Security Blog
Posted By Gregory

WordPress-Anwendungspasswörter problemlos verwalten

English version: Managing WordPress application passwords a hassle-free way


Die Verwendung von Anwendungspasswörtern als Sicherheitsmaßnahme wurde in WordPress 5.6 eingeführt. Diese Funktion ermöglicht es Ihnen und Ihren Nutzern, separate Passwörter für den Zugriff auf Website-APIs wie die REST-API zu generieren und zu verwenden. Das WP Cerber-Plugin bietet eine Reihe von Tools zur effektiven und sicheren Verwaltung von Anwendungspasswörtern. In diesem Artikel zeigen wir Ihnen außerdem, wie Sie die Verwendung von Anwendungspasswörtern überwachen und benachrichtigt werden, wenn ein Nutzer ein Passwort erstellt.

Wir müssen die Anwendungspasswörter kontrollieren.

Obwohl die Verwendung von Anwendungspasswörtern eine zusätzliche Sicherheitsbarriere darstellt, ist die Standardimplementierung von Anwendungspasswörtern in WordPress minimalistisch und weist folgende Probleme auf.

  • Anwendungspasswörter bieten keinen Schutz vor Brute-Force-Angriffen.

  • Wir haben keine Möglichkeit, Passwörter für eine bestimmte Benutzerrolle zu deaktivieren oder zu aktivieren.

  • Standardmäßige, interaktive Benutzerpasswörter können weiterhin für den Zugriff auf Website-APIs verwendet werden.

  • Aufgrund fehlender Protokollierung haben wir keine Kontrolle über die Verwendung von Passwörtern.

Anwendungspasswörter deaktivieren

Um Anwendungspasswörter in Ihrer WordPress-Installation vollständig zu deaktivieren, setzen Sie die Einstellung „Anwendungspasswörter“ auf „Deaktiviert“. Diese Einstellung finden Sie im Admin-Menü „Benutzerrichtlinien“ auf der Registerkarte „Global“. Nach der Aktivierung können Benutzer keine neuen Passwörter mehr erstellen und bereits generierte Passwörter nicht mehr verwenden. Weitere Informationen zur Verwaltung finden Sie im restlichen Artikel.

Verwenden Sie WP Cerber zur Verwaltung von Anwendungspasswörtern.

Alle Einstellungen finden Sie im Administratormenü „Benutzerrichtlinien“. Um die Verwendung von Anwendungspasswörtern für alle Benutzer Ihrer Website zu konfigurieren, wechseln Sie zum Tab „Global“. Um die Einstellungen für jede Benutzerrolle separat zu konfigurieren, wechseln Sie zum Tab „Rollenbasiert“. Die für eine Rolle konfigurierten Einstellungen haben höhere Priorität.

Die WP Cerber-Einstellung, die Sie konfigurieren müssen, heißt „Anwendungspasswörter“.

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Die Standardeinstellung erlaubt die Verwendung von Anwendungspasswörtern gemäß der WordPress-Implementierung. Das bedeutet, dass sowohl herkömmliche Passwörter (die Benutzer für die Anmeldung auf Ihrer Website über ein Anmeldeformular verwenden) als auch Anwendungspasswörter für den Zugriff auf Website-APIs verwendet werden. Die Einstellung lautet in diesem Fall: „Aktiviert, Zugriff auf die API mit Standardbenutzerpasswörtern ist erlaubt“ .

Eine sicherere, fortschrittlichere und empfohlene Methode zur Verwendung von Anwendungspasswörtern besteht darin, den Zugriff auf Website-APIs ausschließlich über Anwendungspasswörter zu erlauben. In diesem Fall können herkömmliche interaktive Passwörter für den Zugriff auf Website-APIs nicht verwendet werden, selbst wenn das angegebene Passwort gültig ist. Jeder Zugriffsversuch auf die APIs wird verweigert. Um dies zu erreichen, wählen Sie „Aktiviert, kein Zugriff auf die API mit Standardbenutzerpasswörtern“ .

Die letzte und unkomplizierte Möglichkeit, mit Anwendungspasswörtern umzugehen, besteht darin, sie durch Setzen der Einstellung auf „Deaktivieren“ zu deaktivieren.

Einstellungen für eine bestimmte Benutzerrolle konfigurieren

Alle für eine Rolle konfigurierten Einstellungen haben eine höhere Priorität als die globalen Einstellungen. So können Sie die Verwendung von Anwendungspasswörtern global für alle Benutzer deaktivieren und sie nur für eine bestimmte Rolle aktivieren.

Standardmäßig werden für alle Rollen die globalen Einstellungen verwendet, die auf der Registerkarte „Global“ konfiguriert sind. In den Rolleneinstellungen heißt diese Option „Globale Richtlinien verwenden“. Das bedeutet, dass die Rolleneinstellungen alle Änderungen übernehmen, die an den globalen Einstellungen vorgenommen wurden.

Wenn Sie eine andere Option als „Globale Richtlinien verwenden“ auswählen, wirkt sich die ausgewählte Option auf die Rolle aus und nicht auf eine Einstellung, die auf der Registerkarte „Global“ konfiguriert ist.

Hinweis: Die rollenbasierten Einstellungen sind in der Professional-Version von WP Cerber verfügbar.

Wie man die Nutzung von Anwendungspasswörtern überwacht

WP Cerber fügt den Benutzerprofilen im WordPress-Dashboard zwei neue Spalten mit den Anwendungspasswörtern hinzu. Über die Links in diesen Spalten können Sie das Aktivitätsprotokoll einsehen. Die Links in der Spalte „Autorisiert“ führen Sie zu allen protokollierten Ereignissen, bei denen der Benutzer Anwendungspasswörter verwendet hat. Die Links in der Spalte „Autorisierung fehlgeschlagen“ führen Sie zu allen fehlgeschlagenen Versuchen, die Website-APIs zu nutzen, als der Benutzername oder die E-Mail-Adresse des Benutzers bereits verwendet wurde.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Wie kann man benachrichtigt werden, wenn ein Benutzer ein neues Passwort erstellt?

Auf der Administrationsseite des Aktivitätsprotokolls können Sie den Versand einer E-Mail oder einer mobilen Benachrichtigung aktivieren, wenn ein beliebiger oder ein bestimmter Benutzer ein neues Anwendungspasswort erstellt. Gehen Sie zum Aktivitätsprotokoll, wählen Sie im ersten Auswahlfeld über der Tabelle „Benutzer-Anwendungspasswort erstellt“ aus und klicken Sie auf „Filter“ . Um Benachrichtigungen zu aktivieren, klicken Sie rechts auf die Schaltfläche „Benachrichtigung erstellen“ . Um die E-Mail-Adresse oder das Mobilgerät für Benachrichtigungen zu konfigurieren, wechseln Sie zum Tab „Benachrichtigungen“.

Weitere Informationen zur Konfiguration der gewünschten Benachrichtigungen finden Sie hier: WordPress-Benachrichtigungen leicht gemacht.

Wie man den Zugriff auf REST-API und XML-RPC einschränkt

WP Cerber bietet verschiedene Optionen zur Zugriffsbeschränkung, die sich beliebig kombinieren lassen. Sie können den Zugriff auf diese APIs vollständig blockieren, indem Sie sie deaktivieren. Mithilfe von IP-Zugriffslisten können Sie den Zugriff auf diese APIs von bestimmten IP-Adressen aus erlauben oder sperren. Darüber hinaus können Sie den Zugriff auf die REST-API nur für bestimmte Rollen oder bestimmte Namensräume zulassen . Durch die Konfiguration länderspezifischer Zugriffsregeln können Sie den Zugriff auf die REST-API oder XML-RPC für eine Liste von Ländern erlauben oder verweigern.

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.