Security Blog

Zarządzanie aplikację WordPress z haseł bezproblemowy sposób


English version: Managing WordPress application passwords a hassle-free way


Używanie haseł aplikacji jako środka bezpieczeństwa zostało wprowadzone w WordPress 5.6. Ta funkcja umożliwia Tobie i Twoim użytkownikom generowanie i używanie oddzielnych haseł w celu uzyskania dostępu do interfejsów API witryn, takich jak REST API . Wtyczka WP Cerber zapewnia zestaw narzędzi do zarządzania hasłami aplikacji w skuteczny i bezpieczny sposób. W tym artykule pokażemy również, jak monitorować użycie haseł aplikacji i jak otrzymywać powiadomienia, gdy użytkownik je utworzy.

Musimy kontrolować hasła aplikacji

Chociaż używanie haseł aplikacji zapewnia dodatkową barierę bezpieczeństwa, domyślna implementacja haseł aplikacji w WordPress jest minimalistyczna i wiąże się z następującymi problemami.

  • Hasła aplikacji nie są chronione przed atakami siłowymi
  • Nie mamy możliwości wyłączania ani włączania haseł dla określonej roli użytkownika
  • W celu uzyskania dostępu do interfejsów API witryny nadal można używać standardowych, interaktywnych haseł użytkowników.
  • Nie mamy kontroli nad używaniem haseł ze względu na brak logowania

Wyłączanie haseł aplikacji

Jeśli chcesz całkowicie wyłączyć hasła aplikacji w WordPress, ustaw ustawienie „Hasła aplikacji” na „Wyłączone”. To ustawienie znajduje się w menu administratora „User Policies” na karcie „Global”. Po aktywacji użytkownicy nie będą już mogli tworzyć nowych haseł i używać haseł, które zostały wygenerowane wcześniej. Aby zapoznać się z zaawansowanym zarządzaniem, przeczytaj pozostałą część artykułu.

Użyj WP Cerber do zarządzania hasłami aplikacji

Wszystkie ustawienia znajdują się w menu administratora „Zasady użytkownika”. Aby skonfigurować użycie haseł aplikacji dla wszystkich użytkowników w Twojej witrynie, przełącz się na kartę „Globalne”. Aby skonfigurować ustawienie osobno dla każdej roli użytkownika, przejdź do karty „Oparte na rolach”. Ustawienia skonfigurowane dla roli mają wyższy priorytet.

Ustawienie WP Cerber, które musisz skonfigurować, nazywa się „Hasła aplikacji”

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Domyślną wartością tego ustawienia jest zezwolenie na używanie haseł aplikacji w sposób, w jaki jest to zaimplementowane w WordPress. Oznacza to używanie zarówno tradycyjnych haseł (których użytkownicy używają do logowania się do Twojej witryny za pomocą formularza logowania), jak i haseł aplikacji podczas uzyskiwania dostępu do interfejsów API witryny. W tym przypadku ustawienie to „Włączone, dostęp do API przy użyciu standardowych haseł użytkowników jest dozwolony” .

Bardziej bezpiecznym, zaawansowanym i zalecanym sposobem korzystania z haseł aplikacji jest zezwolenie na dostęp do interfejsów API witryn internetowych wyłącznie przy użyciu haseł aplikacji. W takim przypadku nie można używać tradycyjnych haseł interaktywnych podczas uzyskiwania dostępu do interfejsów API witryny internetowej, nawet jeśli określone hasło jest prawidłowe. Wszelkie próby uzyskania dostępu do interfejsów API będą odrzucane. Aby to osiągnąć, wybierz „Włączone, brak dostępu do API przy użyciu standardowych haseł użytkowników” .

Ostatnim i prostym sposobem radzenia sobie z hasłami aplikacji jest wyłączenie ich za pomocą ustawienia „Wyłącz” .

Skonfiguruj ustawienia dla określonej roli użytkownika

Wszystkie ustawienia skonfigurowane dla roli mają wyższy priorytet niż ustawienia globalne. Możesz więc globalnie wyłączyć używanie haseł aplikacji dla wszystkich użytkowników i włączyć je tylko dla określonej roli.

Domyślną wartością dla wszystkich ról są ustawienia globalne skonfigurowane na karcie „Globalne”. W ustawieniach roli ta opcja nosi nazwę „Użyj zasad globalnych”. Oznacza to, że ustawienie roli dziedziczy wszystkie zmiany wprowadzone w ustawieniach globalnych.

Jeśli wybierzesz opcję inną niż „Użyj zasad globalnych”, wybrana opcja będzie miała wpływ na rolę, a nie na ustawienie skonfigurowane na karcie „Globalne”.

Uwaga: ustawienia oparte na rolach są dostępne w profesjonalnej wersji WP Cerber .

Jak monitorować użycie hasła do aplikacji

WP Cerber dodaje dwie nowe kolumny do list haseł aplikacji użytkowników na stronach ich profili na pulpicie nawigacyjnym WordPress. Korzystając z łączy w tych kolumnach, możesz sprawdzić dziennik aktywności. Łącza w kolumnie „Autoryzowane” prowadzą do wszystkich zarejestrowanych zdarzeń używania haseł aplikacji przez użytkownika. Linki w kolumnie „Autoryzacja nie powiodła się” prowadzą do wszystkich nieudanych prób użycia interfejsów API witryn, gdy używana była nazwa użytkownika lub adres e-mail.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Jak otrzymać powiadomienie, gdy użytkownik utworzy nowe hasło

Na stronie administratora dziennika aktywności można włączyć wysyłanie wiadomości e-mail lub powiadomienia na telefon komórkowy, gdy dowolny użytkownik lub określony utworzy nowe hasło aplikacji. Przejdź do dziennika aktywności, wybierz „Utworzono hasło aplikacji użytkownika” z pierwszej opcji nad tabelą i kliknij opcję Filtr . Teraz, aby włączyć powiadomienia, kliknij przycisk „Utwórz alert” po prawej stronie. Aby skonfigurować adres e-mail lub urządzenie mobilne do powiadomień, przejdź do zakładki „Powiadomienia”.

Przeczytaj więcej o tym, jak skonfigurować dowolne potrzebne powiadomienie: Łatwe powiadomienia WordPress.

Jak ograniczyć dostęp do REST API i XML-RPC

WP Cerber oferuje kilka opcji ograniczania dostępu i możesz skonfigurować dowolną ich kombinację. Możesz całkowicie zablokować dostęp do tych interfejsów API, wyłączając je; można zezwolić lub zablokować dostęp do tych interfejsów API z określonych adresów IP za pomocą list dostępu IP . Ponadto możesz zezwolić na dostęp do REST API dla określonych ról lub tylko dla określonych przestrzeni nazw . Konfigurując reguły dostępu dla poszczególnych krajów, możesz zezwolić lub odmówić dostępu do REST API lub XML-RPC na podstawie listy krajów.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.