Zarządzanie hasłami aplikacji WordPress bezproblemowo

English version: Managing WordPress application passwords a hassle-free way

Używanie haseł aplikacji jako środka bezpieczeństwa zostało wprowadzone w WordPress 5.6. Ta funkcja umożliwia Tobie i Twoim użytkownikom generowanie i używanie oddzielnych haseł do dostępu do interfejsów API witryn, takich jak REST API . Wtyczka WP Cerber oferuje zestaw narzędzi do zarządzania hasłami aplikacji w skuteczny i bezpieczny sposób. W tym artykule pokażemy również, jak monitorować użycie haseł aplikacji i jak otrzymywać powiadomienia, gdy użytkownik je utworzy.

Musimy kontrolować hasła aplikacji

Mimo że korzystanie z haseł aplikacji wiąże się z dodatkową barierą bezpieczeństwa, domyślna implementacja haseł aplikacji w systemie WordPress jest minimalistyczna i wiąże się z następującymi problemami.

• Hasła aplikacji nie zapewniają ochrony przed atakami siłowymi
• Nie mamy możliwości wyłączenia ani włączenia haseł dla określonej roli użytkownika
• Standardowe, interaktywne hasła użytkowników nadal mogą być wykorzystywane w celu uzyskania dostępu do interfejsów API witryn internetowych.
• Nie mamy kontroli nad wykorzystaniem haseł ze względu na brak logowania

Wyłączanie haseł aplikacji

Jeśli chcesz całkowicie wyłączyć hasła aplikacji w WordPressie, ustaw ustawienie „Hasła aplikacji” na „Wyłączone”. To ustawienie znajduje się w menu administratora „Zasady użytkownika” na karcie „Globalne”. Po jego aktywacji użytkownicy nie będą już mogli tworzyć nowych haseł i używać żadnych haseł wygenerowanych wcześniej. Aby uzyskać informacje o zaawansowanym zarządzaniu, przeczytaj resztę artykułu.

Użyj WP Cerber do zarządzania hasłami aplikacji

Wszystkie ustawienia znajdują się w menu administratora „Zasady użytkownika”. Aby skonfigurować używanie haseł aplikacji dla wszystkich użytkowników w witrynie, przejdź do zakładki „Global”. Aby skonfigurować ustawienia dla każdej roli użytkownika oddzielnie, przejdź do zakładki „Role-Based”. Ustawienia skonfigurowane dla roli mają wyższy priorytet.

Ustawienie WP Cerber, które musisz skonfigurować, nosi nazwę „Hasła aplikacji”

Managing WordPress application passwords with WP Cerber

Domyślna wartość tego ustawienia zezwala na używanie haseł aplikacji w sposób, w jaki jest ono implementowane w WordPressie. Oznacza to używanie zarówno tradycyjnych haseł (których użytkownicy używają do logowania się do witryny za pomocą formularza logowania), jak i haseł aplikacji podczas uzyskiwania dostępu do interfejsów API witryny. W tym przypadku ustawienie to „Włączone, dostęp do interfejsu API przy użyciu standardowych haseł użytkownika jest dozwolony” .

Bardziej bezpiecznym, zaawansowanym i zalecanym sposobem korzystania z haseł aplikacji jest zezwolenie na dostęp do interfejsów API witryny za pomocą wyłącznie haseł aplikacji. W takim przypadku tradycyjne hasła interaktywne nie mogą być używane podczas uzyskiwania dostępu do interfejsów API witryny, nawet jeśli określone hasło jest prawidłowe. Każda próba uzyskania dostępu do interfejsów API zostanie odrzucona. Aby to osiągnąć, wybierz opcję „Włączone, brak dostępu do interfejsu API przy użyciu standardowych haseł użytkownika” .

Ostatnim i najprostszym sposobem radzenia sobie z hasłami aplikacji jest ich wyłączenie za pomocą ustawienia „Wyłącz” .

Konfigurowanie ustawień dla określonej roli użytkownika

Wszystkie ustawienia skonfigurowane dla roli mają wyższy priorytet niż globalne. Możesz więc wyłączyć używanie haseł aplikacji globalnie dla wszystkich użytkowników i włączyć je tylko dla określonej roli.

Wartością domyślną dla wszystkich ról jest używanie ustawień globalnych skonfigurowanych na karcie „Global”. W ustawieniach roli ta opcja nosi nazwę „Użyj globalnych zasad”. Oznacza to, że ustawienie roli dziedziczy wszystkie zmiany wprowadzone do ustawień globalnych.

Jeśli wybierzesz inną opcję niż „Użyj zasad globalnych”, wybrana opcja będzie miała wpływ na rolę, a nie na ustawienie skonfigurowane na karcie „Globalne”.

Uwaga: ustawienia oparte na rolach są dostępne w profesjonalnej wersji WP Cerber .

Jak monitorować użycie hasła aplikacji

WP Cerber dodaje dwie nowe kolumny do list haseł aplikacji użytkowników na ich stronach profilowych w panelu WordPress. Korzystając z linków w tych kolumnach, możesz sprawdzić dziennik aktywności. Linki w kolumnie „Autoryzowane” przenoszą Cię do wszystkich zarejestrowanych zdarzeń korzystania z haseł aplikacji przez użytkownika. Linki w kolumnie „Nieudana autoryzacja” przenoszą Cię do wszystkich nieudanych prób korzystania z interfejsów API witryny, gdy używana była nazwa użytkownika lub adres e-mail użytkownika.

Monitoring the usage of application passwords with WP Cerber

Jak otrzymywać powiadomienia, gdy użytkownik utworzy nowe hasło

Na stronie administratora dziennika aktywności możesz włączyć wysyłanie wiadomości e-mail lub powiadomień mobilnych, gdy dowolny użytkownik lub określony użytkownik utworzy nowe hasło aplikacji. Przejdź do dziennika aktywności, wybierz „Utworzono hasło aplikacji użytkownika” z pierwszego wyboru powyżej tabeli i kliknij Filtruj . Teraz, aby włączyć powiadomienia, musisz kliknąć przycisk „Utwórz alert” po prawej stronie. Aby skonfigurować adres e-mail lub urządzenie mobilne dla powiadomień, przejdź do zakładki „Powiadomienia”.

Przeczytaj więcej na temat konfiguracji potrzebnych Ci powiadomień: Łatwe powiadomienia WordPress.

Jak ograniczyć dostęp do REST API i XML-RPC

WP Cerber oferuje kilka opcji ograniczania dostępu i możesz skonfigurować dowolną ich kombinację. Możesz całkowicie zablokować dostęp do tych interfejsów API, wyłączając je; możesz zezwolić lub zablokować dostęp do tych interfejsów API z określonych adresów IP, używając list dostępu IP . Ponadto możesz zezwolić na dostęp do interfejsu API REST tylko dla określonych ról lub tylko do określonych przestrzeni nazw . Konfigurując reguły dostępu oparte na kraju, możesz zezwolić lub zabronić dostępu do interfejsu API REST lub XML-RPC według listy krajów.