Zarządzanie hasłami aplikacji WordPress bezproblemowo

English version: Managing WordPress application passwords a hassle-free way

Korzystanie z haseł aplikacji jako środka bezpieczeństwa zostało wprowadzone w WordPressie 5.6. Funkcja ta umożliwia Tobie i Twoim użytkownikom generowanie i używanie oddzielnych haseł do dostępu do interfejsów API witryn, takich jak REST API . Wtyczka WP Cerber oferuje zestaw narzędzi do efektywnego i bezpiecznego zarządzania hasłami aplikacji. W tym artykule pokażemy również, jak monitorować użycie haseł aplikacji i otrzymywać powiadomienia o utworzeniu hasła przez użytkownika.

Musimy kontrolować hasła aplikacji

Mimo że korzystanie z haseł aplikacji stwarza dodatkową barierę bezpieczeństwa, domyślna implementacja haseł aplikacji w systemie WordPress jest minimalistyczna i wiąże się z następującymi problemami.

• Hasła aplikacji nie zapewniają ochrony przed atakami siłowymi
• Nie mamy możliwości wyłączania ani włączania haseł dla określonej roli użytkownika
• Standardowe, interaktywne hasła użytkowników nadal mogą być wykorzystywane do uzyskiwania dostępu do interfejsów API witryn internetowych.
• Nie mamy kontroli nad wykorzystaniem haseł ze względu na brak logowania

Wyłączanie haseł aplikacji

Jeśli chcesz całkowicie wyłączyć hasła aplikacji w WordPressie, ustaw opcję „Hasła aplikacji” na „Wyłączone”. To ustawienie znajduje się w menu administratora „Zasady użytkownika” na karcie „Globalne”. Po aktywacji użytkownicy nie będą mogli tworzyć nowych haseł ani używać haseł wygenerowanych wcześniej. Aby uzyskać informacje na temat zaawansowanego zarządzania, przeczytaj dalszą część artykułu.

Użyj WP Cerber do zarządzania hasłami aplikacji

Wszystkie ustawienia znajdują się w menu administratora „Zasady użytkownika”. Aby skonfigurować używanie haseł aplikacji dla wszystkich użytkowników witryny, przejdź do zakładki „Globalne”. Aby skonfigurować ustawienia dla każdej roli użytkownika osobno, przejdź do zakładki „Oparte na rolach”. Ustawienia skonfigurowane dla roli mają wyższy priorytet.

Ustawienie WP Cerber, które musisz skonfigurować, nosi nazwę „Hasła aplikacji”

Managing WordPress application passwords with WP Cerber

Domyślną wartością tego ustawienia jest zezwolenie na używanie haseł aplikacji w sposób zaimplementowany w WordPressie. Oznacza to używanie zarówno tradycyjnych haseł (używanych przez użytkowników do logowania się do witryny za pomocą formularza logowania), jak i haseł aplikacji podczas uzyskiwania dostępu do interfejsów API witryny. W tym przypadku ustawienie to „Włączone, dostęp do API przy użyciu standardowych haseł użytkowników jest dozwolony” .

Bezpieczniejszym, bardziej zaawansowanym i zalecanym sposobem korzystania z haseł aplikacji jest zezwolenie na dostęp do interfejsów API witryn internetowych wyłącznie za pomocą haseł aplikacji. W takim przypadku tradycyjne hasła interaktywne nie mogą być używane podczas uzyskiwania dostępu do interfejsów API witryn internetowych, nawet jeśli podane hasło jest prawidłowe. Każda próba uzyskania dostępu do interfejsów API zostanie zablokowana. Aby to osiągnąć, wybierz opcję „Włączone, brak dostępu do interfejsów API przy użyciu standardowych haseł użytkowników” .

Ostatnim i najprostszym sposobem radzenia sobie z hasłami aplikacji jest ich wyłączenie za pomocą ustawienia „Wyłącz” .

Konfigurowanie ustawień dla określonej roli użytkownika

Wszystkie ustawienia skonfigurowane dla danej roli mają wyższy priorytet niż ustawienia globalne. Możesz więc globalnie wyłączyć używanie haseł aplikacji dla wszystkich użytkowników i włączyć je tylko dla określonej roli.

Domyślną wartością dla wszystkich ról jest korzystanie z ustawień globalnych skonfigurowanych na karcie „Globalne”. W ustawieniach roli ta opcja nosi nazwę „Użyj zasad globalnych”. Oznacza to, że ustawienie roli dziedziczy wszystkie zmiany wprowadzone w ustawieniach globalnych.

Jeśli wybierzesz jakąkolwiek inną opcję niż „Użyj zasad globalnych”, wybrana opcja będzie miała wpływ na rolę, a nie na ustawienie skonfigurowane na karcie „Globalne”.

Uwaga: ustawienia oparte na rolach są dostępne w profesjonalnej wersji WP Cerber .

Jak monitorować użycie hasła aplikacji

WP Cerber dodaje dwie nowe kolumny do list haseł aplikacji użytkowników na ich stronach profilowych w panelu WordPress. Korzystając z linków w tych kolumnach, można sprawdzić dziennik aktywności. Linki w kolumnie „Autoryzowane” prowadzą do wszystkich zarejestrowanych zdarzeń użycia haseł aplikacji przez użytkownika. Linki w kolumnie „Nieudana autoryzacja” prowadzą do wszystkich nieudanych prób użycia interfejsów API witryny, gdy używana była nazwa użytkownika lub adres e-mail użytkownika.

Monitoring the usage of application passwords with WP Cerber

Jak otrzymywać powiadomienia o utworzeniu nowego hasła przez użytkownika

Na stronie administratora dziennika aktywności możesz włączyć wysyłanie powiadomień e-mail lub na urządzenie mobilne, gdy dowolny użytkownik lub określona osoba utworzy nowe hasło do aplikacji. Przejdź do dziennika aktywności, wybierz opcję „Utworzono hasło użytkownika do aplikacji” z pierwszej listy powyżej tabeli i kliknij „Filtruj” . Aby włączyć powiadomienia, kliknij przycisk „Utwórz alert” po prawej stronie. Aby skonfigurować adres e-mail lub urządzenie mobilne do powiadomień, przejdź do zakładki „Powiadomienia”.

Przeczytaj więcej na temat konfiguracji potrzebnych powiadomień: Łatwe powiadomienia WordPress.

Jak ograniczyć dostęp do REST API i XML-RPC

WP Cerber oferuje kilka opcji ograniczania dostępu, które można skonfigurować w dowolnej kombinacji. Można całkowicie zablokować dostęp do tych interfejsów API, wyłączając je; można zezwolić lub zablokować dostęp do nich z określonych adresów IP za pomocą list dostępu IP . Dodatkowo można zezwolić na dostęp do interfejsu API REST tylko dla określonych ról lub przestrzeni nazw . Konfigurując reguły dostępu oparte na krajach, można zezwolić lub zablokować dostęp do interfejsu API REST lub XML-RPC dla listy krajów.