Security Blog

WordPressアプリケーションのパスワードを手間のかからない方法で管理する


English version: Managing WordPress application passwords a hassle-free way


セキュリティ対策としてのアプリケーションパスワードの使用は、WordPress5.6で導入されました。この機能により、ユーザーとユーザーは、RESTAPIなどのWebサイトAPIにアクセスするための個別のパスワードを生成して使用できます。 WP Cerberプラグインは、効果的かつ安全な方法でアプリケーションのパスワードを管理するための一連のツールを提供します。この記事では、アプリケーションパスワードの使用状況を監視する方法と、ユーザーがパスワードを作成したときに通知を受ける方法についても説明します。

アプリケーションのパスワードを管理する必要があります

アプリケーションパスワードを使用するとセキュリティ上の障壁が追加されますが、アプリケーションパスワードのデフォルトのWordPress実装は最小限であり、次の問題があります。

  • アプリケーションのパスワードには、ブルートフォース攻撃に対する保護はありません。
  • 特定のユーザーロールのパスワードを無効または有効にする機能はありません
  • 標準のインタラクティブなユーザーパスワードを使用して、WebサイトのAPIにアクセスできます。
  • ロギングが不足しているため、パスワードの使用を制御することはできません

アプリケーションパスワードの無効化

WordPressでアプリケーションパスワードを完全に無効にする場合は、「アプリケーションパスワード」設定を「無効」に設定します。この設定は、[グローバル]タブの[ユーザーポリシー]管理メニューの下にあります。有効にすると、ユーザーは新しいパスワードを作成したり、以前に生成されたパスワードを使用したりできなくなります。高度な管理については、記事の残りの部分をお読みください。

WPCerberを使用してアプリケーションのパスワードを管理する

すべての設定は、「ユーザーポリシー」管理メニューの下にあります。 Webサイトのすべてのユーザーのアプリケーションパスワードの使用を構成するには、[グローバル]タブに切り替えます。各ユーザーロールの設定を個別に構成するには、[ロールベース]タブに切り替えます。ロールに設定された設定の優先度が高くなります。

構成する必要のあるWPCerber設定には、「アプリケーションパスワード」という名前が付けられています。

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

設定のデフォルト値は、WordPressでの実装方法でアプリケーションパスワードの使用を許可することです。これは、WebサイトAPIにアクセスするときに、従来のパスワード(ユーザーがログインフォームを介してWebサイトにログインするために使用する)とアプリケーションパスワードの両方を使用することを意味します。この場合の設定は「有効、標準ユーザーパスワードを使用したAPIへのアクセスが許可されます」です。

アプリケーションパスワードを使用するためのより安全で高度な推奨される方法は、アプリケーションパスワードのみを使用してWebサイトAPIへのアクセスを許可することです。この場合、指定されたパスワードが有効であっても、WebサイトAPIにアクセスするときに従来の対話型パスワードを使用することはできません。 APIにアクセスしようとする試みはすべて拒否されます。これを実現するには、[有効、標準のユーザーパスワードを使用したAPIへのアクセスなし]を選択します。

アプリケーションパスワードを処理する最後の簡単な方法は、 「無効」に設定してパスワードを無効にすることです。

特定のユーザーロールの設定を構成する

ロールに設定されているすべての設定は、グローバル設定よりも優先されます。したがって、すべてのユーザーに対してグローバルにアプリケーションパスワードの使用を無効にし、特定の役割に対してのみ有効にすることができます。

すべての役割のデフォルト値は、[グローバル]タブで構成されたグローバル設定を使用することです。ロール設定では、このオプションは「グローバルポリシーを使用する」という名前です。これは、ロールの設定がグローバル設定に加えられたすべての変更を継承することを意味します。

[グローバルポリシーを使用する]オプション以外を選択した場合、その選択したオプションは、[グローバル]タブで構成された設定ではなく、ロールに影響します。

注:役割ベースの設定は、WPCerberのプロフェッショナルバージョンで使用できます。

アプリケーションパスワードの使用状況を監視する方法

WP Cerberは、WordPressダッシュボードのプロファイルページにあるユーザーのアプリケーションパスワードのリストに2つの新しい列を追加します。これらの列のリンクを使用して、アクティビティログを確認できます。 [承認済み]列のリンクから、ユーザーがアプリケーションパスワードを使用したときに記録されたすべてのイベントに移動できます。 [認証に失敗しました]列のリンクから、ユーザーのユーザー名または電子メールが使用されているときにWebサイトAPIを使用しようとして失敗したすべての試みに移動します。

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

ユーザーが新しいパスワードを作成したときに通知を受け取る方法

アクティビティログ管理ページでは、任意のユーザーまたは指定されたユーザーが新しいアプリケーションパスワードを作成したときに、電子メールまたはモバイル通知の送信を有効にできます。アクティビティログに移動し、テーブルの上にある最初の選択から[作成されたユーザーアプリケーションパスワード]を選択し、[フィルター]をクリックします。ここで、通知を有効にするには、右側の[アラートの作成]ボタンをクリックする必要があります。メールアドレスまたはモバイルデバイスに通知を設定するには、[通知]タブに切り替えます。

必要な通知を構成する方法の詳細をお読みください: WordPress通知が簡単になりました。

RESTAPIおよびXML-RPCへのアクセスを制限する方法

WP Cerberには、アクセスを制限するためのいくつかのオプションがあり、それらの任意の組み合わせを構成できます。これらのAPIを無効にすることで、これらのAPIへのアクセスを完全にブロックできます。 IPアクセスリストを使用して、特定のIPアドレスからのこれらのAPIへのアクセスを許可またはブロックできます。さらに、特定のロールまたは特定の名前空間に対してのみRESTAPIへのアクセスを許可できます。国ベースのアクセスルールを構成することにより、国のリストによってRESTAPIまたはXML-RPCへのアクセスを許可または拒否できます。


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.