Administrar las contraseñas de las aplicaciones de WordPress de forma sencilla
English version: Managing WordPress application passwords a hassle-free way
El uso de contraseñas de aplicaciones como medida de seguridad se introdujo en WordPress 5.6. Esta función permite a usted y a sus usuarios generar y usar contraseñas independientes para acceder a las API de sitios web, como la API REST . El plugin WP Cerber ofrece un conjunto de herramientas para gestionar las contraseñas de aplicaciones de forma eficaz y segura. En este artículo, también le mostraremos cómo supervisar el uso de las contraseñas de aplicaciones y cómo recibir notificaciones cuando un usuario crea una.
Tenemos que controlar las contraseñas de las aplicaciones.
Si bien el uso de contraseñas de aplicaciones aporta una barrera de seguridad adicional, la implementación predeterminada de contraseñas de aplicaciones en WordPress es minimalista y presenta los siguientes problemas.
- Las contraseñas de las aplicaciones no tienen protección contra ataques de fuerza bruta
- No tenemos la posibilidad de deshabilitar o habilitar contraseñas para un rol de usuario específico
- Todavía se pueden usar contraseñas de usuario estándar e interactivas para acceder a las API del sitio web.
- No tenemos control sobre el uso de contraseñas debido a la falta de registro.
Deshabilitar las contraseñas de las aplicaciones
Si desea desactivar por completo las contraseñas de aplicaciones en WordPress, configure la opción "Contraseñas de aplicaciones" como "Desactivadas". Esta opción se encuentra en el menú de administración "Políticas de usuario", en la pestaña "Global". Una vez activada, los usuarios ya no podrán crear contraseñas nuevas ni usar las generadas previamente. Para obtener información sobre la gestión avanzada, lea el resto del artículo.
Utilice WP Cerber para administrar las contraseñas de las aplicaciones
Todas las configuraciones se encuentran en el menú de administración "Políticas de Usuario". Para configurar el uso de contraseñas de la aplicación para todos los usuarios de su sitio web, vaya a la pestaña "Global". Para configurar la configuración para cada rol de usuario por separado, vaya a la pestaña "Basado en Rol". Las configuraciones para un rol tienen mayor prioridad.
La configuración de WP Cerber que debes configurar se llama "Contraseñas de la aplicación".
Managing WordPress application passwords with WP Cerber
El valor predeterminado de esta configuración permite el uso de las contraseñas de la aplicación, tal como está implementado en WordPress. Esto implica el uso de contraseñas tradicionales (que los usuarios usan para iniciar sesión en su sitio web mediante un formulario) y contraseñas de la aplicación al acceder a las API del sitio web. En este caso, la configuración es "Habilitado, se permite el acceso a la API con contraseñas de usuario estándar" .
Una forma más segura, avanzada y recomendada de usar contraseñas de aplicaciones es permitir el acceso a las API del sitio web usando únicamente las contraseñas de la aplicación. En este caso, no se pueden usar contraseñas interactivas tradicionales al acceder a las API del sitio web, incluso si la especificada es válida. Se denegará cualquier intento de acceso a las API. Para ello, seleccione "Habilitado, sin acceso a la API con contraseñas de usuario estándar" .
La última y más sencilla forma de lidiar con las contraseñas de las aplicaciones es deshabilitarlas con la configuración establecida en "Deshabilitar" .
Configurar ajustes para un rol de usuario específico
Todas las configuraciones de un rol tienen mayor prioridad que las globales. Por lo tanto, puede deshabilitar el uso de contraseñas de aplicación globalmente para todos los usuarios y habilitarlas solo para un rol específico.
El valor predeterminado para todos los roles es usar la configuración global configurada en la pestaña "Global". En la configuración del rol, esta opción se llama "Usar políticas globales". Esto significa que la configuración del rol hereda todos los cambios realizados en la configuración global.
Si selecciona una opción distinta a "Usar políticas globales", esa opción seleccionada tendrá un efecto en el rol en lugar de una configuración configurada en la pestaña "Global".
Nota: las configuraciones basadas en roles están disponibles en la versión profesional de WP Cerber .
Cómo supervisar el uso de contraseñas de aplicaciones
WP Cerber añade dos nuevas columnas a las listas de contraseñas de aplicaciones de los usuarios en sus páginas de perfil del panel de WordPress. Mediante los enlaces de estas columnas, puede consultar el registro de actividad. Los enlaces de la columna "Autorizado" le dirigen a todos los eventos registrados de uso de contraseñas de aplicaciones por parte del usuario. Los enlaces de la columna "Autorización fallida" le dirigen a todos los intentos fallidos de usar las API del sitio web cuando se usó el nombre de usuario o el correo electrónico del usuario.
Monitoring the usage of application passwords with WP Cerber
Cómo recibir una notificación cuando un usuario crea una nueva contraseña
En la página de administración del Registro de actividad, puede habilitar el envío de un correo electrónico o una notificación móvil cuando un usuario específico cree una nueva contraseña de aplicación. Vaya al Registro de actividad, seleccione "Contraseña de aplicación de usuario creada" en la primera opción sobre la tabla y haga clic en "Filtrar ". Para habilitar las notificaciones, haga clic en el botón "Crear alerta" a la derecha. Para configurar la dirección de correo electrónico o el dispositivo móvil para las notificaciones, vaya a la pestaña "Notificaciones".
Lea más sobre cómo configurar cualquier notificación que necesite: Notificaciones de WordPress simplificadas.
Cómo restringir el acceso a la API REST y XML-RPC
WP Cerber ofrece varias opciones para restringir el acceso y puedes configurar cualquier combinación. Puedes bloquear el acceso a estas API por completo deshabilitándolas; puedes permitir o bloquear el acceso a estas API desde direcciones IP específicas mediante las Listas de Acceso IP . Además, puedes permitir el acceso a la API REST solo para roles específicos o espacios de nombres específicos . Al configurar reglas de acceso basadas en países, puedes permitir o denegar el acceso a la API REST o XML-RPC según una lista de países.
¿Por qué necesitas utilizar una URL de inicio de sesión personalizada para tu WordPress?
Cómo detener bots y robots con una lista de inicios de sesión prohibidos
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.