Beheer WordPress-applicatiewachtwoorden op een eenvoudige manier.
English version: Managing WordPress application passwords a hassle-free way
Het gebruik van applicatiewachtwoorden als beveiligingsmaatregel werd geïntroduceerd in WordPress 5.6. Deze functie stelt u en uw gebruikers in staat om aparte wachtwoorden te genereren en te gebruiken voor toegang tot website-API's, zoals de REST API . De WP Cerber-plugin biedt een reeks tools om applicatiewachtwoorden effectief en veilig te beheren. In dit artikel laten we u ook zien hoe u het gebruik van applicatiewachtwoorden kunt monitoren en hoe u een melding kunt ontvangen wanneer een gebruiker een nieuw wachtwoord aanmaakt.
We moeten de wachtwoorden van applicaties beheren.
Hoewel het gebruik van applicatiewachtwoorden een extra beveiligingslaag biedt, is de standaardimplementatie van applicatiewachtwoorden in WordPress minimalistisch en kent deze de volgende problemen.
- Applicatiewachtwoorden zijn niet beschermd tegen brute-force-aanvallen.
- We hebben geen mogelijkheid om wachtwoorden voor een specifieke gebruikersrol in of uit te schakelen.
- Standaard, interactieve gebruikerswachtwoorden kunnen nog steeds worden gebruikt om toegang te krijgen tot website-API's.
- We hebben geen controle over het gebruik van wachtwoorden vanwege een gebrek aan registratie.
Applicatiewachtwoorden uitschakelen
Als u applicatiewachtwoorden op uw WordPress-website volledig wilt uitschakelen, stelt u de instelling 'Applicatiewachtwoorden' in op 'Uitgeschakeld'. Deze instelling vindt u in het beheerdersmenu 'Gebruikersbeleid' op het tabblad 'Algemeen'. Zodra deze instelling is geactiveerd, kunnen gebruikers geen nieuwe wachtwoorden meer aanmaken en kunnen ze geen van de eerder gegenereerde wachtwoorden meer gebruiken. Lees de rest van dit artikel voor meer informatie over geavanceerd beheer.
Gebruik WP Cerber om applicatiewachtwoorden te beheren.
Alle instellingen vindt u onder het beheerdersmenu "Gebruikersbeleid". Om het gebruik van applicatiewachtwoorden voor alle gebruikers op uw website te configureren, gaat u naar het tabblad "Algemeen". Om de instelling voor elke gebruikersrol afzonderlijk te configureren, gaat u naar het tabblad "Op rol gebaseerd". De instellingen die voor een rol zijn geconfigureerd, hebben een hogere prioriteit.
De WP Cerber-instelling die u moet configureren, heet "Applicatiewachtwoorden".
Managing WordPress application passwords with WP Cerber
De standaardwaarde van deze instelling staat het gebruik van applicatiewachtwoorden toe zoals dat in WordPress is geïmplementeerd. Dit houdt in dat zowel traditionele wachtwoorden (die gebruikers gebruiken om in te loggen op uw website via een inlogformulier) als applicatiewachtwoorden gebruikt kunnen worden bij toegang tot website-API's. De instelling is in dit geval "Ingeschakeld, toegang tot API met standaard gebruikerswachtwoorden is toegestaan" .
Een veiligere, geavanceerdere en aanbevolen manier om applicatiewachtwoorden te gebruiken, is door toegang tot website-API's alleen toe te staan met applicatiewachtwoorden. In dit geval kunnen traditionele interactieve wachtwoorden niet worden gebruikt voor toegang tot website-API's, zelfs niet als het opgegeven wachtwoord geldig is. Elke poging om toegang te krijgen tot API's zal worden geweigerd. Om dit te bereiken, selecteert u 'Ingeschakeld, geen toegang tot API met standaard gebruikerswachtwoorden' .
De laatste en meest eenvoudige manier om met applicatiewachtwoorden om te gaan, is door ze uit te schakelen met de instelling "Uitschakelen" .
Configureer instellingen voor een specifieke gebruikersrol.
Alle instellingen die voor een rol zijn geconfigureerd, hebben een hogere prioriteit dan de algemene instellingen. U kunt het gebruik van applicatiewachtwoorden dus globaal voor alle gebruikers uitschakelen en ze alleen voor een specifieke rol inschakelen.
De standaardwaarde voor alle rollen is het gebruik van de globale instellingen die zijn geconfigureerd op het tabblad "Globaal". In de rolinstellingen heet deze optie "Globale beleidsregels gebruiken". Dit betekent dat de rolinstellingen alle wijzigingen overnemen die in de globale instellingen zijn aangebracht.
Als u een andere optie selecteert dan 'Globale beleidsregels gebruiken', heeft die geselecteerde optie invloed op de rol in plaats van op een instelling die is geconfigureerd op het tabblad 'Globaal'.
Let op: de op rollen gebaseerde instellingen zijn beschikbaar in de professionele versie van WP Cerber .
Hoe u het gebruik van applicatiewachtwoorden kunt monitoren
WP Cerber voegt twee nieuwe kolommen toe aan de lijst met applicatiewachtwoorden van gebruikers op hun profielpagina's in het WordPress-dashboard. Via de links in deze kolommen kunt u het activiteitenlogboek raadplegen. De links in de kolom 'Geautoriseerd' leiden u naar alle geregistreerde gebeurtenissen waarbij de gebruiker applicatiewachtwoorden heeft gebruikt. De links in de kolom 'Autorisatie mislukt' leiden u naar alle mislukte pogingen om website-API's te gebruiken waarbij de gebruikersnaam of het e-mailadres van de gebruiker in gebruik was.
Monitoring the usage of application passwords with WP Cerber
Hoe ontvang ik een melding wanneer een gebruiker een nieuw wachtwoord aanmaakt?
Op de beheerderspagina van het activiteitenlogboek kunt u een e-mail- of mobiele melding inschakelen wanneer een gebruiker of een specifieke gebruiker een nieuw applicatiewachtwoord aanmaakt. Ga naar het activiteitenlogboek, selecteer 'Gebruiker applicatiewachtwoord aangemaakt' in het eerste selectiemenu boven de tabel en klik op 'Filter' . Om meldingen in te schakelen, klikt u op de knop 'Melding aanmaken' aan de rechterkant. Om het e-mailadres of het mobiele apparaat voor meldingen te configureren, gaat u naar het tabblad 'Meldingen'.
Lees meer over het configureren van de gewenste meldingen: WordPress-meldingen eenvoudig gemaakt.
Hoe de toegang tot REST API en XML-RPC te beperken
WP Cerber biedt verschillende opties om de toegang te beperken en u kunt elke gewenste combinatie hiervan configureren. U kunt de toegang tot deze API's volledig blokkeren door ze uit te schakelen; u kunt de toegang tot deze API's vanaf specifieke IP-adressen toestaan of blokkeren met behulp van IP-toegangslijsten . Daarnaast kunt u de toegang tot de REST API alleen toestaan voor specifieke rollen of specifieke namespaces . Door landspecifieke toegangsregels te configureren, kunt u de toegang tot de REST API of XML-RPC toestaan of weigeren voor een lijst met landen.
WP Cerber Security 4.0
Hoe de datumnotatie op de Activiteitenpagina te wijzigen
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.