Security Blog
Posted By Gregory

Gestire le password delle applicazioni WordPress in modo semplice

English version: Managing WordPress application passwords a hassle-free way


L'utilizzo delle password delle applicazioni come misura di sicurezza è stato introdotto in WordPress 5.6. Questa funzione consente a te e ai tuoi utenti di generare e utilizzare password separate per l'accesso alle API del sito Web come l' API REST . Il plug-in WP Cerber offre una serie di strumenti per gestire le password delle applicazioni in modo efficace e sicuro. In questo articolo, ti mostreremo anche come monitorare l'utilizzo delle password delle applicazioni e come ricevere una notifica quando un utente ne crea una.

Dobbiamo controllare le password delle applicazioni

Sebbene l'utilizzo delle password delle applicazioni offra un'ulteriore barriera di sicurezza, l'implementazione predefinita di WordPress delle password delle applicazioni è minimalista e presenta i seguenti problemi.

  • Le password delle applicazioni non hanno alcuna protezione contro gli attacchi di forza bruta

  • Non abbiamo la possibilità di disabilitare o abilitare le password per un ruolo utente specifico

  • Le password utente standard e interattive possono ancora essere utilizzate per accedere alle API del sito web.

  • Non abbiamo alcun controllo sull'uso delle password a causa della mancanza di registrazione

Disabilitazione delle password dell'applicazione

Se desideri disabilitare completamente le password delle applicazioni su WordPress, imposta l'impostazione "Password applicazioni" su "Disabilitato". Questa impostazione si trova nel menu di amministrazione "Criteri utente" nella scheda "Globale". Una volta attivato, gli utenti non saranno più in grado di creare nuove password e utilizzare nessuna delle password generate in precedenza. Per una gestione avanzata, leggi il resto dell'articolo.

Usa WP Cerber per gestire le password delle applicazioni

Tutte le impostazioni si trovano nel menu di amministrazione "Criteri utente". Per configurare l'uso delle password dell'applicazione per tutti gli utenti del tuo sito web, passa alla scheda "Globale". Per configurare separatamente l'impostazione per ogni ruolo utente, passare alla scheda "Basato sui ruoli". Le impostazioni configurate per un ruolo hanno una priorità più alta.

L'impostazione WP Cerber che devi configurare è denominata "Application Passwords"

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Il valore predefinito dell'impostazione è consentire l'uso delle password dell'applicazione nel modo in cui è implementato in WordPress. Implica l'utilizzo sia delle password tradizionali (che gli utenti utilizzano per accedere al tuo sito Web tramite un modulo di accesso) sia delle password dell'applicazione quando accedono alle API del sito Web. L'impostazione in questo caso è "Abilitato, l'accesso all'API tramite password utente standard è consentito" .

Un modo più sicuro, avanzato e consigliato di utilizzare le password dell'applicazione consiste nel consentire l'accesso alle API del sito Web utilizzando solo le password dell'applicazione. In questo caso, le tradizionali password interattive non possono essere utilizzate quando si accede alle API del sito Web, anche se quella specificata è valida. Qualsiasi tentativo di ottenere l'accesso alle API verrà negato. Per ottenere ciò, seleziona "Abilitato, nessun accesso all'API utilizzando password utente standard" .

L'ultimo e semplice modo di gestire le password delle applicazioni è disabilitarle con l'impostazione impostata su "Disabilita" .

Configurare le impostazioni per un ruolo utente specifico

Tutte le impostazioni configurate per un ruolo hanno una priorità maggiore rispetto a quelle globali. Quindi puoi disabilitare l'utilizzo delle password dell'applicazione a livello globale per tutti gli utenti e abilitarle solo per un ruolo specifico.

Il valore predefinito per tutti i ruoli prevede l'utilizzo delle impostazioni globali configurate nella scheda "Globale". Nelle impostazioni del ruolo, questa opzione è denominata "Usa criteri globali". Ciò significa che l'impostazione del ruolo eredita tutte le modifiche apportate alle impostazioni globali.

Se selezioni un'opzione diversa dall'opzione "Usa criteri globali", l'opzione selezionata avrà effetto sul ruolo anziché su un'impostazione configurata nella scheda "Globale".

Nota: le impostazioni basate sui ruoli sono disponibili nella versione professionale di WP Cerber .

Come monitorare l'utilizzo della password dell'applicazione

WP Cerber aggiunge due nuove colonne agli elenchi delle password delle applicazioni degli utenti nelle loro pagine del profilo nella dashboard di WordPress. Utilizzando i collegamenti in queste colonne, puoi controllare il Registro attività. I collegamenti della colonna "Autorizzato" consentono di accedere a tutti gli eventi registrati relativi all'utilizzo delle password dell'applicazione da parte dell'utente. I collegamenti nella colonna "Autorizzazione fallita" consentono di accedere a tutti i tentativi falliti di utilizzare le API del sito Web quando il nome utente o l'e-mail dell'utente erano in uso.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Come ricevere una notifica quando un utente crea una nuova password

Nella pagina di amministrazione del registro attività è possibile abilitare l'invio di un'e-mail o di una notifica mobile quando un utente qualsiasi o uno specificato crea una nuova password dell'applicazione. Vai al Registro attività, seleziona "Password applicazione utente creata" dalla prima selezione sopra la tabella e fai clic su Filtro . Ora, per abilitare le notifiche, devi fare clic sul pulsante "Crea avviso" sulla destra. Per configurare l'indirizzo e-mail o il dispositivo mobile per le notifiche, passa alla scheda "Notifiche".

Leggi di più su come configurare qualsiasi notifica di cui hai bisogno: Notifiche di WordPress semplificate.

Come limitare l'accesso all'API REST e XML-RPC

WP Cerber offre diverse opzioni per limitare l'accesso e puoi configurarne qualsiasi combinazione. Puoi bloccare completamente l'accesso a queste API disabilitandole; è possibile consentire o bloccare l'accesso a queste API da specifici indirizzi IP utilizzando gli elenchi di accesso IP . Inoltre, puoi consentire l'accesso all'API REST per ruoli specifici o solo per spazi dei nomi specifici . Configurando le regole di accesso in base al paese, puoi consentire o negare l'accesso all'API REST o XML-RPC da un elenco di paesi.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.