Security Blog

Beheer wachtwoorden voor WordPress-applicaties op een probleemloze manier


English version: Managing WordPress application passwords a hassle-free way


Het gebruik van applicatiewachtwoorden als beveiligingsmaatregel is geïntroduceerd in WordPress 5.6. Met deze functie kunnen u en uw gebruikers afzonderlijke wachtwoorden genereren en gebruiken voor toegang tot website-API's zoals REST API . De WP Cerber-plug-in biedt een reeks tools om applicatiewachtwoorden op een effectieve en veilige manier te beheren. In dit artikel laten we u ook zien hoe u het gebruik van applicatiewachtwoorden kunt controleren en hoe u op de hoogte kunt worden gesteld wanneer een gebruiker er een maakt.

We moeten applicatiewachtwoorden controleren

Hoewel het gebruik van applicatiewachtwoorden een extra beveiligingsbarrière met zich meebrengt, is de standaard WordPress-implementatie van applicatiewachtwoorden minimalistisch en heeft deze de volgende problemen.

  • Applicatiewachtwoorden bieden geen bescherming tegen aanvallen met brute kracht
  • We hebben geen mogelijkheid om wachtwoorden voor een specifieke gebruikersrol uit of in te schakelen
  • Standaard, interactieve gebruikerswachtwoorden kunnen nog steeds worden gebruikt om toegang te krijgen tot website-API's.
  • We hebben geen controle over het gebruik van wachtwoorden vanwege een gebrek aan logging

Toepassingswachtwoorden uitschakelen

Als u applicatiewachtwoorden op uw WordPress volledig wilt uitschakelen, stelt u de instelling "Applicatiewachtwoorden" in op "Uitgeschakeld". Deze instelling bevindt zich onder het beheermenu "Gebruikersbeleid" op het tabblad "Globaal". Als het eenmaal is geactiveerd, kunnen gebruikers geen nieuwe wachtwoorden meer maken en geen van de wachtwoorden gebruiken die eerder zijn gegenereerd. Lees de rest van het artikel voor geavanceerd beheer.

Gebruik WP Cerber om applicatiewachtwoorden te beheren

Alle instellingen bevinden zich onder het beheerdersmenu "Gebruikersbeleid". Om het gebruik van applicatiewachtwoorden voor alle gebruikers op uw website te configureren, gaat u naar het tabblad "Globaal". Om de instelling voor elke gebruikersrol afzonderlijk te configureren, gaat u naar het tabblad "Op rollen gebaseerd". De instellingen die voor een rol zijn geconfigureerd, hebben een hogere prioriteit.

De WP Cerber-instelling die u moet configureren, heet "Toepassingswachtwoorden"

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

De standaardwaarde van de instelling is om het gebruik van de applicatiewachtwoorden toe te staan zoals het is geïmplementeerd in WordPress. Het impliceert het gebruik van zowel traditionele wachtwoorden (die gebruikers gebruiken om in te loggen op uw website via een inlogformulier) als applicatiewachtwoorden bij toegang tot website-API's. De instelling is in dit geval "Ingeschakeld, toegang tot API met behulp van standaard gebruikerswachtwoorden is toegestaan" .

Een veiligere, geavanceerdere en aanbevolen manier om applicatiewachtwoorden te gebruiken, is om toegang tot website-API's toe te staan door alleen applicatiewachtwoorden te gebruiken. In dit geval kunnen traditionele interactieve wachtwoorden niet worden gebruikt bij toegang tot website-API's, zelfs niet als het opgegeven wachtwoord geldig is. Elke poging om toegang te krijgen tot API's wordt geweigerd. Om dit te bereiken, selecteert u "Ingeschakeld, geen toegang tot API met standaard gebruikerswachtwoorden" .

De laatste en eenvoudige manier om met toepassingswachtwoorden om te gaan, is ze uit te schakelen met de instelling ingesteld op "Uitschakelen" .

Configureer instellingen voor een specifieke gebruikersrol

Alle instellingen die voor een rol zijn geconfigureerd, hebben een hogere prioriteit dan de algemene. U kunt dus het gebruik van applicatiewachtwoorden voor alle gebruikers wereldwijd uitschakelen en ze alleen voor een specifieke rol inschakelen.

De standaardwaarde voor alle rollen is om globale instellingen te gebruiken die zijn geconfigureerd op het tabblad "Globaal". In de rolinstellingen heet deze optie "Globaal beleid gebruiken". Dit betekent dat de instelling van de rol alle wijzigingen overneemt die in de algemene instellingen zijn aangebracht.

Als u een andere optie selecteert dan de optie "Globaal beleid gebruiken", heeft die geselecteerde optie een effect op de rol in plaats van een instelling die is geconfigureerd op het tabblad "Globaal".

Opmerking: de op rollen gebaseerde instellingen zijn beschikbaar in de professionele versie van WP Cerber .

Het gebruik van toepassingswachtwoorden controleren

WP Cerber voegt twee nieuwe kolommen toe aan de lijsten met applicatiewachtwoorden van gebruikers op hun profielpagina's in het WordPress-dashboard. Met behulp van links in die kolommen kunt u het activiteitenlogboek controleren. De kolomkoppelingen "Geautoriseerd" navigeren u naar alle geregistreerde gebeurtenissen van het gebruik van toepassingswachtwoorden door de gebruiker. De links in de kolom "Autorisatie mislukt" leiden u naar alle mislukte pogingen om website-API's te gebruiken terwijl de gebruikersnaam of het e-mailadres van de gebruiker in gebruik was.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Hoe u op de hoogte kunt worden gehouden wanneer een gebruiker een nieuw wachtwoord aanmaakt

Op de beheerderspagina van het activiteitenlogboek kunt u het verzenden van een e-mail of een mobiele melding inschakelen wanneer een gebruiker of een opgegeven gebruiker een nieuw toepassingswachtwoord maakt. Ga naar het activiteitenlogboek, selecteer "Wachtwoord gebruikerstoepassing gemaakt" uit de eerste selectie boven de tabel en klik op Filter . Om meldingen in te schakelen, moet u nu op de knop "Waarschuwing maken" aan de rechterkant klikken. Om het e-mailadres of het mobiele apparaat voor meldingen te configureren, gaat u naar het tabblad "Meldingen".

Lees meer over het configureren van elke gewenste melding: WordPress-meldingen gemakkelijk gemaakt.

Hoe de toegang tot REST API en XML-RPC te beperken

WP Cerber biedt verschillende opties om de toegang te beperken en u kunt elke combinatie hiervan configureren. U kunt de toegang tot deze API's volledig blokkeren door ze uit te schakelen; u kunt toegang tot deze API's vanaf specifieke IP-adressen toestaan of blokkeren door IP-toegangslijsten te gebruiken. Bovendien kunt u toegang tot de REST API toestaan voor specifieke rollen of alleen voor specifieke naamruimten . Door landgebaseerde toegangsregels te configureren, kunt u toegang tot REST API of XML-RPC toestaan of weigeren door middel van een lijst met landen.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.