Gestire le password delle applicazioni WordPress in modo semplice e senza problemi
English version: Managing WordPress application passwords a hassle-free way
L'utilizzo delle password per le applicazioni come misura di sicurezza è stato introdotto in WordPress 5.6. Questa funzionalità consente a te e ai tuoi utenti di generare e utilizzare password separate per accedere alle API del sito web, come le API REST . Il plugin WP Cerber offre una serie di strumenti per gestire le password delle applicazioni in modo efficace e sicuro. In questo articolo, ti mostreremo anche come monitorare l'utilizzo delle password per le applicazioni e come ricevere una notifica quando un utente ne crea una.
Dobbiamo controllare le password delle applicazioni
Sebbene l'utilizzo di password per le applicazioni introduca un ulteriore livello di sicurezza, l'implementazione predefinita di WordPress è minimalista e presenta i seguenti problemi.
- Le password delle applicazioni non offrono alcuna protezione contro gli attacchi di forza bruta.
- Non abbiamo la possibilità di disabilitare o abilitare le password per uno specifico ruolo utente.
- Le password utente standard e interattive possono ancora essere utilizzate per accedere alle API dei siti web.
- Non abbiamo alcun controllo sull'utilizzo delle password a causa della mancanza di un sistema di registrazione.
Disabilitazione delle password delle applicazioni
Se desideri disabilitare completamente le password delle applicazioni sul tuo sito WordPress, imposta l'opzione "Password delle applicazioni" su "Disabilitato". Questa impostazione si trova nel menu di amministrazione "Politiche utente", nella scheda "Globale". Una volta attivata, gli utenti non potranno più creare nuove password né utilizzare quelle generate in precedenza. Per una gestione più avanzata, consulta il resto dell'articolo.
Utilizza WP Cerber per gestire le password delle applicazioni
Tutte le impostazioni si trovano nel menu di amministrazione "Criteri utente". Per configurare l'utilizzo delle password delle applicazioni per tutti gli utenti del tuo sito web, passa alla scheda "Globale". Per configurare l'impostazione per ciascun ruolo utente separatamente, passa alla scheda "In base al ruolo". Le impostazioni configurate per un ruolo hanno una priorità maggiore.
L'impostazione di WP Cerber che devi configurare si chiama "Password delle applicazioni".
Managing WordPress application passwords with WP Cerber
Il valore predefinito dell'impostazione consente l'utilizzo delle password dell'applicazione così come implementato in WordPress. Ciò implica l'utilizzo sia delle password tradizionali (quelle che gli utenti usano per accedere al sito web tramite un modulo di login) sia delle password dell'applicazione per accedere alle API del sito. L'impostazione in questo caso è "Abilitato, l'accesso alle API tramite password utente standard è consentito" .
Un metodo più sicuro, avanzato e consigliato per utilizzare le password delle applicazioni consiste nel consentire l'accesso alle API del sito web esclusivamente tramite le password delle applicazioni. In questo caso, le password interattive tradizionali non possono essere utilizzate per accedere alle API del sito web, anche se quella specificata è valida. Qualsiasi tentativo di accesso alle API verrà negato. Per attivare questa opzione, selezionare "Abilitato, nessun accesso alle API tramite password utente standard" .
L'ultimo e più semplice metodo per gestire le password delle applicazioni è disabilitarle impostando l'opzione su "Disabilita" .
Configura le impostazioni per uno specifico ruolo utente
Tutte le impostazioni configurate per un ruolo hanno una priorità più alta rispetto a quelle globali. Pertanto, è possibile disabilitare l'utilizzo delle password delle applicazioni a livello globale per tutti gli utenti e abilitarle solo per un ruolo specifico.
Il valore predefinito per tutti i ruoli è l'utilizzo delle impostazioni globali configurate nella scheda "Globale". Nelle impostazioni del ruolo, questa opzione si chiama "Usa criteri globali". Ciò significa che l'impostazione del ruolo eredita tutte le modifiche apportate alle impostazioni globali.
Se si seleziona un'opzione diversa da "Usa criteri globali", tale opzione avrà effetto sul ruolo anziché un'impostazione configurata nella scheda "Globale".
Nota: le impostazioni basate sui ruoli sono disponibili nella versione professionale di WP Cerber .
Come monitorare l'utilizzo delle password delle applicazioni
WP Cerber aggiunge due nuove colonne agli elenchi delle password delle applicazioni degli utenti nelle pagine del loro profilo nella bacheca di WordPress. Utilizzando i link in queste colonne, è possibile consultare il registro delle attività. I link nella colonna "Autorizzato" rimandano a tutti gli eventi registrati relativi all'utilizzo delle password delle applicazioni da parte dell'utente. I link nella colonna "Autorizzazione non riuscita" rimandano a tutti i tentativi non riusciti di utilizzare le API del sito web quando il nome utente o l'indirizzo email dell'utente erano in uso.
Monitoring the usage of application passwords with WP Cerber
Come ricevere una notifica quando un utente crea una nuova password
Nella pagina di amministrazione del registro attività, è possibile abilitare l'invio di un'e-mail o di una notifica mobile quando un utente, o un utente specifico, crea una nuova password per l'applicazione. Accedere al registro attività, selezionare "Utente password applicazione creato" dal primo menu a tendina in alto nella tabella e fare clic su " Filtra ". Ora, per abilitare le notifiche, è necessario fare clic sul pulsante "Crea avviso" a destra. Per configurare l'indirizzo e-mail o il dispositivo mobile per le notifiche, passare alla scheda "Notifiche".
Per maggiori informazioni su come configurare le notifiche di cui hai bisogno, leggi: Notifiche WordPress semplificate.
Come limitare l'accesso alle API REST e XML-RPC
WP Cerber offre diverse opzioni per limitare l'accesso e puoi configurarne qualsiasi combinazione. Puoi bloccare completamente l'accesso a queste API disabilitandole; puoi consentire o bloccare l'accesso a queste API da specifici indirizzi IP utilizzando le liste di controllo degli accessi IP . Inoltre, puoi consentire l'accesso alle API REST solo per ruoli specifici o solo per namespace specifici . Configurando le regole di accesso basate sul paese, puoi consentire o negare l'accesso alle API REST o XML-RPC per un elenco di paesi.
Perché è necessario utilizzare un URL di accesso personalizzato per il tuo WordPress
Come fermare bot e robot con un elenco di accessi vietati
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.