Security Blog

Verwalten Sie problemlos die Passwörter Ihrer WordPress-Anwendung


English version: Managing WordPress application passwords a hassle-free way


Die Verwendung von Anwendungskennwörtern als Sicherheitsmaßnahme wurde in WordPress 5.6 eingeführt. Mit dieser Funktion können Sie und Ihre Benutzer separate Kennwörter für den Zugriff auf Website-APIs wie REST API generieren und verwenden. Das WP Cerber-Plugin bietet eine Reihe von Tools zur effektiven und sicheren Verwaltung von Anwendungskennwörtern. In diesem Artikel zeigen wir Ihnen auch, wie Sie die Verwendung von Anwendungskennwörtern überwachen und benachrichtigt werden, wenn ein Benutzer ein solches erstellt.

Wir müssen Anwendungspasswörter kontrollieren

Obwohl die Verwendung von Anwendungskennwörtern ein zusätzliches Sicherheitshindernis darstellt, ist die standardmäßige WordPress-Implementierung von Anwendungskennwörtern minimalistisch und weist die folgenden Probleme auf.

  • Anwendungskennwörter bieten keinen Schutz vor Brute-Force-Angriffen
  • Wir haben keine Möglichkeit, Passwörter für eine bestimmte Benutzerrolle zu deaktivieren oder zu aktivieren
  • Für den Zugriff auf Website-APIs können weiterhin standardmäßige interaktive Benutzerkennwörter verwendet werden.
  • Wir haben keine Kontrolle über die Verwendung von Passwörtern aufgrund fehlender Protokollierung

Deaktivieren von Anwendungskennwörtern

Wenn Sie Anwendungskennwörter in Ihrem WordPress vollständig deaktivieren möchten, setzen Sie die Einstellung „Anwendungskennwörter“ auf „Deaktiviert“. Diese Einstellung befindet sich im Administratormenü „Benutzerrichtlinien“ auf der Registerkarte „Global“. Sobald sie aktiviert ist, können Benutzer keine neuen Kennwörter mehr erstellen und keine zuvor generierten Kennwörter mehr verwenden. Weitere Informationen zur erweiterten Verwaltung finden Sie im Rest des Artikels.

Verwenden Sie WP Cerber, um Anwendungskennwörter zu verwalten

Alle Einstellungen finden Sie im Admin-Menü „Benutzerrichtlinien“. Um die Verwendung von Anwendungskennwörtern für alle Benutzer Ihrer Website zu konfigurieren, wechseln Sie zur Registerkarte „Global“. Um die Einstellung für jede Benutzerrolle separat zu konfigurieren, wechseln Sie zur Registerkarte „Rollenbasiert“. Die für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität.

Die WP Cerber-Einstellung, die Sie konfigurieren müssen, heißt "Anwendungskennwörter".

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Der Standardwert der Einstellung erlaubt die Verwendung von Anwendungskennwörtern, so wie es in WordPress implementiert ist. Dies bedeutet, dass beim Zugriff auf Website-APIs sowohl herkömmliche Kennwörter (die Benutzer verwenden, um sich über ein Anmeldeformular bei Ihrer Website anzumelden) als auch Anwendungskennwörter verwendet werden. Die Einstellung in diesem Fall lautet „Aktiviert, Zugriff auf API mit Standardbenutzerkennwörtern ist zulässig“ .

Eine sicherere, fortgeschrittenere und empfohlene Methode zur Verwendung von Anwendungskennwörtern besteht darin, den Zugriff auf Website-APIs nur mit Anwendungskennwörtern zuzulassen. In diesem Fall können beim Zugriff auf Website-APIs keine herkömmlichen interaktiven Kennwörter verwendet werden, selbst wenn das angegebene gültig ist. Jeder Versuch, auf APIs zuzugreifen, wird abgelehnt. Wählen Sie dazu „Aktiviert, kein Zugriff auf API mit Standardbenutzerkennwörtern“ aus.

Die letzte und unkomplizierte Möglichkeit, mit Anwendungskennwörtern umzugehen, besteht darin, sie mit der Einstellung „Deaktivieren“ zu deaktivieren.

Konfigurieren von Einstellungen für eine bestimmte Benutzerrolle

Alle für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität als die globalen. Sie können die Verwendung von Anwendungskennwörtern daher global für alle Benutzer deaktivieren und nur für eine bestimmte Rolle aktivieren.

Der Standardwert für alle Rollen besteht darin, globale Einstellungen zu verwenden, die auf der Registerkarte „Global“ konfiguriert sind. In den Rolleneinstellungen heißt diese Option „Globale Richtlinien verwenden“. Dies bedeutet, dass die Einstellung der Rolle alle an den globalen Einstellungen vorgenommenen Änderungen übernimmt.

Wenn Sie eine andere Option als „Globale Richtlinien verwenden“ auswählen, wirkt sich diese ausgewählte Option auf die Rolle aus und nicht auf eine auf der Registerkarte „Global“ konfigurierte Einstellung.

Hinweis: Die rollenbasierten Einstellungen sind in der professionellen Version von WP Cerber verfügbar.

So überwachen Sie die Verwendung von Anwendungskennwörtern

WP Cerber fügt den Listen der Anwendungskennwörter der Benutzer auf ihren Profilseiten im WordPress-Dashboard zwei neue Spalten hinzu. Mithilfe der Links in diesen Spalten können Sie das Aktivitätsprotokoll überprüfen. Die Links in der Spalte „Autorisiert“ führen Sie zu allen protokollierten Ereignissen der Verwendung von Anwendungskennwörtern durch den Benutzer. Die Links in der Spalte „Autorisierung fehlgeschlagen“ führen Sie zu allen fehlgeschlagenen Versuchen, Website-APIs zu verwenden, wenn der Benutzername oder die E-Mail-Adresse des Benutzers verwendet wurde.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

So werden Sie benachrichtigt, wenn ein Benutzer ein neues Passwort erstellt

Auf der Administratorseite des Aktivitätsprotokolls können Sie das Senden einer E-Mail oder einer mobilen Benachrichtigung aktivieren, wenn ein beliebiger oder ein bestimmter Benutzer ein neues Anwendungskennwort erstellt. Gehen Sie zum Aktivitätsprotokoll, wählen Sie „Benutzeranwendungskennwort erstellt“ aus der ersten Auswahl über der Tabelle und klicken Sie auf Filter . Um Benachrichtigungen zu aktivieren, müssen Sie nun rechts auf die Schaltfläche „Benachrichtigung erstellen“ klicken. Um die E-Mail-Adresse oder das mobile Gerät für Benachrichtigungen zu konfigurieren, wechseln Sie zur Registerkarte „Benachrichtigungen“.

Lesen Sie weiter, um mehr darüber zu erfahren, wie Sie alle benötigten Benachrichtigungen konfigurieren: WordPress-Benachrichtigungen leicht gemacht.

So beschränken Sie den Zugriff auf REST API und XML-RPC

WP Cerber bietet mehrere Optionen zur Zugriffsbeschränkung und Sie können jede beliebige Kombination davon konfigurieren. Sie können den Zugriff auf diese APIs vollständig blockieren, indem Sie sie deaktivieren. Sie können den Zugriff auf diese APIs von bestimmten IP-Adressen aus zulassen oder blockieren, indem Sie IP-Zugriffslisten verwenden. Darüber hinaus können Sie den Zugriff auf die REST-API nur für bestimmte Rollen oder für bestimmte Namespaces zulassen . Indem Sie länderbasierte Zugriffsregeln konfigurieren, können Sie den Zugriff auf die REST-API oder XML-RPC für eine Liste von Ländern zulassen oder verweigern.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.