Security Blog
Posted By Gregory

Problemlose Verwaltung von WordPress-Anwendungskennwörtern

English version: Managing WordPress application passwords a hassle-free way


Die Verwendung von Anwendungskennwörtern als Sicherheitsmaßnahme wurde in WordPress 5.6 eingeführt. Diese Funktion ermöglicht es Ihnen und Ihren Benutzern, separate Kennwörter für den Zugriff auf Website-APIs wie die REST-API zu generieren und zu verwenden. Das WP Cerber-Plugin bietet eine Reihe von Tools zur effektiven und sicheren Verwaltung von Anwendungskennwörtern. In diesem Artikel zeigen wir Ihnen außerdem, wie Sie die Verwendung von Anwendungskennwörtern überwachen und benachrichtigt werden, wenn ein Benutzer ein neues erstellt.

Wir müssen Anwendungspasswörter kontrollieren

Obwohl die Verwendung von Anwendungskennwörtern eine zusätzliche Sicherheitsbarriere darstellt, ist die standardmäßige WordPress-Implementierung von Anwendungskennwörtern minimalistisch und weist die folgenden Probleme auf.

  • Anwendungskennwörter bieten keinen Schutz vor Brute-Force-Angriffen

  • Wir haben keine Möglichkeit, Passwörter für eine bestimmte Benutzerrolle zu deaktivieren oder zu aktivieren

  • Für den Zugriff auf Website-APIs können weiterhin standardmäßige interaktive Benutzerkennwörter verwendet werden.

  • Wir haben keine Kontrolle über die Verwendung von Passwörtern aufgrund fehlender Protokollierung

Deaktivieren von Anwendungskennwörtern

Wenn Sie Anwendungskennwörter in Ihrem WordPress vollständig deaktivieren möchten, setzen Sie die Einstellung „Anwendungskennwörter“ auf „Deaktiviert“. Diese Einstellung finden Sie im Admin-Menü „Benutzerrichtlinien“ auf der Registerkarte „Global“. Sobald diese Einstellung aktiviert ist, können Benutzer keine neuen Passwörter mehr erstellen und keine zuvor generierten Passwörter mehr verwenden. Weitere Informationen zur erweiterten Verwaltung finden Sie im Rest des Artikels.

Verwenden Sie WP Cerber, um Anwendungskennwörter zu verwalten

Alle Einstellungen finden Sie im Admin-Menü „Benutzerrichtlinien“. Um die Verwendung von Anwendungskennwörtern für alle Benutzer Ihrer Website zu konfigurieren, wechseln Sie zum Reiter „Global“. Um die Einstellungen für jede Benutzerrolle separat zu konfigurieren, wechseln Sie zum Reiter „Rollenbasiert“. Die für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität.

Die WP Cerber-Einstellung, die Sie konfigurieren müssen, heißt "Anwendungskennwörter".

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Der Standardwert dieser Einstellung erlaubt die Verwendung von Anwendungskennwörtern, wie sie in WordPress implementiert ist. Dies bedeutet, dass sowohl herkömmliche Passwörter (die Benutzer über ein Anmeldeformular für Ihre Website verwenden) als auch Anwendungskennwörter für den Zugriff auf Website-APIs verwendet werden. Die Einstellung lautet in diesem Fall „Aktiviert, Zugriff auf die API mit Standardbenutzerkennwörtern ist erlaubt“ .

Eine sicherere, erweiterte und empfohlene Methode zur Verwendung von Anwendungskennwörtern besteht darin, den Zugriff auf Website-APIs ausschließlich über Anwendungskennwörter zuzulassen. In diesem Fall können herkömmliche interaktive Kennwörter für den Zugriff auf Website-APIs nicht verwendet werden, selbst wenn das angegebene gültig ist. Jeder Zugriffsversuch auf APIs wird abgelehnt. Wählen Sie dazu „Aktiviert, kein Zugriff auf APIs mit Standardbenutzerkennwörtern“ aus.

Die letzte und unkomplizierte Möglichkeit, mit Anwendungskennwörtern umzugehen, besteht darin, sie mit der Einstellung „Deaktivieren“ zu deaktivieren.

Konfigurieren von Einstellungen für eine bestimmte Benutzerrolle

Alle für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität als die globalen. Sie können daher die Verwendung von Anwendungskennwörtern global für alle Benutzer deaktivieren und nur für eine bestimmte Rolle aktivieren.

Standardmäßig werden für alle Rollen die globalen Einstellungen auf der Registerkarte „Global“ verwendet. In den Rolleneinstellungen heißt diese Option „Globale Richtlinien verwenden“. Das bedeutet, dass die Rolleneinstellungen alle Änderungen an den globalen Einstellungen übernehmen.

Wenn Sie eine andere Option als „Globale Richtlinien verwenden“ auswählen, wirkt sich diese ausgewählte Option auf die Rolle aus und nicht auf eine auf der Registerkarte „Global“ konfigurierte Einstellung.

Hinweis: Die rollenbasierten Einstellungen sind in der professionellen Version von WP Cerber verfügbar.

So überwachen Sie die Verwendung von Anwendungskennwörtern

WP Cerber fügt den Listen der Anwendungskennwörter der Benutzer auf ihren Profilseiten im WordPress-Dashboard zwei neue Spalten hinzu. Mithilfe der Links in diesen Spalten können Sie das Aktivitätsprotokoll überprüfen. Die Links in der Spalte „Autorisiert“ führen Sie zu allen protokollierten Ereignissen der Verwendung von Anwendungskennwörtern durch den Benutzer. Die Links in der Spalte „Autorisierung fehlgeschlagen“ führen Sie zu allen fehlgeschlagenen Versuchen, Website-APIs zu verwenden, wenn der Benutzername oder die E-Mail-Adresse des Benutzers verwendet wurde.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

So werden Sie benachrichtigt, wenn ein Benutzer ein neues Passwort erstellt

Auf der Verwaltungsseite des Aktivitätsprotokolls können Sie den Versand einer E-Mail oder einer mobilen Benachrichtigung aktivieren, wenn ein Benutzer oder eine bestimmte Person ein neues Anwendungskennwort erstellt. Gehen Sie zum Aktivitätsprotokoll, wählen Sie „Benutzeranwendungskennwort erstellt“ aus der ersten Auswahl über der Tabelle und klicken Sie auf „Filter“ . Um Benachrichtigungen zu aktivieren, klicken Sie rechts auf „Benachrichtigung erstellen“ . Um die E-Mail-Adresse oder das Mobilgerät für Benachrichtigungen zu konfigurieren, wechseln Sie zur Registerkarte „Benachrichtigungen“.

Lesen Sie weiter, um mehr darüber zu erfahren, wie Sie alle benötigten Benachrichtigungen konfigurieren: WordPress-Benachrichtigungen leicht gemacht.

So beschränken Sie den Zugriff auf REST API und XML-RPC

WP Cerber bietet verschiedene Optionen zur Zugriffsbeschränkung, die Sie beliebig kombinieren können. Sie können den Zugriff auf diese APIs vollständig blockieren, indem Sie sie deaktivieren. Mithilfe von IP-Zugriffslisten können Sie den Zugriff auf diese APIs von bestimmten IP-Adressen aus zulassen oder blockieren. Darüber hinaus können Sie den Zugriff auf die REST-API nur für bestimmte Rollen oder Namespaces zulassen . Durch die Konfiguration länderbasierter Zugriffsregeln können Sie den Zugriff auf die REST-API oder XML-RPC für eine Länderliste zulassen oder verweigern.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.