WordPressアプリケーションのパスワードを手間なく管理する

English version: Managing WordPress application passwords a hassle-free way

アプリケーション パスワードをセキュリティ対策として使用することは、WordPress 5.6 で導入されました。この機能により、あなたとユーザーは、 REST APIなどの Web サイト API にアクセスするために別々のパスワードを生成して使用できるようになります。WP Cerber プラグインは、アプリケーション パスワードを効果的かつ安全に管理するためのツール セットを提供します。この記事では、アプリケーション パスワードの使用状況を監視する方法と、ユーザーがパスワードを作成したときに通知する方法についても説明します。

アプリケーションのパスワードを管理する必要がある

アプリケーション パスワードを使用するとセキュリティ バリアが強化されますが、WordPress のデフォルトのアプリケーション パスワード実装は最小限であり、次のような問題があります。

• アプリケーションパスワードはブルートフォース攻撃に対して保護されない
• 特定のユーザーロールのパスワードを無効にしたり有効にしたりすることはできません。
• 標準の対話型ユーザー パスワードは、引き続き Web サイト API にアクセスするために使用できます。
• ログ記録がないため、パスワードの使用を制御できません。

アプリケーションパスワードの無効化

WordPress でアプリケーション パスワードを完全に無効にしたい場合は、「アプリケーション パスワード」設定を「無効」にします。この設定は、「グローバル」タブの「ユーザー ポリシー」管理メニューにあります。有効にすると、ユーザーは新しいパスワードを作成できなくなり、以前に生成されたパスワードも使用できなくなります。高度な管理については、この記事の残りの部分をお読みください。

WP Cerberを使用してアプリケーションのパスワードを管理する

すべての設定は、「ユーザー ポリシー」管理メニューにあります。Web サイト上のすべてのユーザーに対してアプリケーション パスワードの使用を設定するには、「グローバル」タブに切り替えます。各ユーザー ロールの設定を個別に設定するには、「ロール ベース」タブに切り替えます。ロールに対して設定された設定は、より優先されます。

設定する必要があるWP Cerber設定の名前は「アプリケーションパスワード」です。

Managing WordPress application passwords with WP Cerber

設定のデフォルト値は、WordPress で実装されている方法でアプリケーション パスワードの使用を許可することです。これは、Web サイトのAPI にアクセスするときに、従来のパスワード (ユーザーがログイン フォーム経由で Web サイトにログインするために使用するパスワード) とアプリケーション パスワードの両方を使用することを意味します。この場合の設定は、「有効、標準ユーザー パスワードを使用した API へのアクセスが許可されます」です。

アプリケーション パスワードを使用するより安全で高度な推奨方法は、アプリケーション パスワードのみを使用して Web サイト API へのアクセスを許可することです。この場合、指定されたパスワードが有効であっても、Web サイト API にアクセスするときに従来の対話型パスワードは使用できません。API へのアクセスの試みはすべて拒否されます。これを実現するには、 [有効、標準ユーザー パスワードを使用した API へのアクセスなし]を選択します。

アプリケーション パスワードを処理する最後の簡単な方法は、設定を「無効」にしてパスワードを無効にすることです。

特定のユーザーロールの設定を構成する

ロールに構成されたすべての設定は、グローバル設定よりも優先されます。そのため、すべてのユーザーに対してアプリケーション パスワードの使用をグローバルに無効にし、特定のロールに対してのみ有効にすることができます。

すべてのロールのデフォルト値は、「グローバル」タブで構成されたグローバル設定を使用することです。ロール設定では、このオプションは「グローバル ポリシーを使用する」という名前です。つまり、ロールの設定は、グローバル設定に加えられたすべての変更を継承します。

「グローバル ポリシーを使用する」オプション以外を選択した場合、「グローバル」タブで構成された設定ではなく、選択したオプションがロールに影響します。

注: ロールベースの設定は、WP Cerber のプロフェッショナル バージョンで利用できます。

アプリケーションパスワードの使用状況を監視する方法

WP Cerber は、WordPress ダッシュボードのプロフィール ページにあるユーザーのアプリケーション パスワードのリストに 2 つの新しい列を追加します。これらの列のリンクを使用すると、アクティビティ ログを確認できます。「承認済み」列のリンクを使用すると、ユーザーがアプリケーション パスワードを使用したすべてのログ イベントに移動できます。 「承認失敗」列のリンクを使用すると、ユーザーのユーザー名またはメール アドレスが使用されていたときに Web サイト API の使用に失敗したすべての試行に移動できます。

Monitoring the usage of application passwords with WP Cerber

ユーザーが新しいパスワードを作成したときに通知を受け取る方法

アクティビティ ログ管理ページでは、任意のユーザーまたは指定されたユーザーが新しいアプリケーション パスワードを作成したときに、電子メールまたはモバイル通知を送信するように設定できます。アクティビティ ログに移動し、表の上にある最初の選択から「ユーザー アプリケーション パスワードが作成されました」を選択し、フィルターをクリックします。通知を有効にするには、右側の「アラートの作成」ボタンをクリックする必要があります。通知用の電子メール アドレスまたはモバイル デバイスを構成するには、「通知」タブに切り替えます。

必要な通知を設定する方法の詳細については、 「WordPress 通知が簡単に作成できます」をお読みください。

REST API と XML-RPC へのアクセスを制限する方法

WP Cerber にはアクセスを制限するためのオプションがいくつか用意されており、それらの組み合わせを設定できます。これらの API を無効にすることで、API へのアクセスを完全にブロックできます。また、 IP アクセス リストを使用して、特定の IP アドレスからの API へのアクセスを許可またはブロックできます。さらに、特定のロールまたは特定の名前空間のみに REST API へのアクセスを許可することもできます。国ベースのアクセス ルールを設定することで、国のリストに基づいて REST API または XML-RPC へのアクセスを許可または拒否できます。