Security Blog

WordPress-Anwendung Verwalten von Passwörtern eine problemlose Möglichkeit,


English version: Managing WordPress application passwords a hassle-free way


Die Verwendung von Anwendungskennwörtern als Sicherheitsmaßnahme wurde in WordPress 5.6 eingeführt. Mit dieser Funktion können Sie und Ihre Benutzer separate Kennwörter für den Zugriff auf Website-APIs wie die REST-API generieren und verwenden. Das WP Cerber-Plugin bietet eine Reihe von Tools zur effektiven und sicheren Verwaltung von Anwendungskennwörtern. In diesem Artikel zeigen wir Ihnen auch, wie Sie die Verwendung von Anwendungskennwörtern überwachen und benachrichtigt werden, wenn ein Benutzer eines erstellt.

Wir müssen Anwendungskennwörter kontrollieren

Obwohl die Verwendung von Anwendungskennwörtern eine zusätzliche Sicherheitsbarriere mit sich bringt, ist die Standard-WordPress-Implementierung von Anwendungskennwörtern minimalistisch und weist die folgenden Probleme auf.

  • Anwendungskennwörter bieten keinen Schutz vor Brute-Force-Angriffen
  • Wir können keine Kennwörter für eine bestimmte Benutzerrolle deaktivieren oder aktivieren
  • Standardmäßige interaktive Benutzerkennwörter können weiterhin für den Zugriff auf Website-APIs verwendet werden.
  • Wir haben keine Kontrolle über die Verwendung von Passwörtern, da keine Protokollierung vorhanden ist

Anwendungskennwörter deaktivieren

Wenn Sie Anwendungskennwörter in WordPress vollständig deaktivieren möchten, setzen Sie die Einstellung "Anwendungskennwörter" auf "Deaktiviert". Diese Einstellung befindet sich im Administratormenü "Benutzerrichtlinien" auf der Registerkarte "Global". Sobald es aktiviert ist, können Benutzer keine neuen Kennwörter mehr erstellen und keine der zuvor generierten Kennwörter verwenden. Lesen Sie für eine erweiterte Verwaltung den Rest des Artikels.

Verwenden Sie WP Cerber, um Anwendungskennwörter zu verwalten

Alle Einstellungen befinden sich im Admin-Menü "Benutzerrichtlinien". Wechseln Sie zur Registerkarte "Global", um die Verwendung von Anwendungskennwörtern für alle Benutzer Ihrer Website zu konfigurieren. Um die Einstellung für jede Benutzerrolle separat zu konfigurieren, wechseln Sie zur Registerkarte "Rollenbasiert". Die für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität.

Die zu konfigurierende WP Cerber-Einstellung heißt "Anwendungskennwörter".

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Der Standardwert der Einstellung ist, die Verwendung der Anwendungskennwörter so zuzulassen, wie sie in WordPress implementiert sind. Dies bedeutet, dass beim Zugriff auf Website-APIs sowohl herkömmliche Kennwörter (mit denen sich Benutzer über ein Anmeldeformular bei Ihrer Website anmelden) als auch Anwendungskennwörter verwendet werden. Die Einstellung in diesem Fall lautet "Aktiviert, Zugriff auf API unter Verwendung von Standardbenutzerkennwörtern ist zulässig" .

Eine sicherere, erweiterte und empfohlene Methode zur Verwendung von Anwendungskennwörtern besteht darin, den Zugriff auf Website-APIs nur über Anwendungskennwörter zu ermöglichen. In diesem Fall können herkömmliche interaktive Kennwörter beim Zugriff auf Website-APIs nicht verwendet werden, selbst wenn das angegebene gültig ist. Jeder Versuch, Zugriff auf APIs zu erhalten, wird abgelehnt. Um dies zu erreichen, wählen Sie "Aktiviert, kein Zugriff auf API unter Verwendung von Standardbenutzerkennwörtern" .

Die letzte und unkomplizierte Möglichkeit, mit Anwendungskennwörtern umzugehen, besteht darin, sie mit der Einstellung "Deaktivieren" zu deaktivieren.

Konfigurieren Sie Einstellungen für eine bestimmte Benutzerrolle

Alle für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität als die globalen. Sie können die Verwendung von Anwendungskennwörtern global für alle Benutzer deaktivieren und sie nur für eine bestimmte Rolle aktivieren.

Der Standardwert für alle Rollen ist die Verwendung globaler Einstellungen, die auf der Registerkarte "Global" konfiguriert wurden. In den Rolleneinstellungen heißt diese Option "Globale Richtlinien verwenden". Dies bedeutet, dass die Rolleneinstellung alle an den globalen Einstellungen vorgenommenen Änderungen erbt.

Wenn Sie eine andere Option als die Option "Globale Richtlinien verwenden" auswählen, wirkt sich diese ausgewählte Option auf die Rolle aus und nicht auf eine Einstellung, die auf der Registerkarte "Global" konfiguriert ist.

Hinweis: Die rollenbasierten Einstellungen sind in der professionellen Version von WP Cerber verfügbar .

So überwachen Sie die Verwendung des Anwendungskennworts

WP Cerber fügt zwei neue Spalten zu den Listen der Anwendungskennwörter der Benutzer auf ihren Profilseiten im WordPress-Dashboard hinzu. Mithilfe von Links in diesen Spalten können Sie das Aktivitätsprotokoll überprüfen. Die Spaltenlinks "Autorisiert" navigieren Sie zu allen protokollierten Ereignissen, bei denen der Benutzer Anwendungskennwörter verwendet. Über die Links in der Spalte "Autorisierung fehlgeschlagen" gelangen Sie zu allen fehlgeschlagenen Versuchen, Website-APIs zu verwenden, wenn der Benutzername oder die E-Mail-Adresse des Benutzers verwendet wurde.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

So werden Sie benachrichtigt, wenn ein Benutzer ein neues Kennwort erstellt

Auf der Aktivitätsprotokoll-Administrationsseite können Sie das Senden einer E-Mail oder einer mobilen Benachrichtigung aktivieren, wenn ein oder ein bestimmter Benutzer ein neues Anwendungskennwort erstellt. Gehen Sie zum Aktivitätsprotokoll, wählen Sie "Benutzeranwendungskennwort erstellt" aus der ersten Auswahl über der Tabelle und klicken Sie auf " Filter" . Um Benachrichtigungen zu aktivieren, müssen Sie jetzt rechts auf die Schaltfläche "Benachrichtigung erstellen" klicken. Um die E-Mail-Adresse oder das mobile Gerät für Benachrichtigungen zu konfigurieren, wechseln Sie zur Registerkarte "Benachrichtigungen".

Bitte lesen Sie mehr darüber, wie Sie alle benötigten Benachrichtigungen konfigurieren können: WordPress-Benachrichtigungen leicht gemacht.

So beschränken Sie den Zugriff auf REST-API und XML-RPC

WP Cerber bietet verschiedene Optionen, um den Zugriff einzuschränken, und Sie können eine beliebige Kombination davon konfigurieren. Sie können den Zugriff auf diese APIs vollständig blockieren, indem Sie sie deaktivieren. Sie können den Zugriff auf diese APIs von bestimmten IP-Adressen aus mithilfe von IP-Zugriffslisten zulassen oder blockieren. Darüber hinaus können Sie den Zugriff auf die REST-API nur für bestimmte Rollen oder nur für bestimmte Namespaces zulassen . Durch Konfigurieren länderbasierter Zugriffsregeln können Sie den Zugriff auf die REST-API oder XML-RPC über eine Liste von Ländern zulassen oder verweigern.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.