechts auf die Schaltfläche „Benachrichtigung erstellen“ klicken. Um die E-Mail-Adresse oder das Mobilgerät für Benachrichtigungen zu konfigurieren, wechseln Sie auf den Reiter „Benachrichtigungen“.

Bitte lesen Sie mehr darüber, wie Sie jede Benachrichtigung konfigurieren, die Sie benötigen: WordPress-Benachrichtigungen leicht gemacht.

So beschränken Sie den Zugriff auf die REST-API und XML-RPC

WP Cerber bietet mehrere Optionen, um den Zugriff einzuschränken, und Sie können eine beliebige Kombination davon konfigurieren. Sie können den Zugriff auf diese APIs vollständig blockieren, indem Sie sie deaktivieren. Sie können den Zugriff auf diese APIs von bestimmten IP-Adressen zulassen oder blockieren, indem Sie IP-Zugriffslisten verwenden. Darüber hinaus können Sie den Zugriff auf die REST-API nur für bestimmte Rollen oder nur für bestimmte Namespaces zulassen . Indem Sie länderbasierte Zugriffsregeln konfigurieren, können Sie den Zugriff auf die REST-API oder XML-RPC für eine Liste von Ländern zulassen oder verweigern.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.