WordPress アプリケーションのパスワードを手間のかからない方法で管理する
English version: Managing WordPress application passwords a hassle-free way
セキュリティ対策としてのアプリケーション パスワードの使用は、WordPress 5.6 で導入されました。この機能を使用すると、管理者とユーザーは、 REST APIなどの Web サイト API にアクセスするための別々のパスワードを生成して使用できます。 WP Cerber プラグインは、アプリケーションのパスワードを効果的かつ安全な方法で管理するためのツール セットを提供します。この記事では、アプリケーション パスワードの使用状況を監視する方法と、ユーザーがパスワードを作成したときに通知を受け取る方法についても説明します。
アプリケーションのパスワードを管理する必要がある
アプリケーション パスワードを使用すると追加のセキュリティ障壁が生じますが、アプリケーション パスワードのデフォルトの WordPress 実装は最小限であり、次の問題があります。
- アプリケーションのパスワードにはブルート フォース攻撃に対する保護がありません
- 特定のユーザー役割のパスワードを無効または有効にすることはできません
- 標準の対話型ユーザー パスワードは、引き続き Web サイト API へのアクセスに使用できます。
- ログ記録がないため、パスワードの使用を制御できません
アプリケーションパスワードの無効化
WordPress でアプリケーション パスワードを完全に無効にしたい場合は、「アプリケーション パスワード」設定を「無効」に設定します。この設定は、[グローバル] タブの [ユーザー ポリシー] 管理メニューの下にあります。アクティブ化すると、ユーザーは新しいパスワードを作成したり、以前に生成されたパスワードを使用したりできなくなります。高度な管理については、記事の残りの部分をお読みください。
WP Cerber を使用してアプリケーションのパスワードを管理する
すべての設定は、「ユーザー ポリシー」管理メニューの下にあります。 Web サイト上のすべてのユーザーに対してアプリケーション パスワードの使用を設定するには、[グローバル] タブに切り替えます。各ユーザーの役割を個別に設定するには、「役割ベース」タブに切り替えます。役割に対して構成された設定の優先順位が高くなります。
構成する必要がある WP Cerber 設定の名前は「アプリケーション パスワード」です。
この設定のデフォルト値は、WordPress での実装方法に従ってアプリケーション パスワードの使用を許可することです。これは、Web サイト API にアクセスするときに、従来のパスワード (ユーザーがログイン フォーム経由で Web サイトにログインするために使用するパスワード) とアプリケーション パスワードの両方を使用することを意味します。この場合の設定は「有効、標準ユーザーパスワードを使用した API へのアクセスが許可されます」です。
アプリケーション パスワードを使用するより安全で高度な推奨される方法は、アプリケーション パスワードのみを使用して Web サイト API へのアクセスを許可することです。この場合、指定されたパスワードが有効であっても、Web サイト API にアクセスするときに従来の対話型パスワードを使用することはできません。 API にアクセスしようとしても拒否されます。これを実現するには、 「有効、標準ユーザー パスワードを使用して API にアクセスしない」を選択します。
アプリケーション パスワードを扱う最後の簡単な方法は、設定を"Disable"に設定してパスワードを無効にすることです。
特定のユーザー役割の設定を構成する
ロールに対して構成されたすべての設定は、グローバル設定よりも高い優先度を持ちます。したがって、すべてのユーザーに対してグローバルにアプリケーション パスワードの使用を無効にし、特定のロールに対してのみ有効にすることができます。
すべての役割のデフォルト値は、「グローバル」タブで構成されたグローバル設定を使用することです。役割設定では、このオプションの名前は「グローバル ポリシーを使用する」です。これは、ロールの設定がグローバル設定に加えられたすべての変更を継承することを意味します。
[グローバル ポリシーを使用する] オプション以外を選択した場合、[グローバル] タブで構成された設定ではなく、選択したオプションがロールに影響します。
注: ロールベースの設定は、 WP Cerber のプロフェッショナル バージョンで利用できます。
アプリケーションパスワードの使用状況を監視する方法
WP Cerber は、WordPress ダッシュボードのプロフィール ページにあるユーザーのアプリケーション パスワードのリストに 2 つの新しい列を追加します。これらの列のリンクを使用すると、アクティビティ ログを確認できます。 「承認済み」列のリンクは、ユーザーによるアプリケーション パスワードの使用に関する記録されたすべてのイベントに移動します。 「認証失敗」列のリンクは、ユーザーのユーザー名または電子メールが使用されていたときに Web サイト API を使用しようとして失敗したすべての試行に移動します。
ユーザーが新しいパスワードを作成したときに通知を受け取る方法
[アクティビティ ログ管理] ページでは、任意のユーザーまたは指定されたユーザーが新しいアプリケーション パスワードを作成したときに電子メールまたはモバイル通知の送信を有効にすることができます。アクティビティ ログに移動し、表の上の最初の選択から「ユーザー アプリケーション パスワードが作成されました」を選択し、 [フィルター]をクリックします。通知を有効にするには、右側の「アラートの作成」ボタンをクリックする必要があります。通知用の電子メール アドレスまたはモバイル デバイスを設定するには、[通知] タブに切り替えます。
必要な通知を設定する方法について詳しくは、 WordPress 通知を簡単にお読みください。
REST APIおよびXML-RPCへのアクセスを制限する方法
WP Cerber はアクセスを制限するためのいくつかのオプションを提供しており、それらを任意に組み合わせて構成できます。これらの API を無効にすることで、これらの API へのアクセスを完全にブロックできます。 IP アクセス リストを使用すると、特定の IP アドレスからのこれらの API へのアクセスを許可またはブロックできます。さらに、特定のロールまたは特定の名前空間のみに対して REST API へのアクセスを許可することもできます。国ベースのアクセス ルールを構成すると、国のリストに基づいて REST API または XML-RPC へのアクセスを許可または拒否できます。