Простое управление паролями приложений WordPress

English version: Managing WordPress application passwords a hassle-free way

Использование паролей приложений в качестве меры безопасности было введено в WordPress 5.6. Эта функция позволяет вам и вашим пользователям создавать и использовать отдельные пароли для доступа к API-интерфейсам веб-сайтов, таким как REST API . Плагин WP Cerber предоставляет набор инструментов для эффективного и безопасного управления паролями приложений. В этой статье мы также покажем вам, как контролировать использование паролей приложений и как получать уведомления, когда пользователь их создает.

Мы должны контролировать пароли приложений

Хотя использование паролей приложений создает дополнительный барьер безопасности, реализация паролей приложений по умолчанию в WordPress минималистична и имеет следующие проблемы.

• Пароли приложений не имеют защиты от взлома
• У нас нет возможности отключать или включать пароли для определенной роли пользователя.
• Стандартные интерактивные пароли пользователей по-прежнему можно использовать для доступа к API-интерфейсам веб-сайтов.
• Мы не контролируем использование паролей из-за отсутствия регистрации

Отключение паролей приложений

Если вы хотите полностью отключить пароли приложений в WordPress, установите для параметра «Пароли приложений» значение «Отключено». Этот параметр находится в административном меню «Пользовательские политики» на вкладке «Глобальные». После его активации пользователи больше не смогут создавать новые пароли и использовать пароли, созданные ранее. Для расширенного управления, пожалуйста, прочитайте остальную часть статьи.

Используйте WP Cerber для управления паролями приложений

Все настройки находятся в административном меню «Пользовательские политики». Чтобы настроить использование паролей приложений для всех пользователей вашего сайта, перейдите на вкладку «Глобальные». Чтобы настроить параметр для каждой роли пользователя отдельно, перейдите на вкладку «На основе ролей». Параметры, настроенные для роли, имеют более высокий приоритет.

Параметр WP Cerber, который необходимо настроить, называется «Пароли приложений».

Managing WordPress application passwords with WP Cerber

Значение параметра по умолчанию — разрешить использование паролей приложений так, как это реализовано в WordPress. Это подразумевает использование как традиционных паролей (которые пользователи используют для входа на ваш веб-сайт через форму входа), так и паролей приложений при доступе к API-интерфейсам веб-сайта. Настройка в данном случае «Включено, доступ к API с использованием стандартных паролей пользователей разрешен» .

Более безопасный, расширенный и рекомендуемый способ использования паролей приложений — разрешить доступ к API-интерфейсам веб-сайтов только с использованием паролей приложений. В этом случае традиционные интерактивные пароли нельзя использовать при доступе к API веб-сайта, даже если указанный пароль действителен. Любая попытка получить доступ к API будет отклонена. Для этого выберите «Включено, нет доступа к API с использованием стандартных паролей пользователей» .

Последний и простой способ работы с паролями приложений — отключить их с помощью параметра «Отключить» .

Настройка параметров для конкретной роли пользователя

Все настройки, настроенные для роли, имеют более высокий приоритет, чем глобальные. Таким образом, вы можете отключить использование паролей приложений глобально для всех пользователей и включить их только для определенной роли.

По умолчанию для всех ролей используются глобальные параметры, настроенные на вкладке «Глобальные». В настройках роли эта опция называется «Использовать глобальные политики». Это означает, что настройка роли наследует все изменения, внесенные в глобальные настройки.

Если вы выберете любой другой параметр, кроме «Использовать глобальные политики», этот выбранный параметр повлияет на роль вместо параметра, настроенного на вкладке «Глобальные».

Примечание: ролевые настройки доступны в профессиональной версии WP Cerber .

Как контролировать использование пароля приложения

WP Cerber добавляет два новых столбца в списки паролей приложений пользователей на страницах их профилей в панели инструментов WordPress. Используя ссылки в этих столбцах, вы можете проверить журнал активности. Ссылки в столбце «Авторизованные» позволяют перейти ко всем зарегистрированным событиям использования паролей приложений пользователем. Ссылки в столбце «Ошибка авторизации» позволяют перейти ко всем неудачным попыткам использовать API-интерфейсы веб-сайта, когда использовалось имя пользователя или адрес электронной почты.

Monitoring the usage of application passwords with WP Cerber

Как получать уведомления, когда пользователь создает новый пароль

На странице администрирования журнала действий вы можете включить отправку электронного письма или мобильного уведомления, когда любой или указанный пользователь создает новый пароль приложения. Перейдите в журнал активности, выберите «Пароль пользовательского приложения создан» из первого выбора над таблицей и нажмите « Фильтр ». Теперь, чтобы включить уведомления, нужно нажать кнопку «Создать оповещение» справа. Чтобы настроить адрес электронной почты или мобильное устройство для уведомлений, перейдите на вкладку «Уведомления».

Пожалуйста, прочитайте больше о том, как настроить любое уведомление, которое вам нужно: Уведомления WordPress стали проще.

Как ограничить доступ к REST API и XML-RPC

WP Cerber предлагает несколько вариантов ограничения доступа, и вы можете настроить любую их комбинацию. Вы можете полностью заблокировать доступ к этим API, отключив их; вы можете разрешить или заблокировать доступ к этим API с определенных IP-адресов с помощью списков доступа IP . Кроме того, вы можете разрешить доступ к REST API для определенных ролей или только для определенных пространств имен . Настроив правила доступа для страны, вы можете разрешить или запретить доступ к REST API или XML-RPC по списку стран.