Administrar las contraseñas de las aplicaciones de WordPress sin problemas
English version: Managing WordPress application passwords a hassle-free way
El uso de contraseñas de aplicaciones como medida de seguridad se introdujo en WordPress 5.6. Esta función le permite a usted y a sus usuarios generar y utilizar contraseñas independientes para acceder a las API del sitio web, como la API REST . El complemento WP Cerber ofrece un conjunto de herramientas para administrar las contraseñas de las aplicaciones de forma eficaz y segura. En este artículo, también le mostraremos cómo monitorear el uso de las contraseñas de las aplicaciones y cómo recibir una notificación cuando un usuario crea una.
Tenemos que controlar las contraseñas de las aplicaciones.
Aunque el uso de contraseñas de aplicaciones aporta una barrera de seguridad adicional, la implementación predeterminada de WordPress de las contraseñas de aplicaciones es minimalista y tiene los siguientes problemas.
- Las contraseñas de las aplicaciones no tienen protección contra ataques de fuerza bruta
- No tenemos la capacidad de deshabilitar o habilitar contraseñas para una función de usuario específica.
- Aún se pueden utilizar contraseñas de usuario estándar e interactivas para acceder a las API del sitio web.
- No tenemos control sobre el uso de contraseñas debido a la falta de registro.
Deshabilitar las contraseñas de las aplicaciones
Si desea deshabilitar completamente las contraseñas de aplicaciones en su WordPress, establezca la configuración "Contraseñas de aplicaciones" en "Deshabilitado". Esta configuración se encuentra en el menú de administración "Políticas de usuario" en la pestaña "Global". Una vez activado, los usuarios ya no podrán crear nuevas contraseñas ni utilizar ninguna de las contraseñas que se generaron anteriormente. Para una gestión avanzada, lea el resto del artículo.
Utilice WP Cerber para administrar las contraseñas de las aplicaciones
Todas las configuraciones se encuentran en el menú de administración "Políticas de usuario". Para configurar el uso de contraseñas de aplicaciones para todos los usuarios de su sitio web, cambie a la pestaña "Global". Para configurar la configuración para cada rol de usuario por separado, cambie a la pestaña "Basado en roles". Los ajustes configurados para un rol tienen una prioridad más alta.
La configuración de WP Cerber que necesita configurar se llama "Contraseñas de la aplicación"
Managing WordPress application passwords with WP Cerber
El valor predeterminado de la configuración es permitir el uso de las contraseñas de la aplicación tal como se implementa en WordPress. Implica el uso de contraseñas tradicionales (que los usuarios utilizan para iniciar sesión en su sitio web a través de un formulario de inicio de sesión) y contraseñas de aplicaciones al acceder a las API del sitio web. La configuración en este caso es "Habilitado, se permite el acceso a la API mediante contraseñas de usuario estándar" .
Una forma más segura, avanzada y recomendada de utilizar contraseñas de aplicaciones es permitir el acceso a las API del sitio web utilizando únicamente contraseñas de aplicaciones. En este caso, las contraseñas interactivas tradicionales no se pueden utilizar al acceder a las API del sitio web, incluso si la especificada es válida. Se denegará cualquier intento de obtener acceso a las API. Para lograr esto, seleccione "Habilitado, sin acceso a la API mediante contraseñas de usuario estándar" .
La última y sencilla forma de lidiar con las contraseñas de las aplicaciones es deshabilitarlas con la configuración establecida en "Desactivar" .
Configurar ajustes para un rol de usuario específico
Todas las configuraciones configuradas para un rol tienen mayor prioridad que las globales. Por lo tanto, puede deshabilitar el uso de contraseñas de aplicaciones globalmente para todos los usuarios y habilitarlas solo para una función específica.
El valor predeterminado para todos los roles es utilizar la configuración global configurada en la pestaña "Global". En la configuración de roles, esta opción se denomina "Usar políticas globales". Esto significa que la configuración del rol hereda todos los cambios realizados en la configuración global.
Si selecciona cualquier otra opción que no sea "Usar políticas globales", esa opción seleccionada tendrá un efecto en la función en lugar de una configuración configurada en la pestaña "Global".
Nota: la configuración basada en roles está disponible en la versión profesional de WP Cerber .
Cómo monitorear el uso de la contraseña de la aplicación
WP Cerber agrega dos nuevas columnas a las listas de contraseñas de aplicaciones de los usuarios en sus páginas de perfil en el panel de WordPress. Usando enlaces en esas columnas, puede consultar el registro de actividad. Los enlaces de la columna "Autorizado" lo llevan a todos los eventos registrados del uso de contraseñas de aplicaciones por parte del usuario. Los enlaces en la columna "Error de autorización" lo llevan a todos los intentos fallidos de utilizar las API del sitio web cuando el nombre de usuario o el correo electrónico del usuario estaban en uso.
Monitoring the usage of application passwords with WP Cerber
Cómo recibir una notificación cuando un usuario crea una nueva contraseña
En la página de administración del registro de actividad, puede habilitar el envío de un correo electrónico o una notificación móvil cuando cualquier usuario o uno específico crea una nueva contraseña de aplicación. Vaya al registro de actividad, seleccione "Contraseña de aplicación de usuario creada" en la primera selección situada encima de la tabla y haga clic en Filtrar . Ahora, para habilitar las notificaciones, debe hacer clic en el botón "Crear alerta" a la derecha. Para configurar la dirección de correo electrónico o el dispositivo móvil para notificaciones, cambie a la pestaña "Notificaciones".
Lea más sobre cómo configurar cualquier notificación que necesite: Notificaciones de WordPress simplificadas.
Cómo restringir el acceso a REST API y XML-RPC
WP Cerber ofrece varias opciones para restringir el acceso y puedes configurar cualquier combinación de ellas. Puede bloquear completamente el acceso a estas API deshabilitándolas; puede permitir o bloquear el acceso a estas API desde direcciones IP específicas mediante el uso de listas de acceso de IP . Además, puede permitir el acceso a la API REST para roles específicos o solo para espacios de nombres específicos . Al configurar reglas de acceso basadas en países, puede permitir o denegar el acceso a REST API o XML-RPC mediante una lista de países.
Por qué necesitas utilizar una URL de inicio de sesión personalizada para tu WordPress
Cómo detener bots y robots con una lista de inicios de sesión prohibidos
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.