Security Blog

Zarządzanie hasłami do aplikacji WordPress w bezproblemowy sposób


English version: Managing WordPress application passwords a hassle-free way


Używanie haseł aplikacji jako środka bezpieczeństwa zostało wprowadzone w WordPress 5.6. Ta funkcja umożliwia Tobie i Twoim użytkownikom generowanie i używanie oddzielnych haseł w celu uzyskania dostępu do interfejsów API witryn internetowych, takich jak interfejs API REST . Wtyczka WP Cerber dostarcza zestaw narzędzi umożliwiających skuteczne i bezpieczne zarządzanie hasłami do aplikacji. W tym artykule pokażemy również, jak monitorować użycie haseł do aplikacji i jak otrzymywać powiadomienia, gdy użytkownik je utworzy.

Musimy kontrolować hasła aplikacji

Chociaż używanie haseł do aplikacji stwarza dodatkową barierę bezpieczeństwa, domyślna implementacja haseł do aplikacji w WordPressie jest minimalistyczna i ma następujące problemy.

  • Hasła aplikacji nie zapewniają ochrony przed atakami typu brute-force
  • Nie mamy możliwości wyłączenia ani włączenia haseł dla określonej roli użytkownika
  • Do uzyskiwania dostępu do interfejsów API witryn internetowych można nadal używać standardowych, interaktywnych haseł użytkowników.
  • Nie mamy kontroli nad wykorzystaniem haseł ze względu na brak logowania

Wyłączanie haseł aplikacji

Jeśli chcesz całkowicie wyłączyć hasła aplikacji w WordPressie, ustaw opcję „Hasła aplikacji” na „Wyłączone”. To ustawienie znajduje się w menu administratora „Zasady użytkownika” w zakładce „Globalne”. Po aktywacji użytkownicy nie będą już mogli tworzyć nowych haseł ani korzystać z haseł, które zostały wcześniej wygenerowane. Aby zapoznać się z zaawansowanym zarządzaniem, przeczytaj resztę artykułu.

Użyj WP Cerber do zarządzania hasłami aplikacji

Wszystkie ustawienia znajdują się w menu administratora „Zasady użytkownika”. Aby skonfigurować używanie haseł aplikacji dla wszystkich użytkowników w Twojej witrynie, przejdź do zakładki „Globalne”. Aby skonfigurować ustawienia dla każdej roli użytkownika osobno, przejdź do zakładki „Na podstawie roli”. Ustawienia skonfigurowane dla roli mają wyższy priorytet.

Ustawienie WP Cerber, które musisz skonfigurować, nosi nazwę „Hasła aplikacji”

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Domyślną wartością tego ustawienia jest zezwolenie na używanie haseł aplikacji w sposób zaimplementowany w WordPress. Oznacza to używanie zarówno tradycyjnych haseł (którego użytkownicy używają do logowania się do Twojej witryny za pomocą formularza logowania), jak i haseł aplikacji podczas uzyskiwania dostępu do interfejsów API witryny. Ustawienie w tym przypadku to „Włączone, dozwolony jest dostęp do API przy użyciu standardowych haseł użytkowników” .

Bezpieczniejszym, zaawansowanym i zalecanym sposobem używania haseł aplikacji jest umożliwienie dostępu do interfejsów API witryn internetowych przy użyciu wyłącznie haseł aplikacji. W takim przypadku tradycyjne hasła interaktywne nie mogą być używane podczas uzyskiwania dostępu do interfejsów API witryn internetowych, nawet jeśli określone hasło jest ważne. Każda próba uzyskania dostępu do interfejsów API zostanie odrzucona. Aby to osiągnąć, wybierz „Włączone, brak dostępu do API przy użyciu standardowych haseł użytkowników” .

Ostatnim i prostym sposobem radzenia sobie z hasłami aplikacji jest ich wyłączenie za pomocą ustawienia „Wyłącz” .

Skonfiguruj ustawienia dla określonej roli użytkownika

Wszystkie ustawienia skonfigurowane dla roli mają wyższy priorytet niż ustawienia globalne. Możesz więc wyłączyć używanie haseł aplikacji globalnie dla wszystkich użytkowników i włączyć je tylko dla określonej roli.

Domyślną wartością dla wszystkich ról jest użycie ustawień globalnych skonfigurowanych w zakładce „Globalne”. W ustawieniach roli ta opcja nosi nazwę „Użyj zasad globalnych”. Oznacza to, że ustawienie roli dziedziczy wszystkie zmiany wprowadzone w ustawieniach globalnych.

Jeśli wybierzesz inną opcję niż „Użyj zasad globalnych”, wybrana opcja będzie miała wpływ na rolę, a nie ustawienie skonfigurowane na karcie „Globalne”.

Uwaga: ustawienia oparte na rolach są dostępne w profesjonalnej wersji WP Cerber .

Jak monitorować użycie hasła aplikacji

WP Cerber dodaje dwie nowe kolumny do list haseł do aplikacji użytkowników na stronach ich profili w panelu WordPress. Korzystając z łączy w tych kolumnach, możesz sprawdzić dziennik aktywności. Linki w kolumnie „Autoryzowane” przenoszą Cię do wszystkich zarejestrowanych zdarzeń użycia przez użytkownika haseł do aplikacji. Linki w kolumnie „Autoryzacja nie powiodła się” prowadzą do wszystkich nieudanych prób użycia interfejsów API witryny, gdy używana była nazwa użytkownika lub adres e-mail użytkownika.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Jak otrzymać powiadomienie, gdy użytkownik utworzy nowe hasło

Na stronie administratora dziennika aktywności możesz włączyć wysyłanie wiadomości e-mail lub powiadomienia mobilnego, gdy dowolny użytkownik lub określony użytkownik utworzy nowe hasło do aplikacji. Przejdź do dziennika aktywności, wybierz „Utworzono hasło aplikacji użytkownika” z pierwszego wyboru nad tabelą i kliknij Filtruj . Teraz, aby włączyć powiadomienia, należy kliknąć przycisk „Utwórz alert” po prawej stronie. Aby skonfigurować adres e-mail lub urządzenie mobilne do powiadomień, przejdź do zakładki „Powiadomienia”.

Przeczytaj więcej o konfigurowaniu dowolnego potrzebnego powiadomienia: Powiadomienia WordPress są proste.

Jak ograniczyć dostęp do REST API i XML-RPC

WP Cerber oferuje kilka opcji ograniczania dostępu i możesz skonfigurować dowolną ich kombinację. Możesz całkowicie zablokować dostęp do tych interfejsów API, wyłączając je; możesz zezwolić lub zablokować dostęp do tych interfejsów API z określonych adresów IP, korzystając z list dostępu IP . Dodatkowo możesz zezwolić na dostęp do API REST tylko określonym rolom lub określonym przestrzeniom nazw . Konfigurując reguły dostępu oparte na krajach, możesz zezwolić lub zabronić dostępu do REST API lub XML-RPC według listy krajów.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.