Gérer les mots de passe des applications WordPress en toute simplicité
English version: Managing WordPress application passwords a hassle-free way
L'utilisation de mots de passe d'application comme mesure de sécurité a été introduite dans WordPress 5.6. Cette fonctionnalité vous permet, ainsi qu'à vos utilisateurs, de générer et d'utiliser des mots de passe distincts pour accéder aux API de votre site web, telles que l'API REST . L'extension WP Cerber propose un ensemble d'outils pour gérer les mots de passe d'application de manière efficace et sécurisée. Dans cet article, nous vous montrerons également comment surveiller l'utilisation des mots de passe d'application et comment être notifié lorsqu'un utilisateur en crée un.
Nous devons contrôler les mots de passe des applications.
Bien que l'utilisation de mots de passe d'application apporte une barrière de sécurité supplémentaire, l'implémentation par défaut des mots de passe d'application par WordPress est minimaliste et présente les problèmes suivants.
- Les mots de passe des applications ne sont pas protégés contre les attaques par force brute.
- Nous n'avons aucune possibilité de désactiver ou d'activer les mots de passe pour un rôle utilisateur spécifique.
- Les mots de passe utilisateur standard et interactifs peuvent toujours être utilisés pour accéder aux API des sites web.
- Nous n'avons aucun contrôle sur l'utilisation des mots de passe en raison de l'absence de journalisation.
Désactivation des mots de passe d'application
Pour désactiver complètement les mots de passe d'application sur votre installation WordPress, définissez l'option « Mots de passe d'application » sur « Désactivé ». Ce paramètre se trouve dans le menu d'administration « Règles utilisateur », onglet « Global ». Une fois activé, les utilisateurs ne pourront plus créer de nouveaux mots de passe ni utiliser ceux générés précédemment. Pour une gestion avancée, veuillez consulter la suite de cet article.
Utilisez WP Cerber pour gérer les mots de passe des applications.
Tous les paramètres se trouvent dans le menu d'administration « Stratégies utilisateur ». Pour configurer l'utilisation des mots de passe d'application pour tous les utilisateurs de votre site web, accédez à l'onglet « Global ». Pour configurer ce paramètre pour chaque rôle utilisateur individuellement, accédez à l'onglet « Par rôle ». Les paramètres configurés pour un rôle sont prioritaires.
Le paramètre WP Cerber que vous devez configurer s'appelle « Mots de passe de l'application ».
Managing WordPress application passwords with WP Cerber
La valeur par défaut de ce paramètre autorise l'utilisation des mots de passe d'application, comme dans WordPress. Cela implique l'utilisation à la fois des mots de passe classiques (utilisés pour se connecter au site web via un formulaire) et des mots de passe d'application pour accéder aux API du site. Dans ce cas, le paramètre est activé : « L'accès à l'API avec les mots de passe utilisateur standard est autorisé » .
Pour une utilisation plus sécurisée, avancée et recommandée des mots de passe d'application, il est recommandé d'autoriser l'accès aux API du site web uniquement via ces mots de passe. Dans ce cas, les mots de passe interactifs classiques ne peuvent pas être utilisés pour accéder aux API du site web, même s'ils sont valides. Toute tentative d'accès aux API sera refusée. Pour ce faire, sélectionnez « Activé, aucun accès aux API via les mots de passe utilisateur standard » .
La dernière méthode, et la plus simple, pour gérer les mots de passe des applications consiste à les désactiver en définissant le paramètre sur « Désactiver » .
Configurer les paramètres pour un rôle utilisateur spécifique
Tous les paramètres configurés pour un rôle sont prioritaires sur les paramètres globaux. Vous pouvez ainsi désactiver l'utilisation des mots de passe d'application pour tous les utilisateurs et l'activer uniquement pour un rôle spécifique.
Par défaut, tous les rôles utilisent les paramètres globaux configurés dans l'onglet « Global ». Dans les paramètres du rôle, cette option s'appelle « Utiliser les stratégies globales ». Cela signifie que les paramètres du rôle héritent de toutes les modifications apportées aux paramètres globaux.
Si vous sélectionnez une autre option que « Utiliser les stratégies globales », cette option aura un effet sur le rôle au lieu d'un paramètre configuré dans l'onglet « Global ».
Remarque : les paramètres basés sur les rôles sont disponibles dans la version professionnelle de WP Cerber .
Comment surveiller l'utilisation des mots de passe des applications
WP Cerber ajoute deux nouvelles colonnes aux listes de mots de passe d'application des utilisateurs sur leurs pages de profil dans le tableau de bord WordPress. Grâce aux liens présents dans ces colonnes, vous pouvez consulter l'historique d'activité. Les liens de la colonne « Autorisé » vous permettent d'accéder à tous les événements enregistrés liés à l'utilisation des mots de passe d'application par l'utilisateur. Les liens de la colonne « Échec d'autorisation » vous permettent d'accéder à toutes les tentatives infructueuses d'utilisation des API du site web lorsque le nom d'utilisateur ou l'adresse e-mail de l'utilisateur était utilisé.
Monitoring the usage of application passwords with WP Cerber
Comment être notifié lorsqu'un utilisateur crée un nouveau mot de passe
Sur la page d'administration du journal d'activité, vous pouvez activer l'envoi d'une notification par e-mail ou SMS lorsqu'un utilisateur crée un nouveau mot de passe d'application. Accédez au journal d'activité, sélectionnez « Création d'un mot de passe d'application par un utilisateur » dans le premier menu déroulant situé au-dessus du tableau, puis cliquez sur « Filtrer ». Pour activer les notifications, cliquez ensuite sur le bouton « Créer une alerte » à droite. Pour configurer l'adresse e-mail ou l'appareil mobile de réception des notifications, rendez-vous dans l'onglet « Notifications ».
Pour en savoir plus sur la configuration des notifications dont vous avez besoin, veuillez consulter la page : Les notifications WordPress simplifiées.
Comment restreindre l'accès aux API REST et XML-RPC
WP Cerber propose plusieurs options pour restreindre l'accès, et vous pouvez les combiner à votre guise. Vous pouvez bloquer complètement l'accès à ces API en les désactivant ; vous pouvez autoriser ou bloquer l'accès à ces API depuis des adresses IP spécifiques à l'aide de listes de contrôle d'accès IP . De plus, vous pouvez autoriser l'accès à l'API REST pour des rôles spécifiques ou pour des espaces de noms spécifiques uniquement . En configurant des règles d'accès basées sur le pays, vous pouvez autoriser ou interdire l'accès à l'API REST ou à XML-RPC pour une liste de pays.
Pourquoi utiliser une URL de connexion personnalisée pour votre WordPress
Comment arrêter les bots et les robots avec une liste de connexions interdites
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.