Security Blog

Het beheren van WordPress applicatie wachtwoorden een probleemloze manier


English version: Managing WordPress application passwords a hassle-free way


Het gebruik van toepassingswachtwoorden als beveiligingsmaatregel is geïntroduceerd in WordPress 5.6. Met deze functie kunnen u en uw gebruikers afzonderlijke wachtwoorden genereren en gebruiken voor toegang tot website-API's zoals REST API . De WP Cerber-plug-in biedt een reeks tools om toepassingswachtwoorden op een effectieve en veilige manier te beheren. In dit artikel laten we u ook zien hoe u het gebruik van toepassingswachtwoorden kunt volgen en hoe u op de hoogte kunt worden gesteld wanneer een gebruiker er een aanmaakt.

We moeten wachtwoorden van applicaties beheren

Hoewel het gebruik van toepassingswachtwoorden een extra beveiligingsbarrière met zich meebrengt, is de standaard WordPress-implementatie van toepassingswachtwoorden minimalistisch en heeft deze de volgende problemen.

  • Applicatiewachtwoorden hebben geen bescherming tegen brute-force-aanvallen
  • We kunnen wachtwoorden niet in- of uitschakelen voor een specifieke gebruikersrol
  • Standaard, interactieve gebruikerswachtwoorden kunnen nog steeds worden gebruikt om toegang te krijgen tot website-API's.
  • We hebben geen controle over het gebruik van wachtwoorden vanwege een gebrek aan logging

Applicatiewachtwoorden uitschakelen

Als u toepassingswachtwoorden op uw WordPress volledig wilt uitschakelen, stelt u de instelling "Toepassingswachtwoorden" in op "Uitgeschakeld". Deze instelling bevindt zich onder het admin-menu "Gebruikersbeleid" op het tabblad "Algemeen". Als het eenmaal is geactiveerd, kunnen gebruikers geen nieuwe wachtwoorden meer maken en geen van de wachtwoorden gebruiken die eerder zijn gegenereerd. Lees de rest van het artikel voor geavanceerd beheer.

Gebruik WP Cerber om toepassingswachtwoorden te beheren

Alle instellingen bevinden zich onder het admin-menu "Gebruikersbeleid". Schakel naar het tabblad "Globaal" om het gebruik van toepassingswachtwoorden voor alle gebruikers op uw website te configureren. Schakel over naar het tabblad "Op rollen gebaseerd" om de instelling voor elke gebruikersrol afzonderlijk te configureren. De instellingen die voor een rol zijn geconfigureerd, hebben een hogere prioriteit.

De WP Cerber-instelling die u moet configureren, heet "Toepassingswachtwoorden"

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

De standaardwaarde van de instelling is om het gebruik van de toepassingswachtwoorden toe te staan op de manier waarop deze is geïmplementeerd in WordPress. Het impliceert het gebruik van zowel traditionele wachtwoorden (die gebruikers gebruiken om in te loggen op uw website via een inlogformulier) als toepassingswachtwoorden bij toegang tot website-API's. De instelling in dit geval is "Ingeschakeld, toegang tot API met standaard gebruikerswachtwoorden is toegestaan" .

Een veiligere, geavanceerdere en aanbevolen manier om toepassingswachtwoorden te gebruiken, is om toegang tot website-API's toe te staan door alleen toepassingswachtwoorden te gebruiken. In dit geval kunnen traditionele interactieve wachtwoorden niet worden gebruikt bij het openen van website-API's, zelfs niet als het opgegeven wachtwoord geldig is. Elke poging om toegang te krijgen tot API's wordt geweigerd. Om dit te bereiken, selecteert u "Ingeschakeld, geen toegang tot API met standaard gebruikerswachtwoorden" .

De laatste en meest eenvoudige manier om met toepassingswachtwoorden om te gaan, is door ze uit te schakelen met de instelling op "Uitschakelen" .

Configureer instellingen voor een specifieke gebruikersrol

Alle instellingen die voor een rol zijn geconfigureerd, hebben een hogere prioriteit dan de algemene. U kunt dus het gebruik van toepassingswachtwoorden voor alle gebruikers wereldwijd uitschakelen en ze alleen voor een specifieke rol inschakelen.

De standaardwaarde voor alle rollen is het gebruik van algemene instellingen die zijn geconfigureerd op het tabblad "Globaal". In de rolinstellingen heet deze optie "Globaal beleid gebruiken". Dit betekent dat de instelling van de rol alle wijzigingen overneemt die zijn aangebracht in de algemene instellingen.

Als u iets anders selecteert dan de optie "Globaal beleid gebruiken", heeft die geselecteerde optie effect op de rol in plaats van een instelling die is geconfigureerd op het tabblad "Globaal".

Opmerking: de op rollen gebaseerde instellingen zijn beschikbaar in de professionele versie van WP Cerber .

Hoe het wachtwoordgebruik van een applicatie te controleren

WP Cerber voegt twee nieuwe kolommen toe aan de lijsten met toepassingswachtwoorden van gebruikers op hun profielpagina's in het WordPress-dashboard. Door links in die kolommen te gebruiken, kunt u het activiteitenlogboek raadplegen. De "Geautoriseerde" kolomlinks navigeren u naar alle geregistreerde gebeurtenissen van het gebruik van toepassingswachtwoorden door de gebruiker. De links in de kolom "Autorisatie mislukt" leiden u naar alle mislukte pogingen om website-API's te gebruiken terwijl de gebruikersnaam of het e-mailadres van de gebruiker in gebruik was.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Hoe u een melding krijgt wanneer een gebruiker een nieuw wachtwoord aanmaakt

Op de beheerpagina van het activiteitenlogboek kunt u het verzenden van een e-mail of een mobiele melding inschakelen wanneer een gebruiker of een bepaalde gebruiker een nieuw toepassingswachtwoord aanmaakt. Ga naar het activiteitenlogboek, selecteer "Wachtwoord gebruikerstoepassing aangemaakt" uit de eerste selectie boven de tabel en klik op Filter . Om meldingen in te schakelen, moet u rechts op de knop "Melding maken" klikken. Schakel naar het tabblad "Meldingen" om het e-mailadres of het mobiele apparaat voor meldingen te configureren.

Lees meer over het configureren van elke gewenste melding: WordPress-meldingen eenvoudig gemaakt.

Toegang tot REST API en XML-RPC beperken

WP Cerber biedt verschillende opties om de toegang te beperken en u kunt elke combinatie hiervan configureren. U kunt de toegang tot deze API's volledig blokkeren door ze uit te schakelen; u kunt de toegang tot deze API's vanaf specifieke IP-adressen toestaan of blokkeren met behulp van IP-toegangslijsten . Bovendien kunt u toegang tot REST API alleen voor specifieke rollen of tot specifieke naamruimten toestaan . Door landgebaseerde toegangsregels te configureren, kunt u toegang tot REST API of XML-RPC toestaan of weigeren op basis van een lijst met landen.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.