Bezproblemowe zarządzanie hasłami do aplikacji WordPress

English version: Managing WordPress application passwords a hassle-free way

Używanie haseł aplikacji jako środka bezpieczeństwa zostało wprowadzone w WordPress 5.6. Ta funkcja umożliwia Tobie i Twoim użytkownikom generowanie i używanie oddzielnych haseł do uzyskiwania dostępu do interfejsów API witryny, takich jak REST API . Wtyczka WP Cerber zapewnia zestaw narzędzi do zarządzania hasłami do aplikacji w efektywny i bezpieczny sposób. W tym artykule pokażemy również, jak monitorować użycie haseł do aplikacji i jak otrzymywać powiadomienia, gdy użytkownik je utworzy.

Musimy kontrolować hasła do aplikacji

Chociaż używanie haseł aplikacji stanowi dodatkową barierę bezpieczeństwa, domyślna implementacja haseł aplikacji WordPress jest minimalistyczna i ma następujące problemy.

• Hasła aplikacji nie chronią przed atakami typu brute-force
• Nie mamy możliwości wyłączania ani włączania haseł dla określonej roli użytkownika
• Standardowych, interaktywnych haseł użytkowników można nadal używać do uzyskiwania dostępu do interfejsów API witryny.
• Nie mamy kontroli nad wykorzystaniem haseł ze względu na brak logowania

Wyłączanie haseł aplikacji

Jeśli chcesz całkowicie wyłączyć hasła aplikacji w swoim WordPressie, ustaw ustawienie „Hasła aplikacji” na „Wyłączone”. To ustawienie znajduje się w menu administratora „Zasady użytkownika” na karcie „Globalne”. Po aktywacji użytkownicy nie będą już mogli tworzyć nowych haseł ani używać haseł wygenerowanych wcześniej. Aby uzyskać informacje na temat zaawansowanego zarządzania, przeczytaj resztę artykułu.

Użyj WP Cerber do zarządzania hasłami do aplikacji

Wszystkie ustawienia znajdują się w menu administratora „Zasady użytkownika”. Aby skonfigurować użycie haseł do aplikacji dla wszystkich użytkowników w Twojej witrynie, przejdź do zakładki „Globalne”. Aby skonfigurować ustawienie dla każdej roli użytkownika osobno, przejdź do zakładki „Oparte na rolach”. Ustawienia skonfigurowane dla roli mają wyższy priorytet.

Ustawienie WP Cerber, które musisz skonfigurować, nosi nazwę „Hasła aplikacji”

Managing WordPress application passwords with WP Cerber

Domyślną wartością tego ustawienia jest zezwolenie na użycie haseł aplikacji w sposób, w jaki jest to zaimplementowane w WordPress. Wiąże się to z używaniem zarówno tradycyjnych haseł (używanych przez użytkowników do logowania się do Twojej witryny za pomocą formularza logowania), jak i haseł aplikacji podczas uzyskiwania dostępu do interfejsów API witryny. Ustawienie w tym przypadku to „Włączone, dostęp do interfejsu API przy użyciu standardowych haseł użytkownika jest dozwolony” .

Bardziej bezpiecznym, zaawansowanym i zalecanym sposobem korzystania z haseł do aplikacji jest zezwolenie na dostęp do interfejsów API witryny przy użyciu wyłącznie haseł do aplikacji. W takim przypadku tradycyjne interaktywne hasła nie mogą być używane podczas uzyskiwania dostępu do interfejsów API witryny, nawet jeśli określone hasło jest ważne. Wszelkie próby uzyskania dostępu do interfejsów API będą odrzucane. Aby to osiągnąć, wybierz „Włączone, brak dostępu do API przy użyciu standardowych haseł użytkownika” .

Ostatnim i prostym sposobem radzenia sobie z hasłami do aplikacji jest wyłączenie ich za pomocą ustawienia „Wyłącz” .

Skonfiguruj ustawienia dla określonej roli użytkownika

Wszystkie ustawienia skonfigurowane dla roli mają wyższy priorytet niż ustawienia globalne. Możesz więc globalnie wyłączyć używanie haseł do aplikacji dla wszystkich użytkowników i włączyć je tylko dla określonej roli.

Domyślną wartością dla wszystkich ról jest użycie ustawień globalnych skonfigurowanych na karcie „Globalne”. W ustawieniach roli ta opcja nosi nazwę „Użyj zasad globalnych”. Oznacza to, że ustawienie roli dziedziczy wszystkie zmiany wprowadzone w ustawieniach globalnych.

Jeśli wybierzesz opcję inną niż „Użyj zasad globalnych”, ta wybrana opcja będzie miała wpływ na rolę, a nie na ustawienie skonfigurowane na karcie „Globalne”.

Uwaga: ustawienia oparte na rolach są dostępne w profesjonalnej wersji WP Cerber .

Jak monitorować użycie hasła aplikacji

WP Cerber dodaje dwie nowe kolumny do list haseł aplikacji użytkowników na ich stronach profilowych na pulpicie nawigacyjnym WordPress. Korzystając z łączy w tych kolumnach, możesz sprawdzić dziennik aktywności. Łącza w kolumnie „Autoryzowane” prowadzą do wszystkich zarejestrowanych zdarzeń użycia haseł do aplikacji przez użytkownika. Łącza w kolumnie „Autoryzacja nie powiodła się” prowadzą do wszystkich nieudanych prób użycia interfejsów API witryny, gdy używana była nazwa użytkownika lub adres e-mail.

Monitoring the usage of application passwords with WP Cerber

Jak otrzymywać powiadomienia, gdy użytkownik utworzy nowe hasło

Na stronie administratora dziennika aktywności możesz włączyć wysyłanie wiadomości e-mail lub powiadomienia mobilnego, gdy dowolny użytkownik lub określony użytkownik utworzy nowe hasło do aplikacji. Przejdź do dziennika aktywności, wybierz opcję „Utworzono hasło aplikacji użytkownika” z pierwszego wyboru nad tabelą i kliknij opcję Filtruj . Teraz, aby włączyć powiadomienia, musisz kliknąć przycisk „Utwórz powiadomienie” po prawej stronie. Aby skonfigurować adres e-mail lub urządzenie mobilne do otrzymywania powiadomień, przejdź do zakładki „Powiadomienia”.

Przeczytaj więcej o tym, jak skonfigurować dowolne potrzebne powiadomienie: Proste powiadomienia WordPress.

Jak ograniczyć dostęp do REST API i XML-RPC

WP Cerber oferuje kilka opcji ograniczania dostępu i możesz skonfigurować dowolną ich kombinację. Możesz całkowicie zablokować dostęp do tych interfejsów API, wyłączając je; możesz zezwolić lub zablokować dostęp do tych interfejsów API z określonych adresów IP za pomocą list dostępu IP . Dodatkowo możesz zezwolić na dostęp do REST API dla określonych ról lub tylko do określonych przestrzeni nazw . Konfigurując reguły dostępu oparte na krajach, można zezwolić lub odmówić dostępu do REST API lub XML-RPC według listy krajów.