Security Blog

La gestión de la aplicación WordPress contraseñas de una forma libre de problemas


English version: Managing WordPress application passwords a hassle-free way


El uso de contraseñas de aplicaciones como medida de seguridad se introdujo en WordPress 5.6. Esta función le permite a usted y a sus usuarios generar y utilizar contraseñas independientes para acceder a las API de sitios web, como la API REST . El complemento WP Cerber trae un conjunto de herramientas para administrar las contraseñas de las aplicaciones de una manera efectiva y segura. En este artículo, también le mostraremos cómo monitorear el uso de contraseñas de aplicaciones y cómo recibir notificaciones cuando un usuario crea una.

Tenemos que controlar las contraseñas de las aplicaciones.

Aunque el uso de contraseñas de aplicaciones conlleva una barrera de seguridad adicional, la implementación predeterminada de WordPress de las contraseñas de aplicaciones es minimalista y tiene los siguientes problemas.

  • Las contraseñas de aplicaciones no tienen protección contra ataques de fuerza bruta
  • No tenemos la capacidad de deshabilitar o habilitar contraseñas para un rol de usuario específico
  • Las contraseñas de usuario estándar e interactivas se pueden seguir utilizando para acceder a las API de sitios web.
  • No tenemos control sobre el uso de contraseñas debido a la falta de registro

Deshabilitar contraseñas de aplicaciones

Si desea deshabilitar las contraseñas de aplicaciones en su WordPress por completo, establezca la configuración de "Contraseñas de aplicaciones" en "Deshabilitado". Esta configuración se encuentra en el menú de administración "Políticas de usuario" en la pestaña "Global". Una vez que se activa, los usuarios ya no podrán crear nuevas contraseñas ni utilizar ninguna de las contraseñas que se generaron anteriormente. Para una gestión avanzada, lea el resto del artículo.

Use WP Cerber para administrar las contraseñas de aplicaciones

Todas las configuraciones se encuentran en el menú de administración "Políticas de usuario". Para configurar el uso de contraseñas de aplicaciones para todos los usuarios de su sitio web, cambie a la pestaña "Global". Para configurar la configuración de cada función de usuario por separado, cambie a la pestaña "Basado en funciones". Los ajustes configurados para un rol tienen una prioridad más alta.

La configuración de WP Cerber que necesita configurar se llama "Contraseñas de la aplicación"

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

El valor predeterminado de la configuración es permitir el uso de las contraseñas de la aplicación de la forma en que se implementa en WordPress. Implica el uso de contraseñas tradicionales (que los usuarios utilizan para iniciar sesión en su sitio web a través de un formulario de inicio de sesión) y contraseñas de aplicaciones cuando acceden a las API del sitio web. La configuración en este caso es "Habilitado, se permite el acceso a la API mediante contraseñas de usuario estándar" .

Una forma más segura, avanzada y recomendada de utilizar contraseñas de aplicaciones es permitir el acceso a las API del sitio web utilizando únicamente contraseñas de aplicaciones. En este caso, las contraseñas interactivas tradicionales no se pueden utilizar al acceder a las API del sitio web, incluso si la especificada es válida. Se denegará cualquier intento de obtener acceso a las API. Para lograr esto, seleccione "Habilitado, sin acceso a la API usando contraseñas de usuario estándar" .

La última y sencilla forma de tratar con las contraseñas de aplicaciones es deshabilitarlas con la configuración establecida en "Deshabilitar" .

Configurar ajustes para un rol de usuario específico

Todas las configuraciones configuradas para un rol tienen una prioridad más alta que las globales. Por lo tanto, puede deshabilitar el uso de contraseñas de aplicaciones de forma global para todos los usuarios y habilitarlos solo para un rol específico.

El valor predeterminado para todos los roles es utilizar la configuración global configurada en la pestaña "Global". En la configuración del rol, esta opción se denomina "Usar políticas globales". Esto significa que la configuración del rol hereda todos los cambios realizados en la configuración global.

Si selecciona cualquier otra opción que no sea "Usar políticas globales", la opción seleccionada tendrá un efecto en el rol en lugar de una configuración configurada en la pestaña "Global".

Nota: la configuración basada en roles está disponible en la versión profesional de WP Cerber .

Cómo monitorear el uso de la contraseña de la aplicación

WP Cerber agrega dos nuevas columnas a las listas de contraseñas de aplicaciones de los usuarios en sus páginas de perfil en el panel de WordPress. Con los enlaces de esas columnas, puede consultar el registro de actividad. Los enlaces de la columna "Autorizado" lo llevan a todos los eventos registrados de uso de contraseñas de aplicaciones por parte del usuario. Los enlaces de la columna "Autorización fallida" le llevan a todos los intentos fallidos de utilizar las API del sitio web cuando el nombre de usuario o el correo electrónico del usuario estaban en uso.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Cómo recibir una notificación cuando un usuario crea una nueva contraseña

En la página de administración del registro de actividad, puede habilitar el envío de un correo electrónico o una notificación móvil cuando cualquier usuario o uno específico crea una nueva contraseña de aplicación. Vaya al registro de actividad, seleccione "Se creó la contraseña de la aplicación de usuario" de la primera selección que se encuentra sobre la tabla y haga clic en Filtrar . Ahora, para habilitar las notificaciones, debe hacer clic en el botón "Crear alerta" a la derecha. Para configurar la dirección de correo electrónico o el dispositivo móvil para las notificaciones, cambie a la pestaña "Notificaciones".

Lea más sobre cómo configurar cualquier notificación que necesite: las notificaciones de WordPress simplificadas.

Cómo restringir el acceso a la API REST y XML-RPC

WP Cerber ofrece varias opciones para restringir el acceso y puedes configurar cualquier combinación de ellas. Puede bloquear el acceso a estas API completamente desactivándolas; puede permitir o bloquear el acceso a estas API desde direcciones IP específicas mediante Listas de acceso de IP . Además, puede permitir el acceso a la API REST para roles específicos o solo a espacios de nombres específicos . Al configurar reglas de acceso basadas en países, puede permitir o denegar el acceso a REST API o XML-RPC por una lista de países.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.