WordPressアプリケーションのパスワードを手間なく管理する方法

English version: Managing WordPress application passwords a hassle-free way

WordPress 5.6では、セキュリティ対策としてアプリケーションパスワードを導入しました。この機能により、管理者とユーザーはREST APIなどのウェブサイトAPIにアクセスする際に、それぞれ異なるパスワードを生成・使用できるようになります。WP Cerberプラグインは、アプリケーションパスワードを効果的かつ安全に管理するためのツールセットを提供します。この記事では、アプリケーションパスワードの使用状況を監視する方法と、ユーザーがアプリケーションパスワードを作成した際に通知を受け取る方法についても説明します。

アプリケーションのパスワードを管理する必要がある

アプリケーション パスワードを使用するとセキュリティ バリアが強化されますが、WordPress のデフォルトのアプリケーション パスワード実装は最小限であり、次の問題があります。

• アプリケーションパスワードはブルートフォース攻撃に対して保護されない
• 特定のユーザーロールのパスワードを無効または有効にする機能はありません
• 標準の対話型ユーザー パスワードは、引き続き Web サイト API にアクセスするために使用できます。
• ログ記録がないため、パスワードの使用を制御できません

アプリケーションパスワードの無効化

WordPressでアプリケーションパスワードを完全に無効にしたい場合は、「アプリケーションパスワード」設定を「無効」にしてください。この設定は、「ユーザーポリシー」管理メニューの「グローバル」タブにあります。有効にすると、ユーザーは新しいパスワードを作成できなくなり、以前に生成されたパスワードも使用できなくなります。より高度な管理方法については、この記事の残りの部分をご覧ください。

WP Cerberを使用してアプリケーションのパスワードを管理する

すべての設定は「ユーザーポリシー」管理メニューにあります。ウェブサイト上のすべてのユーザーに対してアプリケーションパスワードの使用を設定するには、「グローバル」タブに切り替えます。各ユーザーロールごとに設定を個別に行うには、「ロールベース」タブに切り替えます。ロールごとに設定された設定は、より優先されます。

設定する必要があるWP Cerber設定の名前は「アプリケーションパスワード」です。

Managing WordPress application passwords with WP Cerber

設定のデフォルト値は、WordPressの実装方法と同様に、アプリケーションパスワードの使用を許可します。これは、従来のパスワード（ユーザーがログインフォームからウェブサイトにログインする際に使用するパスワード）と、ウェブサイトAPIにアクセスする際にアプリケーションパスワードの両方を使用することを意味します。この場合の設定は「有効、標準ユーザーパスワードを使用したAPIへのアクセスを許可」です。

アプリケーションパスワードをより安全かつ高度に活用し、推奨される方法は、ウェブサイトAPIへのアクセスをアプリケーションパスワードのみで許可することです。この場合、ウェブサイトAPIへのアクセス時に、たとえ有効なパスワードを指定しても、従来の対話型パスワードは使用できません。APIへのアクセス試行はすべて拒否されます。これを実現するには、 「有効、標準ユーザーパスワードを使用したAPIへのアクセスは許可しない」を選択してください。

アプリケーション パスワードを処理する最後の簡単な方法は、設定を「無効」にしてパスワードを無効にすることです。

特定のユーザーロールの設定を構成する

ロールに設定されたすべての設定は、グローバル設定よりも優先されます。そのため、すべてのユーザーに対してアプリケーションパスワードの使用をグローバルに無効にし、特定のロールに対してのみ有効にすることができます。

すべてのロールのデフォルト値は、「グローバル」タブで設定されたグローバル設定を使用することです。ロール設定では、このオプションは「グローバルポリシーを使用する」という名前になっています。これは、ロールの設定がグローバル設定に加えられたすべての変更を継承することを意味します。

「グローバル ポリシーを使用する」オプション以外を選択した場合、「グローバル」タブで構成された設定ではなく、選択したオプションがロールに影響します。

注: ロールベースの設定は、 WP Cerber のプロフェッショナル バージョンで利用できます。

アプリケーションパスワードの使用状況を監視する方法

WP Cerberは、WordPressダッシュボードのユーザープロフィールページにあるアプリケーションパスワードのリストに2つの新しい列を追加します。これらの列のリンクを使用すると、アクティビティログを確認できます。 「承認済み」列のリンクをクリックすると、ユーザーがアプリケーションパスワードを使用した際に記録されたすべてのイベントが表示されます。 「承認失敗」列のリンクをクリックすると、ユーザーのユーザー名またはメールアドレスが使用されていた際にウェブサイトAPIの使用に失敗したすべての試行が表示されます。

Monitoring the usage of application passwords with WP Cerber

ユーザーが新しいパスワードを作成したときに通知を受け取る方法

アクティビティログ管理ページでは、任意のユーザーまたは特定のユーザーが新しいアプリケーションパスワードを作成したときに、メールまたはモバイル通知を送信するよう設定できます。アクティビティログに移動し、表の上にある最初の選択肢から「ユーザーによるアプリケーションパスワードの作成」を選択し、「フィルター」をクリックします。通知を有効にするには、右側の「アラートを作成」ボタンをクリックします。通知先のメールアドレスまたはモバイルデバイスを設定するには、「通知」タブに切り替えます。

必要な通知を設定する方法の詳細については、 「WordPress 通知が簡単に」をお読みください。

REST APIとXML-RPCへのアクセスを制限する方法

WP Cerber はアクセスを制限するための複数のオプションを提供しており、それらを自由に組み合わせて設定できます。これらの API を無効化することで、アクセスを完全にブロックできます。また、 IP アクセスリストを使用することで、特定の IP アドレスからのアクセスを許可またはブロックできます。さらに、特定のロールまたは特定の名前空間のみに REST API へのアクセスを許可することもできます。国別のアクセスルールを設定することで、国をリストにして REST API または XML-RPC へのアクセスを許可または拒否できます。