Gestionar las contraseñas de las aplicaciones de WordPress de forma sencilla.
English version: Managing WordPress application passwords a hassle-free way
El uso de contraseñas de aplicación como medida de seguridad se introdujo en WordPress 5.6. Esta función permite que tanto usted como sus usuarios generen y utilicen contraseñas independientes para acceder a las API del sitio web, como la API REST . El plugin WP Cerber ofrece un conjunto de herramientas para gestionar las contraseñas de aplicación de forma eficaz y segura. En este artículo, también le mostraremos cómo supervisar el uso de las contraseñas de aplicación y cómo recibir notificaciones cuando un usuario crea una.
Tenemos que controlar las contraseñas de las aplicaciones.
Si bien el uso de contraseñas de aplicación aporta una barrera de seguridad adicional, la implementación predeterminada de WordPress para las contraseñas de aplicación es minimalista y presenta los siguientes problemas.
- Las contraseñas de las aplicaciones no tienen protección contra ataques de fuerza bruta.
- No tenemos la capacidad de deshabilitar o habilitar contraseñas para un rol de usuario específico.
- Las contraseñas de usuario estándar e interactivas aún pueden utilizarse para acceder a las API de los sitios web.
- No tenemos control sobre el uso de contraseñas debido a la falta de registro.
Deshabilitar las contraseñas de las aplicaciones
Si desea desactivar por completo las contraseñas de aplicación en su sitio WordPress, configure la opción "Contraseñas de aplicación" en "Desactivado". Esta opción se encuentra en el menú de administración "Políticas de usuario", en la pestaña "Global". Una vez activada, los usuarios no podrán crear nuevas contraseñas ni utilizar las que se generaron anteriormente. Para una gestión más avanzada, consulte el resto del artículo.
Utilice WP Cerber para gestionar las contraseñas de las aplicaciones.
Todas las opciones de configuración se encuentran en el menú de administración "Políticas de usuario". Para configurar el uso de contraseñas de aplicación para todos los usuarios de su sitio web, vaya a la pestaña "Global". Para configurar cada rol de usuario por separado, vaya a la pestaña "Basado en rol". Las configuraciones asignadas a un rol tienen mayor prioridad.
La configuración de WP Cerber que necesita configurar se llama "Contraseñas de aplicación".
Managing WordPress application passwords with WP Cerber
El valor predeterminado de esta configuración permite el uso de las contraseñas de la aplicación tal como se implementa en WordPress. Esto implica el uso tanto de contraseñas tradicionales (que los usuarios utilizan para iniciar sesión en el sitio web mediante un formulario) como de contraseñas de aplicación al acceder a las API del sitio web. En este caso, la configuración es "Habilitado, se permite el acceso a la API mediante contraseñas de usuario estándar" .
Una forma más segura, avanzada y recomendada de usar contraseñas de aplicación es permitir el acceso a las API del sitio web únicamente mediante contraseñas de aplicación. En este caso, no se podrán usar contraseñas interactivas tradicionales para acceder a las API del sitio web, incluso si la especificada es válida. Cualquier intento de acceso a las API será denegado. Para ello, seleccione «Habilitado, sin acceso a la API mediante contraseñas de usuario estándar» .
La última y más sencilla forma de lidiar con las contraseñas de las aplicaciones es deshabilitarlas con la configuración establecida en "Deshabilitar" .
Configurar ajustes para un rol de usuario específico
Todas las configuraciones asignadas a un rol tienen mayor prioridad que las globales. Por lo tanto, puede deshabilitar el uso de contraseñas de aplicación para todos los usuarios y habilitarlas solo para un rol específico.
El valor predeterminado para todos los roles es usar la configuración global definida en la pestaña "Global". En la configuración del rol, esta opción se denomina "Usar directivas globales". Esto significa que la configuración del rol hereda todos los cambios realizados en la configuración global.
Si selecciona cualquier opción que no sea "Usar políticas globales", la opción seleccionada afectará al rol en lugar de a la configuración establecida en la pestaña "Global".
Nota: la configuración basada en roles está disponible en la versión profesional de WP Cerber .
Cómo supervisar el uso de contraseñas de aplicaciones
WP Cerber añade dos nuevas columnas a las listas de contraseñas de aplicaciones de los usuarios en sus perfiles del panel de control de WordPress. Mediante los enlaces de estas columnas, puede consultar el registro de actividad. Los enlaces de la columna "Autorizado" le llevan a todos los eventos registrados de uso de contraseñas de aplicaciones por parte del usuario. Los enlaces de la columna "Autorización fallida" le llevan a todos los intentos fallidos de usar las API del sitio web cuando el nombre de usuario o el correo electrónico del usuario estaban en uso.
Monitoring the usage of application passwords with WP Cerber
Cómo recibir notificaciones cuando un usuario crea una nueva contraseña
En la página de administración del registro de actividad, puede habilitar el envío de un correo electrónico o una notificación móvil cuando cualquier usuario o uno específico cree una nueva contraseña de aplicación. Vaya al registro de actividad, seleccione "Contraseña de aplicación de usuario creada" en el primer menú desplegable sobre la tabla y haga clic en Filtro . Ahora, para habilitar las notificaciones, debe hacer clic en el botón "Crear alerta" a la derecha. Para configurar la dirección de correo electrónico o el dispositivo móvil para las notificaciones, vaya a la pestaña "Notificaciones".
Para obtener más información sobre cómo configurar las notificaciones que necesite, consulte: Notificaciones de WordPress simplificadas.
Cómo restringir el acceso a la API REST y XML-RPC
WP Cerber ofrece varias opciones para restringir el acceso y permite configurar cualquier combinación de ellas. Puede bloquear completamente el acceso a estas API deshabilitándolas; también puede permitir o bloquear el acceso desde direcciones IP específicas mediante listas de acceso IP . Además, puede permitir el acceso a la API REST solo para roles específicos o espacios de nombres específicos . Al configurar reglas de acceso basadas en países, puede permitir o denegar el acceso a la API REST o XML-RPC según una lista de países.
WP Cerber Security 4.0
Cómo cambiar el formato de fecha en la página de Actividad
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.