Einfaches Verwalten von Passwörtern für WordPress-Anwendungen
English version: Managing WordPress application passwords a hassle-free way
Die Verwendung von Anwendungskennwörtern als Sicherheitsmaßnahme wurde in WordPress 5.6 eingeführt. Diese Funktion ermöglicht es Ihnen und Ihren Benutzern, separate Kennwörter für den Zugriff auf Website-APIs wie die REST-API zu generieren und zu verwenden. Das WP Cerber-Plugin bietet eine Reihe von Tools zur effektiven und sicheren Verwaltung von Anwendungskennwörtern. In diesem Artikel zeigen wir Ihnen auch, wie Sie die Verwendung von Anwendungskennwörtern überwachen und benachrichtigt werden, wenn ein Benutzer eines erstellt.
Wir müssen Anwendungskennwörter kontrollieren
Obwohl die Verwendung von Anwendungskennwörtern eine zusätzliche Sicherheitsbarriere mit sich bringt, ist die standardmäßige WordPress-Implementierung von Anwendungskennwörtern minimalistisch und weist die folgenden Probleme auf.
- Anwendungskennwörter sind nicht vor Brute-Force-Angriffen geschützt
- Wir haben keine Möglichkeit, Kennwörter für eine bestimmte Benutzerrolle zu deaktivieren oder zu aktivieren
- Standardpasswörter für interaktive Benutzer können weiterhin für den Zugriff auf Website-APIs verwendet werden.
- Auf die Verwendung von Passwörtern haben wir aufgrund fehlender Protokollierung keinen Einfluss
Anwendungskennwörter deaktivieren
Wenn Sie Anwendungskennwörter auf Ihrem WordPress vollständig deaktivieren möchten, setzen Sie die Einstellung „Anwendungskennwörter“ auf „Deaktiviert“. Diese Einstellung befindet sich im Admin-Menü „Benutzerrichtlinien“ auf der Registerkarte „Global“. Sobald es aktiviert ist, können Benutzer keine neuen Passwörter mehr erstellen und keine der zuvor generierten Passwörter verwenden. Für die erweiterte Verwaltung lesen Sie bitte den Rest des Artikels.
Verwenden Sie WP Cerber, um Anwendungskennwörter zu verwalten
Alle Einstellungen befinden sich im Admin-Menü „Benutzerrichtlinien“. Um die Verwendung von Anwendungspasswörtern für alle Benutzer Ihrer Website zu konfigurieren, wechseln Sie auf die Registerkarte „Global“. Um die Einstellung für jede Benutzerrolle separat zu konfigurieren, wechseln Sie auf die Registerkarte „Rollenbasiert“. Die für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität.
Die WP Cerber-Einstellung, die Sie konfigurieren müssen, heißt "Application Passwords".
Der Standardwert der Einstellung besteht darin, die Verwendung der Anwendungskennwörter so zuzulassen, wie sie in WordPress implementiert sind. Dies impliziert die Verwendung sowohl traditioneller Passwörter (mit denen sich Benutzer über ein Anmeldeformular bei Ihrer Website anmelden) als auch von Anwendungspasswörtern beim Zugriff auf Website-APIs. Die Einstellung ist in diesem Fall „Enabled, access to API using standard user passwords is allow“ .
Eine sicherere, fortschrittlichere und empfohlene Methode zur Verwendung von Anwendungskennwörtern besteht darin, den Zugriff auf Website-APIs nur mit Anwendungskennwörtern zuzulassen. In diesem Fall können herkömmliche interaktive Passwörter beim Zugriff auf Website-APIs nicht verwendet werden, selbst wenn das angegebene gültig ist. Jeder Versuch, Zugriff auf APIs zu erhalten, wird verweigert. Wählen Sie dazu „Enabled, no access to API using standard user passwords“ aus .
Die letzte und einfachste Möglichkeit, mit Anwendungspasswörtern umzugehen, besteht darin, sie mit der Einstellung „Deaktivieren“ zu deaktivieren.
Konfigurieren Sie Einstellungen für eine bestimmte Benutzerrolle
Alle für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität als die globalen. So können Sie die Verwendung von Anwendungspasswörtern global für alle Benutzer deaktivieren und sie nur für eine bestimmte Rolle aktivieren.
Der Standardwert für alle Rollen ist die Verwendung globaler Einstellungen, die auf der Registerkarte "Global" konfiguriert sind. In den Rolleneinstellungen heißt diese Option „Globale Richtlinien verwenden“. Das bedeutet, dass die Einstellung der Rolle alle Änderungen erbt, die an den globalen Einstellungen vorgenommen wurden.
Wenn Sie eine andere Option als die Option "Globale Richtlinien verwenden" auswählen, wirkt sich diese ausgewählte Option auf die Rolle aus und nicht auf eine auf der Registerkarte "Global" konfigurierte Einstellung.
Hinweis: Die rollenbasierten Einstellungen sind in der professionellen Version von WP Cerber verfügbar .
So überwachen Sie die Verwendung von Anwendungskennwörtern
WP Cerber fügt den Listen der Anwendungskennwörter der Benutzer auf ihren Profilseiten im WordPress-Dashboard zwei neue Spalten hinzu. Mithilfe von Links in diesen Spalten können Sie das Aktivitätsprotokoll überprüfen. Die Links in der Spalte "Autorisiert" navigieren Sie zu allen protokollierten Ereignissen der Verwendung von Anwendungskennwörtern durch den Benutzer. Die Links in der Spalte „Autorisierung fehlgeschlagen“ führen Sie zu allen fehlgeschlagenen Versuchen, Website-APIs zu verwenden, wenn der Benutzername oder die E-Mail-Adresse des Benutzers verwendet wurde.
So werden Sie benachrichtigt, wenn ein Benutzer ein neues Passwort erstellt
Auf der Administratorseite des Aktivitätsprotokolls können Sie das Senden einer E-Mail oder einer mobilen Benachrichtigung aktivieren, wenn ein Benutzer oder ein bestimmter Benutzer ein neues Anwendungskennwort erstellt. Gehen Sie zum Aktivitätsprotokoll, wählen Sie „Passwort der Benutzeranwendung erstellt“ aus der ersten Auswahl über der Tabelle aus und klicken Sie auf Filter . Um Benachrichtigungen zu aktivieren, müssen Sie nun rechts auf die Schaltfläche „Benachrichtigung erstellen“ klicken. Um die E-Mail-Adresse oder das Mobilgerät für Benachrichtigungen zu konfigurieren, wechseln Sie auf den Reiter „Benachrichtigungen“.
Bitte lesen Sie mehr darüber, wie Sie jede Benachrichtigung konfigurieren, die Sie benötigen: WordPress-Benachrichtigungen leicht gemacht.
So beschränken Sie den Zugriff auf die REST-API und XML-RPC
WP Cerber bietet mehrere Optionen, um den Zugriff einzuschränken, und Sie können eine beliebige Kombination davon konfigurieren. Sie können den Zugriff auf diese APIs vollständig blockieren, indem Sie sie deaktivieren. Sie können den Zugriff auf diese APIs von bestimmten IP-Adressen zulassen oder blockieren, indem Sie IP-Zugriffslisten verwenden. Darüber hinaus können Sie den Zugriff auf die REST-API nur für bestimmte Rollen oder nur für bestimmte Namespaces zulassen . Indem Sie länderbasierte Zugriffsregeln konfigurieren, können Sie den Zugriff auf die REST-API oder XML-RPC für eine Liste von Ländern zulassen oder verweigern.