Gerenciando senhas de aplicativos WordPress de maneira descomplicada
English version: Managing WordPress application passwords a hassle-free way
O uso de senhas de aplicativos como medida de segurança foi introduzido no WordPress 5.6. Esse recurso permite que você e seus usuários gerem e usem senhas separadas para acessar APIs de sites, como API REST . O plugin WP Cerber traz um conjunto de ferramentas para gerenciar senhas de aplicativos de forma eficaz e segura. Neste artigo, também mostraremos como monitorar o uso de senhas de aplicativos e como ser notificado quando um usuário criar uma.
Temos que controlar as senhas dos aplicativos
Embora o uso de senhas de aplicativos traga uma barreira de segurança adicional, a implementação padrão de senhas de aplicativos do WordPress é minimalista e apresenta os seguintes problemas.
- As senhas de aplicativos não têm proteção contra ataques de força bruta
- Não podemos desativar ou ativar senhas para uma função de usuário específica
- Senhas de usuário padrão e interativas ainda podem ser usadas para acessar APIs de sites.
- Não temos controle sobre o uso de senhas devido à falta de registro
Desativando senhas de aplicativos
Se você deseja desabilitar completamente as senhas de aplicativos em seu WordPress, defina a configuração “Senhas de aplicativos” como “Desativado”. Essa configuração está localizada no menu de administração "Políticas de usuário" na guia "Global". Depois de ativado, os usuários não poderão mais criar novas senhas e usar qualquer uma das senhas geradas anteriormente. Para gerenciamento avançado, leia o restante do artigo.
Use WP Cerber para gerenciar senhas de aplicativos
Todas as configurações estão localizadas no menu de administração "Políticas de usuário". Para configurar o uso de senhas de aplicativos para todos os usuários do seu site, mude para a aba “Global”. Para definir a configuração para cada função de usuário separadamente, alterne para a guia "Baseado em função". As configurações definidas para uma função têm prioridade mais alta.
A configuração do WP Cerber que você precisa definir é chamada de "Senhas de aplicativos"
O valor padrão da configuração é permitir o uso das senhas do aplicativo da mesma forma que está implementado no WordPress. Implica o uso de senhas tradicionais (que os usuários usam para fazer login no seu site por meio de um formulário de login) e senhas de aplicativos ao acessar as APIs do site. A configuração neste caso é "Ativado, o acesso à API usando senhas de usuário padrão é permitido" .
Uma maneira mais segura, avançada e recomendada de usar senhas de aplicativos é permitir o acesso às APIs do site usando apenas senhas de aplicativos. Nesse caso, as senhas interativas tradicionais não podem ser utilizadas no acesso às APIs do site, mesmo que a especificada seja válida. Qualquer tentativa de acesso às APIs será negada. Para conseguir isso, selecione "Ativado, sem acesso à API usando senhas de usuário padrão" .
A última e simples maneira de lidar com senhas de aplicativos é desativá-las com a configuração definida como "Desativar" .
Definir configurações para uma função de usuário específica
Todas as configurações definidas para uma função têm prioridade mais alta que as globais. Assim, você pode desabilitar o uso de senhas de aplicativos globalmente para todos os usuários e habilitá-los apenas para uma função específica.
O valor padrão para todas as funções é usar configurações globais configuradas na guia "Global". Nas configurações da função, esta opção é denominada "Usar políticas globais". Isso significa que a configuração da função herda todas as alterações feitas nas configurações globais.
Se você selecionar qualquer opção diferente de "Usar políticas globais", essa opção selecionada terá efeito na função em vez de uma configuração configurada na guia "Global".
Nota: as configurações baseadas em funções estão disponíveis na versão profissional do WP Cerber .
Como monitorar o uso de senha do aplicativo
WP Cerber adiciona duas novas colunas às listas de senhas de aplicativos dos usuários em suas páginas de perfil no painel do WordPress. Usando links nessas colunas, você pode verificar o log de atividades. Os links da coluna "Autorizado" levam você a todos os eventos registrados de uso de senhas de aplicativos pelo usuário. Os links na coluna "Falha na autorização" direcionam você para todas as tentativas fracassadas de usar APIs de sites quando o nome de usuário ou e-mail do usuário estava em uso.
Como ser notificado quando um usuário cria uma nova senha
Na página de administração do log de atividades, você pode ativar o envio de um e-mail ou notificação móvel quando qualquer usuário ou um usuário específico criar uma nova senha de aplicativo. Vá para o log de atividades, selecione "Senha do aplicativo do usuário criada" na primeira seleção acima da tabela e clique em Filtrar . Agora, para habilitar as notificações, você precisa clicar no botão “Criar Alerta” à direita. Para configurar o endereço de e-mail ou o dispositivo móvel para notificações, mude para a aba "Notificações".
Leia mais sobre como configurar qualquer notificação necessária: Notificações do WordPress facilitadas.
Como restringir o acesso à API REST e XML-RPC
WP Cerber oferece diversas opções para restringir o acesso e você pode configurar qualquer combinação delas. Você pode bloquear completamente o acesso a essas APIs desativando-as; você pode permitir ou bloquear o acesso a essas APIs de endereços IP específicos usando listas de acesso IP . Além disso, você pode permitir acesso à API REST para funções específicas ou apenas para namespaces específicos . Ao configurar regras de acesso baseadas em país, você pode permitir ou negar acesso à API REST ou XML-RPC por meio de uma lista de países.