Gérer les mots de passe des applications WordPress en toute simplicité
English version: Managing WordPress application passwords a hassle-free way
L'utilisation de mots de passe d'application comme mesure de sécurité a été introduite dans WordPress 5.6. Cette fonctionnalité vous permet, à vous et à vos utilisateurs, de générer et d'utiliser des mots de passe distincts pour accéder aux API de sites Web telles que REST API . Le plugin WP Cerber apporte un ensemble d'outils pour gérer les mots de passe des applications de manière efficace et sécurisée. Dans cet article, nous vous montrerons également comment surveiller l'utilisation des mots de passe d'application et comment être averti lorsqu'un utilisateur en crée un.
Nous devons contrôler les mots de passe des applications
Bien que l’utilisation de mots de passe d’application apporte une barrière de sécurité supplémentaire, l’implémentation par défaut de WordPress des mots de passe d’application est minimaliste et présente les problèmes suivants.
- Les mots de passe des applications n'offrent aucune protection contre les attaques par force brute
- Nous n'avons pas la possibilité de désactiver ou d'activer les mots de passe pour un rôle d'utilisateur spécifique
- Les mots de passe utilisateur standard et interactifs peuvent toujours être utilisés pour accéder aux API du site Web.
- Nous n'avons aucun contrôle sur l'utilisation des mots de passe en raison d'un manque de journalisation
Désactiver les mots de passe des applications
Si vous souhaitez désactiver complètement les mots de passe d'application sur votre WordPress, définissez le paramètre « Mots de passe d'application » sur « Désactivé ». Ce paramètre se trouve dans le menu d'administration « Politiques utilisateur » de l'onglet « Global ». Une fois activé, les utilisateurs ne pourront plus créer de nouveaux mots de passe ni utiliser les mots de passe générés précédemment. Pour une gestion avancée, veuillez lire le reste de l'article.
Utilisez WP Cerber pour gérer les mots de passe des applications
Tous les paramètres se trouvent dans le menu d'administration « Politiques utilisateur ». Pour configurer l'utilisation des mots de passe d'application pour tous les utilisateurs de votre site Web, passez à l'onglet « Global ». Pour configurer le paramètre pour chaque rôle d'utilisateur séparément, passez à l'onglet « Basé sur les rôles ». Les paramètres configurés pour un rôle ont une priorité plus élevée.
Le paramètre WP Cerber que vous devez configurer s'appelle « Mots de passe d'application »
Managing WordPress application passwords with WP Cerber
La valeur par défaut du paramètre est d'autoriser l'utilisation des mots de passe d'application tels qu'ils sont implémentés dans WordPress. Cela implique l'utilisation à la fois de mots de passe traditionnels (que les utilisateurs utilisent pour se connecter à votre site Web via un formulaire de connexion) et de mots de passe d'application lors de l'accès aux API du site Web. Le paramètre dans ce cas est « Activé, l'accès à l'API à l'aide de mots de passe utilisateur standard est autorisé » .
Une méthode plus sûre, plus avancée et plus recommandée pour utiliser les mots de passe d'application consiste à autoriser l'accès aux API de sites Web en utilisant uniquement les mots de passe d'application. Dans ce cas, les mots de passe interactifs traditionnels ne peuvent pas être utilisés pour accéder aux API de sites Web, même si celui spécifié est valide. Toute tentative d'accès aux API sera refusée. Pour ce faire, sélectionnez « Activé, aucun accès à l'API à l'aide de mots de passe utilisateur standard » .
La dernière façon simple de gérer les mots de passe des applications est de les désactiver avec le paramètre défini sur « Désactiver » .
Configurer les paramètres pour un rôle d’utilisateur spécifique
Tous les paramètres configurés pour un rôle ont une priorité plus élevée que les paramètres globaux. Vous pouvez donc désactiver l'utilisation des mots de passe d'application de manière globale pour tous les utilisateurs et les activer uniquement pour un rôle spécifique.
La valeur par défaut pour tous les rôles consiste à utiliser les paramètres globaux configurés dans l'onglet « Global ». Dans les paramètres de rôle, cette option est nommée « Utiliser les stratégies globales ». Cela signifie que le paramètre du rôle hérite de toutes les modifications apportées aux paramètres globaux.
Si vous sélectionnez une autre option que « Utiliser les politiques globales », cette option sélectionnée aura un effet sur le rôle au lieu d'un paramètre configuré dans l'onglet « Global ».
Remarque : les paramètres basés sur les rôles sont disponibles dans la version professionnelle de WP Cerber .
Comment surveiller l'utilisation du mot de passe d'application
WP Cerber ajoute deux nouvelles colonnes aux listes de mots de passe d'application des utilisateurs sur leurs pages de profil dans le tableau de bord WordPress. À l'aide des liens dans ces colonnes, vous pouvez consulter le journal d'activité. Les liens de la colonne « Autorisé » vous dirigent vers tous les événements enregistrés d'utilisation des mots de passe d'application par l'utilisateur. Les liens de la colonne « Échec de l'autorisation » vous dirigent vers toutes les tentatives infructueuses d'utilisation des API du site Web lorsque le nom d'utilisateur ou l'adresse e-mail de l'utilisateur était utilisé.
Monitoring the usage of application passwords with WP Cerber
Comment être averti lorsqu'un utilisateur crée un nouveau mot de passe
Sur la page d'administration du journal d'activité, vous pouvez activer l'envoi d'un e-mail ou d'une notification mobile lorsqu'un utilisateur ou un utilisateur spécifié crée un nouveau mot de passe d'application. Accédez au journal d'activité, sélectionnez « Mot de passe d'application utilisateur créé » dans la première sélection au-dessus du tableau et cliquez sur Filtrer . Maintenant, pour activer les notifications, vous devez cliquer sur le bouton « Créer une alerte » à droite. Pour configurer l'adresse e-mail ou l'appareil mobile pour les notifications, passez à l'onglet « Notifications ».
Veuillez en savoir plus sur la façon de configurer les notifications dont vous avez besoin : les notifications WordPress simplifiées.
Comment restreindre l'accès à l'API REST et XML-RPC
WP Cerber propose plusieurs options pour restreindre l'accès et vous pouvez configurer n'importe quelle combinaison d'entre elles. Vous pouvez bloquer complètement l'accès à ces API en les désactivant ; vous pouvez autoriser ou bloquer l'accès à ces API à partir d'adresses IP spécifiques en utilisant des listes d'accès IP . De plus, vous pouvez autoriser l'accès à l'API REST pour des rôles spécifiques ou à des espaces de noms spécifiques uniquement . En configurant des règles d'accès basées sur les pays, vous pouvez autoriser ou refuser l'accès à l'API REST ou XML-RPC par une liste de pays.
WP Cerber Security 6.5
Development version 6.5.1
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.