Gestire le password delle applicazioni WordPress in modo semplice
English version: Managing WordPress application passwords a hassle-free way
L'utilizzo delle password delle applicazioni come misura di sicurezza è stato introdotto in WordPress 5.6. Questa funzionalità consente a te e ai tuoi utenti di generare e utilizzare password separate per accedere alle API del sito Web come l'API REST . Il plugin WP Cerber offre una serie di strumenti per gestire le password delle applicazioni in modo efficace e sicuro. In questo articolo ti mostreremo anche come monitorare l'utilizzo delle password delle applicazioni e come ricevere una notifica quando un utente ne crea una.
Dobbiamo controllare le password delle applicazioni
Sebbene l’utilizzo delle password delle applicazioni comporti un’ulteriore barriera di sicurezza, l’implementazione predefinita di WordPress delle password delle applicazioni è minimalista e presenta i seguenti problemi.
- Le password delle applicazioni non hanno protezione contro gli attacchi di forza bruta
- Non abbiamo la possibilità di disabilitare o abilitare le password per un ruolo utente specifico
- È comunque possibile utilizzare password utente standard e interattive per accedere alle API del sito Web.
- Non abbiamo alcun controllo sull'uso delle password a causa della mancanza di registrazione
Disabilitazione delle password dell'applicazione
Se desideri disabilitare completamente le password delle applicazioni su WordPress, imposta l'impostazione "Password delle applicazioni" su "Disabilitata". Questa impostazione si trova nel menu di amministrazione "Criteri utente" nella scheda "Globale". Una volta attivato, gli utenti non saranno più in grado di creare nuove password e utilizzare le password generate in precedenza. Per una gestione avanzata, leggere il resto dell'articolo.
Utilizza WP Cerber per gestire le password delle applicazioni
Tutte le impostazioni si trovano nel menu di amministrazione "Politiche utente". Per configurare l'uso delle password dell'applicazione per tutti gli utenti del tuo sito web, passa alla scheda "Globale". Per configurare separatamente l'impostazione per ciascun ruolo utente, passare alla scheda "Basato sul ruolo". Le impostazioni configurate per un ruolo hanno una priorità più alta.
L'impostazione WP Cerber che devi configurare è denominata "Password dell'applicazione"
Il valore predefinito dell'impostazione è consentire l'uso delle password dell'applicazione nel modo in cui è implementata in WordPress. Implica l'utilizzo sia delle password tradizionali (che gli utenti utilizzano per accedere al tuo sito Web tramite un modulo di accesso) sia delle password dell'applicazione quando accedono alle API del sito Web. L'impostazione in questo caso è "Abilitato, è consentito l'accesso all'API utilizzando password utente standard" .
Un modo più sicuro, avanzato e consigliato di utilizzare le password dell'applicazione consiste nel consentire l'accesso alle API del sito Web utilizzando solo le password dell'applicazione. In questo caso non è possibile utilizzare le tradizionali password interattive per l'accesso alle API del sito web, anche se quella specificata è valida. Qualsiasi tentativo di ottenere l'accesso alle API verrà negato. A tale scopo, selezionare "Abilitato, nessun accesso all'API utilizzando password utente standard" .
L'ultimo e semplice modo di gestire le password delle applicazioni è disabilitarle con l'impostazione impostata su "Disabilita" .
Configurare le impostazioni per un ruolo utente specifico
Tutte le impostazioni configurate per un ruolo hanno una priorità maggiore rispetto a quelle globali. È quindi possibile disabilitare l'utilizzo delle password dell'applicazione a livello globale per tutti gli utenti e abilitarle solo per un ruolo specifico.
Il valore predefinito per tutti i ruoli consiste nell'utilizzare le impostazioni globali configurate nella scheda "Globale". Nelle impostazioni del ruolo, questa opzione è denominata "Utilizza policy globali". Ciò significa che l'impostazione del ruolo eredita tutte le modifiche apportate alle impostazioni globali.
Se selezioni un'opzione diversa da "Utilizza criteri globali", l'opzione selezionata avrà effetto sul ruolo invece che su un'impostazione configurata nella scheda "Globale".
Nota: le impostazioni basate sui ruoli sono disponibili nella versione professionale di WP Cerber .
Come monitorare l'utilizzo della password dell'applicazione
WP Cerber aggiunge due nuove colonne agli elenchi delle password delle applicazioni degli utenti sulle pagine dei loro profili nella dashboard di WordPress. Utilizzando i collegamenti in queste colonne, puoi controllare il registro delle attività. I collegamenti della colonna "Autorizzato" consentono di accedere a tutti gli eventi registrati relativi all'utilizzo delle password dell'applicazione da parte dell'utente. I collegamenti nella colonna "Autorizzazione non riuscita" ti indirizzano a tutti i tentativi non riusciti di utilizzare le API del sito Web quando erano in uso il nome utente o l'e-mail dell'utente.
Come ricevere una notifica quando un utente crea una nuova password
Nella pagina di amministrazione del registro attività, puoi abilitare l'invio di un'e-mail o di una notifica mobile quando un utente o uno specificato crea una nuova password per l'applicazione. Vai al registro attività, seleziona "Password applicazione utente creata" dalla prima selezione sopra la tabella e fai clic su Filtro . Ora, per abilitare le notifiche, devi fare clic sul pulsante "Crea avviso" a destra. Per configurare l'indirizzo email o il dispositivo mobile per le notifiche, passa alla scheda "Notifiche".
Per favore leggi di più su come configurare qualsiasi notifica di cui hai bisogno: le notifiche di WordPress sono facili.
Come limitare l'accesso all'API REST e XML-RPC
WP Cerber offre diverse opzioni per limitare l'accesso e puoi configurarne qualsiasi combinazione. Puoi bloccare completamente l'accesso a queste API disabilitandole; è possibile consentire o bloccare l'accesso a queste API da indirizzi IP specifici utilizzando gli elenchi di accesso IP . Inoltre, puoi consentire l'accesso all'API REST per ruoli specifici o solo per spazi dei nomi specifici . Configurando le regole di accesso basate sul paese, puoi consentire o negare l'accesso all'API REST o XML-RPC in base a un elenco di paesi.