Gestire le password delle applicazioni WordPress in modo semplice
English version: Managing WordPress application passwords a hassle-free way
L'utilizzo delle password delle applicazioni come misura di sicurezza è stato introdotto in WordPress 5.6. Questa funzionalità consente a te e ai tuoi utenti di generare e utilizzare password separate per accedere alle API del sito web, come le API REST . Il plugin WP Cerber offre una serie di strumenti per gestire le password delle applicazioni in modo efficace e sicuro. In questo articolo, ti mostreremo anche come monitorare l'utilizzo delle password delle applicazioni e come ricevere notifiche quando un utente ne crea una.
Dobbiamo controllare le password delle applicazioni
Sebbene l'utilizzo di password applicative costituisca un'ulteriore barriera di sicurezza, l'implementazione predefinita delle password applicative in WordPress è minimalista e presenta i seguenti problemi.
- Le password delle applicazioni non sono protette contro gli attacchi brute-force
- Non abbiamo la possibilità di disabilitare o abilitare le password per un ruolo utente specifico
- Per accedere alle API dei siti web è ancora possibile utilizzare password utente standard e interattive.
- Non abbiamo alcun controllo sull'uso delle password a causa della mancanza di registrazione
Disabilitazione delle password delle applicazioni
Se desideri disattivare completamente le password delle applicazioni su WordPress, imposta l'opzione "Password applicazioni" su "Disattivato". Questa impostazione si trova nel menu di amministrazione "Criteri utente", nella scheda "Globale". Una volta attivata, gli utenti non potranno più creare nuove password né utilizzare quelle generate in precedenza. Per una gestione avanzata, leggi il resto dell'articolo.
Utilizzare WP Cerber per gestire le password delle applicazioni
Tutte le impostazioni si trovano nel menu di amministrazione "Criteri utente". Per configurare l'utilizzo delle password dell'applicazione per tutti gli utenti del tuo sito web, passa alla scheda "Globale". Per configurare le impostazioni per ciascun ruolo utente separatamente, passa alla scheda "Basato sui ruoli". Le impostazioni configurate per un ruolo hanno una priorità più alta.
L'impostazione WP Cerber che devi configurare si chiama "Password dell'applicazione"
Managing WordPress application passwords with WP Cerber
Il valore predefinito dell'impostazione consente l'utilizzo delle password dell'applicazione, così come implementato in WordPress. Implica l'utilizzo sia delle password tradizionali (quelle che gli utenti utilizzano per accedere al sito web tramite un modulo di login) sia delle password dell'applicazione quando si accede alle API del sito web. L'impostazione in questo caso è "Abilitata, l'accesso alle API utilizzando le password utente standard è consentito" .
Un metodo più sicuro, avanzato e consigliato per utilizzare le password delle applicazioni è consentire l'accesso alle API dei siti web utilizzando solo le password delle applicazioni. In questo caso, le password interattive tradizionali non possono essere utilizzate per accedere alle API dei siti web, anche se quella specificata è valida. Qualsiasi tentativo di accesso alle API verrà negato. Per ottenere questo risultato, seleziona "Abilitato, nessun accesso alle API utilizzando password utente standard" .
L'ultimo e più semplice modo per gestire le password delle applicazioni è disattivarle con l'impostazione "Disattiva" .
Configurare le impostazioni per un ruolo utente specifico
Tutte le impostazioni configurate per un ruolo hanno una priorità maggiore rispetto a quelle globali. È quindi possibile disabilitare l'utilizzo delle password dell'applicazione a livello globale per tutti gli utenti e abilitarle solo per un ruolo specifico.
L'impostazione predefinita per tutti i ruoli è quella di utilizzare le impostazioni globali configurate nella scheda "Globale". Nelle impostazioni del ruolo, questa opzione è denominata "Utilizza criteri globali". Ciò significa che l'impostazione del ruolo eredita tutte le modifiche apportate alle impostazioni globali.
Se si seleziona un'opzione diversa da "Usa criteri globali", sul ruolo avrà effetto l'opzione selezionata anziché un'impostazione configurata nella scheda "Globale".
Nota: le impostazioni basate sui ruoli sono disponibili nella versione professionale di WP Cerber .
Come monitorare l'utilizzo delle password delle applicazioni
WP Cerber aggiunge due nuove colonne agli elenchi delle password delle applicazioni degli utenti nelle loro pagine profilo nella dashboard di WordPress. Utilizzando i link in queste colonne, è possibile consultare il registro delle attività. I link nella colonna "Autorizzato" consentono di accedere a tutti gli eventi registrati relativi all'utilizzo delle password delle applicazioni da parte dell'utente. I link nella colonna "Autorizzazione non riuscita" consentono di accedere a tutti i tentativi non riusciti di utilizzare le API del sito web quando il nome utente o l'indirizzo email dell'utente erano in uso.
Monitoring the usage of application passwords with WP Cerber
Come ricevere una notifica quando un utente crea una nuova password
Nella pagina di amministrazione del registro attività, puoi abilitare l'invio di un'e-mail o di una notifica mobile quando un utente qualsiasi o un utente specificato crea una nuova password per l'applicazione. Accedi al registro attività, seleziona "Password applicazione utente creata" dalla prima opzione sopra la tabella e fai clic su Filtro . Ora, per abilitare le notifiche, fai clic sul pulsante "Crea avviso" a destra. Per configurare l'indirizzo e-mail o il dispositivo mobile per le notifiche, passa alla scheda "Notifiche".
Per saperne di più su come configurare le notifiche di cui hai bisogno, leggi: Notifiche WordPress semplificate.
Come limitare l'accesso all'API REST e a XML-RPC
WP Cerber offre diverse opzioni per limitare l'accesso, configurabili in qualsiasi combinazione. È possibile bloccare completamente l'accesso a queste API disabilitandole; è possibile consentire o bloccare l'accesso a queste API da indirizzi IP specifici utilizzando le liste di accesso IP . Inoltre, è possibile consentire l'accesso alle API REST solo per ruoli specifici o per specifici namespace . Configurando regole di accesso basate sul paese, è possibile consentire o negare l'accesso alle API REST o a XML-RPC da un elenco di paesi.
WP Cerber Security 8.7
Gestire le password delle applicazioni WordPress in modo semplice
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.