Security Blog

Gestion de l'application WordPress mots de passe d'une manière sans tracas


English version: Managing WordPress application passwords a hassle-free way


L'utilisation des mots de passe d'application comme mesure de sécurité a été introduite dans WordPress 5.6. Cette fonctionnalité vous permet, à vous et à vos utilisateurs, de générer et d'utiliser des mots de passe distincts pour accéder aux API de site Web telles que l' API REST . Le plugin WP Cerber apporte un ensemble d'outils pour gérer les mots de passe des applications de manière efficace et sécurisée. Dans cet article, nous allons également vous montrer comment surveiller l'utilisation des mots de passe d'application et comment être averti lorsqu'un utilisateur en crée un.

Nous devons contrôler les mots de passe des applications

Bien que l'utilisation de mots de passe d'application apporte une barrière de sécurité supplémentaire, l'implémentation WordPress par défaut des mots de passe d'application est minimaliste et présente les problèmes suivants.

  • Les mots de passe d'application n'ont aucune protection contre les attaques par force brute
  • Nous n'avons pas la possibilité de désactiver ou d'activer les mots de passe pour un rôle d'utilisateur spécifique
  • Les mots de passe utilisateur standard et interactifs peuvent toujours être utilisés pour accéder aux API de sites Web.
  • Nous n'avons aucun contrôle sur l'utilisation des mots de passe en raison d'un manque de journalisation

Désactivation des mots de passe d'application

Si vous souhaitez désactiver complètement les mots de passe d'application sur votre WordPress, définissez le paramètre «Mots de passe d'application» sur «Désactivé». Ce paramètre est situé sous le menu d'administration "Stratégies utilisateur" sur l'onglet "Global". Une fois activé, les utilisateurs ne pourront plus créer de nouveaux mots de passe et utiliser l'un des mots de passe générés précédemment. Pour une gestion avancée, veuillez lire le reste de l'article.

Utilisez WP Cerber pour gérer les mots de passe des applications

Tous les paramètres se trouvent dans le menu d'administration "Stratégies utilisateur". Pour configurer l'utilisation des mots de passe d'application pour tous les utilisateurs de votre site Web, passez à l'onglet «Global». Pour configurer le paramètre pour chaque rôle d'utilisateur séparément, passez à l'onglet "Basé sur le rôle". Les paramètres configurés pour un rôle ont une priorité plus élevée.

Le paramètre WP Cerber que vous devez configurer est nommé "Mots de passe d'application"

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

La valeur par défaut du paramètre est de permettre l'utilisation des mots de passe d'application tels qu'ils sont implémentés dans WordPress. Cela implique d'utiliser à la fois des mots de passe traditionnels (que les utilisateurs utilisent pour se connecter à votre site Web via un formulaire de connexion) et des mots de passe d'application lors de l'accès aux API du site Web. Le paramètre dans ce cas est "Activé, l'accès à l'API à l'aide de mots de passe utilisateur standard est autorisé" .

Une manière plus sûre, avancée et recommandée d'utiliser les mots de passe d'application consiste à autoriser l'accès aux API de site Web en utilisant uniquement les mots de passe d'application. Dans ce cas, les mots de passe interactifs traditionnels ne peuvent pas être utilisés lors de l'accès aux API de site Web, même si celui spécifié est valide. Toute tentative d'accès aux API sera refusée. Pour ce faire, sélectionnez "Activé, pas d'accès à l'API avec des mots de passe utilisateur standard" .

La dernière et simple manière de traiter les mots de passe des applications est de les désactiver avec le paramètre défini sur «Désactiver» .

Configurer les paramètres pour un rôle d'utilisateur spécifique

Tous les paramètres configurés pour un rôle ont une priorité plus élevée que les paramètres globaux. Vous pouvez donc désactiver globalement l'utilisation des mots de passe d'application pour tous les utilisateurs et les activer pour un rôle spécifique uniquement.

La valeur par défaut pour tous les rôles est d'utiliser les paramètres globaux configurés dans l'onglet «Global». Dans les paramètres de rôle, cette option est nommée "Utiliser les stratégies globales". Cela signifie que le paramètre du rôle hérite de toutes les modifications apportées aux paramètres globaux.

Si vous sélectionnez une autre option que l'option «Utiliser les stratégies globales», cette option sélectionnée aura un effet sur le rôle au lieu d'un paramètre configuré dans l'onglet «Global».

Remarque: les paramètres basés sur les rôles sont disponibles dans la version professionnelle de WP Cerber .

Comment surveiller l'utilisation du mot de passe des applications

WP Cerber ajoute deux nouvelles colonnes aux listes de mots de passe d'application des utilisateurs sur leurs pages de profil dans le tableau de bord WordPress. En utilisant des liens dans ces colonnes, vous pouvez consulter le journal d'activité. Les liens de la colonne «Autorisé» vous dirigent vers tous les événements enregistrés d'utilisation des mots de passe d'application par l'utilisateur. Les liens de la colonne "Échec de l'autorisation" vous dirigent vers toutes les tentatives infructueuses d'utilisation des API de site Web lorsque le nom d'utilisateur ou l'adresse e-mail de l'utilisateur était utilisé.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Comment être averti lorsqu'un utilisateur crée un nouveau mot de passe

Sur la page d'administration du journal d'activité, vous pouvez activer l'envoi d'un e-mail ou d'une notification mobile lorsqu'un utilisateur ou un utilisateur spécifié crée un nouveau mot de passe d'application. Accédez au journal d'activité, sélectionnez "Mot de passe de l'application utilisateur créé" dans la première sélection au-dessus du tableau et cliquez sur Filtre . Maintenant, pour activer les notifications, vous devez cliquer sur le bouton "Créer une alerte" sur la droite. Pour configurer l'adresse e-mail ou l'appareil mobile pour les notifications, passez à l'onglet "Notifications".

Veuillez en savoir plus sur la façon de configurer les notifications dont vous avez besoin: les notifications WordPress simplifiées.

Comment restreindre l'accès à l'API REST et XML-RPC

WP Cerber propose plusieurs options pour restreindre l'accès et vous pouvez configurer n'importe quelle combinaison d'entre elles. Vous pouvez bloquer complètement l'accès à ces API en les désactivant; vous pouvez autoriser ou bloquer l'accès à ces API à partir d'adresses IP spécifiques à l'aide des listes d'accès IP . En outre, vous pouvez autoriser l'accès à l'API REST pour des rôles spécifiques ou à des espaces de noms spécifiques uniquement . En configurant des règles d'accès basées sur les pays, vous pouvez autoriser ou refuser l'accès à l'API REST ou XML-RPC par une liste de pays.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.