Security Blog

Gérer les mots de passe des applications WordPress sans tracas


English version: Managing WordPress application passwords a hassle-free way


L’utilisation des mots de passe d’application comme mesure de sécurité a été introduite dans WordPress 5.6. Cette fonctionnalité vous permet, à vous et à vos utilisateurs, de générer et d'utiliser des mots de passe distincts pour accéder aux API de sites Web telles que l'API REST . Le plugin WP Cerber apporte un ensemble d'outils pour gérer les mots de passe des applications de manière efficace et sécurisée. Dans cet article, nous vous montrerons également comment surveiller l'utilisation des mots de passe d'application et comment être averti lorsqu'un utilisateur en crée un.

Nous devons contrôler les mots de passe des applications

Bien que l’utilisation de mots de passe d’application apporte une barrière de sécurité supplémentaire, l’implémentation WordPress par défaut des mots de passe d’application est minimaliste et présente les problèmes suivants.

  • Les mots de passe des applications n'ont aucune protection contre les attaques par force brute
  • Nous n'avons pas la possibilité de désactiver ou d'activer les mots de passe pour un rôle d'utilisateur spécifique
  • Les mots de passe utilisateur standard et interactifs peuvent toujours être utilisés pour accéder aux API du site Web.
  • Nous n'avons aucun contrôle sur l'utilisation des mots de passe en raison d'un manque de journalisation

Désactivation des mots de passe des applications

Si vous souhaitez désactiver complètement les mots de passe d'application sur votre WordPress, définissez le paramètre « Mots de passe d'application » sur « Désactivé ». Ce paramètre se trouve sous le menu d'administration « Politiques utilisateur » dans l'onglet « Global ». Une fois activé, les utilisateurs ne pourront plus créer de nouveaux mots de passe ni utiliser les mots de passe générés précédemment. Pour une gestion avancée, veuillez lire la suite de l’article.

Utilisez WP Cerber pour gérer les mots de passe des applications

Tous les paramètres se trouvent dans le menu d'administration "Politiques utilisateur". Pour configurer l'utilisation des mots de passe des applications pour tous les utilisateurs de votre site Web, passez à l'onglet "Global". Pour configurer les paramètres de chaque rôle d'utilisateur séparément, passez à l'onglet "Basé sur les rôles". Les paramètres configurés pour un rôle ont une priorité plus élevée.

Le paramètre WP Cerber que vous devez configurer est nommé « Mots de passe d'application »

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

La valeur par défaut du paramètre est d'autoriser l'utilisation des mots de passe d'application de la même manière qu'ils sont implémentés dans WordPress. Cela implique l'utilisation à la fois de mots de passe traditionnels (que les utilisateurs utilisent pour se connecter à votre site Web via un formulaire de connexion) et de mots de passe d'application lors de l'accès aux API du site Web. Le paramètre dans ce cas est "Activé, l'accès à l'API à l'aide de mots de passe utilisateur standard est autorisé" .

Une manière plus sécurisée, avancée et recommandée d’utiliser les mots de passe d’application consiste à autoriser l’accès aux API du site Web en utilisant uniquement les mots de passe d’application. Dans ce cas, les mots de passe interactifs traditionnels ne peuvent pas être utilisés lors de l'accès aux API du site Web, même si celui spécifié est valide. Toute tentative d'accès aux API sera refusée. Pour y parvenir, sélectionnez "Activé, pas d'accès à l'API à l'aide de mots de passe utilisateur standard" .

La dernière et simple façon de gérer les mots de passe des applications consiste à les désactiver avec le paramètre défini sur "Désactiver" .

Configurer les paramètres pour un rôle d'utilisateur spécifique

Tous les paramètres configurés pour un rôle ont une priorité plus élevée que les paramètres globaux. Vous pouvez donc désactiver l'utilisation des mots de passe d'application globalement pour tous les utilisateurs et les activer pour un rôle spécifique uniquement.

La valeur par défaut pour tous les rôles consiste à utiliser les paramètres globaux configurés dans l'onglet "Global". Dans les paramètres du rôle, cette option est nommée « Utiliser les politiques globales ». Cela signifie que le paramètre du rôle hérite de toutes les modifications apportées aux paramètres globaux.

Si vous sélectionnez une option autre que « Utiliser les stratégies globales », cette option sélectionnée aura un effet sur le rôle au lieu d'un paramètre configuré dans l'onglet « Global ».

Remarque : les paramètres basés sur les rôles sont disponibles dans la version professionnelle de WP Cerber .

Comment surveiller l'utilisation du mot de passe de l'application

WP Cerber ajoute deux nouvelles colonnes aux listes de mots de passe d'application des utilisateurs sur leurs pages de profil dans le tableau de bord WordPress. En utilisant les liens dans ces colonnes, vous pouvez consulter le journal d'activité. Les liens de la colonne « Autorisé » vous dirigent vers tous les événements enregistrés d'utilisation des mots de passe d'application par l'utilisateur. Les liens dans la colonne « Échec de l'autorisation » vous dirigent vers toutes les tentatives infructueuses d'utilisation des API de site Web lorsque le nom d'utilisateur ou l'adresse e-mail de l'utilisateur était utilisé.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Comment être averti lorsqu'un utilisateur crée un nouveau mot de passe

Sur la page d'administration du journal d'activité, vous pouvez activer l'envoi d'un e-mail ou d'une notification mobile lorsqu'un utilisateur ou un utilisateur spécifié crée un nouveau mot de passe d'application. Accédez au journal d'activité, sélectionnez « Mot de passe de l'application utilisateur créé » dans la première sélection au-dessus du tableau et cliquez sur Filtrer . Maintenant, pour activer les notifications, vous devez cliquer sur le bouton « Créer une alerte » à droite. Pour configurer l'adresse e-mail ou l'appareil mobile pour les notifications, passez à l'onglet "Notifications".

Veuillez en savoir plus sur la façon de configurer les notifications dont vous avez besoin : les notifications WordPress simplifiées.

Comment restreindre l'accès à l'API REST et XML-RPC

WP Cerber propose plusieurs options pour restreindre l'accès et vous pouvez en configurer n'importe quelle combinaison. Vous pouvez bloquer complètement l'accès à ces API en les désactivant ; vous pouvez autoriser ou bloquer l'accès à ces API à partir d'adresses IP spécifiques à l'aide des listes d'accès IP . De plus, vous pouvez autoriser l'accès à l'API REST pour des rôles spécifiques ou à des espaces de noms spécifiques uniquement . En configurant des règles d'accès basées sur les pays, vous pouvez autoriser ou refuser l'accès à l'API REST ou au XML-RPC par une liste de pays.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.