Gerencie as senhas do seu aplicativo WordPress de forma descomplicada.

English version: Managing WordPress application passwords a hassle-free way

O uso de senhas de aplicativos como medida de segurança foi introduzido no WordPress 5.6. Esse recurso permite que você e seus usuários gerem e usem senhas separadas para acessar APIs do site, como a API REST . O plugin WP Cerber oferece um conjunto de ferramentas para gerenciar senhas de aplicativos de forma eficaz e segura. Neste artigo, também mostraremos como monitorar o uso de senhas de aplicativos e como ser notificado quando um usuário criar uma.

Precisamos controlar as senhas dos aplicativos.

Embora o uso de senhas de aplicativos adicione uma camada extra de segurança, a implementação padrão do WordPress para senhas de aplicativos é minimalista e apresenta os seguintes problemas.

• As senhas de aplicativos não oferecem proteção contra ataques de força bruta.
• Não temos como desativar ou ativar senhas para uma função de usuário específica.
• Senhas de usuário padrão e interativas ainda podem ser usadas para acessar APIs de sites.
• Não temos controle sobre o uso de senhas devido à falta de registros.

Desativar senhas de aplicativos

Se você deseja desativar completamente as senhas de aplicativos no seu WordPress, defina a opção "Senhas de Aplicativos" como "Desativada". Essa configuração está localizada no menu administrativo "Políticas do Usuário", na aba "Global". Uma vez ativada, os usuários não poderão mais criar novas senhas nem usar senhas geradas anteriormente. Para configurações avançadas, leia o restante do artigo.

Use o WP Cerber para gerenciar senhas de aplicativos.

Todas as configurações estão localizadas no menu administrativo "Políticas de Usuário". Para configurar o uso de senhas de aplicativo para todos os usuários do seu site, acesse a aba "Global". Para configurar as opções para cada função de usuário separadamente, acesse a aba "Baseado em Função". As configurações definidas para uma função específica têm prioridade.

A configuração do WP Cerber que você precisa configurar se chama "Senhas de Aplicativos".

Managing WordPress application passwords with WP Cerber

O valor padrão dessa configuração permite o uso de senhas de aplicativo da mesma forma que é implementado no WordPress. Isso implica o uso tanto de senhas tradicionais (que os usuários usam para fazer login no seu site por meio de um formulário de login) quanto de senhas de aplicativo ao acessar as APIs do site. Nesse caso, a configuração é "Ativado, o acesso à API usando senhas de usuário padrão é permitido" .

Uma forma mais segura, avançada e recomendada de usar senhas de aplicativos é permitir o acesso às APIs do site usando apenas senhas de aplicativo. Nesse caso, as senhas interativas tradicionais não podem ser usadas para acessar as APIs do site, mesmo que a senha especificada seja válida. Qualquer tentativa de acesso às APIs será negada. Para isso, selecione "Ativado, sem acesso à API usando senhas de usuário padrão" .

A última e mais simples forma de lidar com senhas de aplicativos é desativá-las, definindo a configuração como "Desativar" .

Configure as definições para uma função de utilizador específica.

Todas as configurações definidas para uma função têm prioridade maior do que as configurações globais. Portanto, você pode desativar o uso de senhas de aplicativo globalmente para todos os usuários e ativá-las apenas para uma função específica.

O valor padrão para todas as funções é usar as configurações globais definidas na guia "Global". Nas configurações da função, essa opção é chamada de "Usar políticas globais". Isso significa que a configuração da função herda todas as alterações feitas nas configurações globais.

Se você selecionar qualquer opção diferente de "Usar políticas globais", a opção selecionada terá efeito na função em vez de uma configuração definida na guia "Global".

Nota: as configurações baseadas em funções estão disponíveis na versão profissional do WP Cerber .

Como monitorar o uso de senhas de aplicativos

O WP Cerber adiciona duas novas colunas às listas de senhas de aplicativos dos usuários em suas páginas de perfil no painel do WordPress. Usando os links nessas colunas, você pode verificar o registro de atividades. Os links da coluna "Autorizado" levam você a todos os eventos registrados de uso de senhas de aplicativos pelo usuário. Os links da coluna "Falha na autorização" levam você a todas as tentativas falhas de uso das APIs do site quando o nome de usuário ou e-mail do usuário estavam em uso.

Monitoring the usage of application passwords with WP Cerber

Como receber uma notificação quando um usuário cria uma nova senha?

Na página de administração do registro de atividades, você pode ativar o envio de um e-mail ou uma notificação para celular quando qualquer usuário, ou um usuário específico, criar uma nova senha de aplicativo. Acesse o registro de atividades, selecione "Senha de aplicativo do usuário criada" na primeira lista acima da tabela e clique em " Filtrar ". Agora, para ativar as notificações, clique no botão "Criar alerta" à direita. Para configurar o endereço de e-mail ou o dispositivo móvel para receber as notificações, acesse a guia "Notificações".

Leia mais sobre como configurar qualquer notificação que você precisar: Notificações do WordPress facilitadas.

Como restringir o acesso à API REST e ao XML-RPC

O WP Cerber oferece diversas opções para restringir o acesso e você pode configurar qualquer combinação delas. Você pode bloquear completamente o acesso a essas APIs desativando-as; pode permitir ou bloquear o acesso a essas APIs a partir de endereços IP específicos usando Listas de Acesso por IP . Além disso, você pode permitir o acesso à API REST apenas para funções específicas ou para namespaces específicos . Ao configurar regras de acesso baseadas em país, você pode permitir ou negar o acesso à API REST ou XML-RPC por uma lista de países.