Security Blog

Gestire le password applicazione WordPress un modo senza problemi


English version: Managing WordPress application passwords a hassle-free way


L'uso delle password delle applicazioni come misura di sicurezza è stato introdotto in WordPress 5.6. Questa funzione consente a te e ai tuoi utenti di generare e utilizzare password separate per accedere alle API del sito Web come l' API REST . Il plugin WP Cerber offre una serie di strumenti per gestire le password delle applicazioni in modo efficace e sicuro. In questo articolo, ti mostreremo anche come monitorare l'utilizzo delle password delle applicazioni e come ricevere una notifica quando un utente ne crea una.

Dobbiamo controllare le password delle applicazioni

Sebbene l'utilizzo delle password delle applicazioni offra un'ulteriore barriera di sicurezza, l'implementazione predefinita di WordPress delle password delle applicazioni è minimalista e presenta i seguenti problemi.

  • Le password delle applicazioni non hanno protezione contro gli attacchi di forza bruta
  • Non abbiamo la possibilità di disabilitare o abilitare le password per un ruolo utente specifico
  • Le password utente standard e interattive possono ancora essere utilizzate per accedere alle API del sito web.
  • Non abbiamo alcun controllo sull'uso delle password a causa della mancanza di registrazione

Disabilitazione delle password delle applicazioni

Se desideri disabilitare completamente le password delle applicazioni su WordPress, imposta l'impostazione "Password delle applicazioni" su "Disabilitato". Questa impostazione si trova nel menu di amministrazione "Criteri utente" nella scheda "Globale". Una volta attivato, gli utenti non saranno più in grado di creare nuove password e utilizzare nessuna delle password generate in precedenza. Per la gestione avanzata, leggi il resto dell'articolo.

Usa WP Cerber per gestire le password delle applicazioni

Tutte le impostazioni si trovano nel menu di amministrazione "Criteri utente". Per configurare l'utilizzo delle password delle applicazioni per tutti gli utenti del tuo sito web, passa alla scheda "Globale". Per configurare l'impostazione per ogni ruolo utente separatamente, passare alla scheda "Basato sul ruolo". Le impostazioni configurate per un ruolo hanno una priorità maggiore.

L'impostazione di WP Cerber che devi configurare è denominata "Password applicazione"

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Il valore predefinito dell'impostazione è di consentire l'uso delle password dell'applicazione nel modo in cui è implementato in WordPress. Implica l'utilizzo sia delle password tradizionali (che gli utenti utilizzano per accedere al tuo sito Web tramite un modulo di accesso) sia delle password dell'applicazione quando accedono alle API del sito Web. L'impostazione in questo caso è "Abilitato, l'accesso all'API utilizzando password utente standard è consentito" .

Un modo più sicuro, avanzato e consigliato di utilizzare le password delle applicazioni consiste nel consentire l'accesso alle API del sito Web utilizzando solo le password delle applicazioni. In questo caso, le password interattive tradizionali non possono essere utilizzate quando si accede alle API del sito Web, anche se quella specificata è valida. Qualsiasi tentativo di ottenere l'accesso alle API verrà negato. Per ottenere ciò, seleziona "Abilitato, nessun accesso all'API utilizzando password utente standard" .

L'ultimo e semplice modo per gestire le password delle applicazioni è disabilitarle con l'impostazione "Disabilita" .

Configurare le impostazioni per un ruolo utente specifico

Tutte le impostazioni configurate per un ruolo hanno una priorità maggiore rispetto a quelle globali. Quindi puoi disabilitare l'utilizzo delle password delle applicazioni a livello globale per tutti gli utenti e abilitarle solo per un ruolo specifico.

Il valore predefinito per tutti i ruoli consiste nell'utilizzare le impostazioni globali configurate nella scheda "Globale". Nelle impostazioni del ruolo, questa opzione è denominata "Usa criteri globali". Ciò significa che l'impostazione del ruolo eredita tutte le modifiche apportate alle impostazioni globali.

Se selezioni un'opzione diversa dall'opzione "Usa criteri globali", tale opzione avrà effetto sul ruolo anziché su un'impostazione configurata nella scheda "Globale".

Nota: le impostazioni basate sui ruoli sono disponibili nella versione professionale di WP Cerber .

Come monitorare l'utilizzo della password dell'applicazione

WP Cerber aggiunge due nuove colonne agli elenchi delle password delle applicazioni degli utenti nelle pagine del loro profilo nella dashboard di WordPress. Utilizzando i collegamenti in queste colonne, puoi controllare il registro delle attività. I collegamenti della colonna "Autorizzato" consentono di accedere a tutti gli eventi registrati relativi all'utilizzo delle password dell'applicazione da parte dell'utente. I collegamenti nella colonna "Autorizzazione non riuscita" consentono di accedere a tutti i tentativi non riusciti di utilizzare le API del sito Web quando il nome utente o l'email dell'utente erano in uso.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Come ricevere una notifica quando un utente crea una nuova password

Nella pagina di amministrazione del registro delle attività, è possibile abilitare l'invio di un'e-mail o di una notifica mobile quando un utente o uno specificato crea una nuova password dell'applicazione. Vai al registro delle attività, seleziona "Password applicazione utente creata" dalla prima selezione sopra la tabella e fai clic su Filtro . Ora, per abilitare le notifiche, è necessario fare clic sul pulsante "Crea avviso" a destra. Per configurare l'indirizzo e-mail o il dispositivo mobile per le notifiche, passa alla scheda "Notifiche".

Leggi di più su come configurare le notifiche di cui hai bisogno: Notifiche di WordPress semplificate.

Come limitare l'accesso a REST API e XML-RPC

WP Cerber offre diverse opzioni per limitare l'accesso e puoi configurare qualsiasi combinazione di esse. Puoi bloccare completamente l'accesso a queste API disabilitandole; è possibile consentire o bloccare l'accesso a queste API da indirizzi IP specifici utilizzando gli elenchi di accesso IP . Inoltre, puoi consentire l'accesso all'API REST per ruoli specifici o solo per spazi dei nomi specifici . Configurando le regole di accesso basate sul paese, è possibile consentire o negare l'accesso all'API REST o XML-RPC da un elenco di paesi.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.