Gerenciando senhas de aplicativos WordPress de uma maneira descomplicada

English version: Managing WordPress application passwords a hassle-free way

O uso de senhas de aplicativos como medida de segurança foi introduzido no WordPress 5.6. Esse recurso permite que você e seus usuários gerem e usem senhas separadas para acessar APIs de sites, como REST API . O plugin WP Cerber traz um conjunto de ferramentas para gerenciar senhas de aplicativos de forma eficaz e segura. Neste artigo, também mostraremos como monitorar o uso de senhas de aplicativos e como ser notificado quando um usuário cria uma.

Temos que controlar as senhas dos aplicativos

Embora o uso de senhas de aplicativos traga uma barreira de segurança adicional, a implementação padrão de senhas de aplicativos do WordPress é minimalista e apresenta os seguintes problemas.

• As senhas dos aplicativos não têm proteção contra ataques de força bruta
• Não temos capacidade de desabilitar ou habilitar senhas para uma função de usuário específica
• Senhas de usuário interativas e padrão ainda podem ser usadas para acessar APIs de sites.
• Não temos controle sobre o uso de senhas devido à falta de registro

Desabilitando senhas de aplicativos

Se você quiser desabilitar completamente as senhas de aplicativos no seu WordPress, defina a configuração "Senhas de aplicativos" como "Desabilitado". Essa configuração está localizada no menu de administração "Políticas do usuário" na aba "Global". Uma vez ativada, os usuários não poderão mais criar novas senhas e usar nenhuma das senhas que foram geradas anteriormente. Para gerenciamento avançado, leia o restante do artigo.

Use o WP Cerber para gerenciar senhas de aplicativos

Todas as configurações estão localizadas no menu de administração "Políticas do Usuário". Para configurar o uso de senhas de aplicativo para todos os usuários em seu site, alterne para a aba "Global". Para configurar a configuração para cada função de usuário separadamente, alterne para a aba "Baseado em Função". As configurações configuradas para uma função têm uma prioridade mais alta.

A configuração do WP Cerber que você precisa configurar é chamada de "Senhas do aplicativo"

Managing WordPress application passwords with WP Cerber

O valor padrão da configuração é permitir o uso das senhas do aplicativo da maneira como é implementado no WordPress. Isso implica usar tanto senhas tradicionais (que os usuários usam para fazer login no seu site por meio de um formulário de login) quanto senhas do aplicativo ao acessar APIs do site. A configuração neste caso é "Habilitado, o acesso à API usando senhas de usuário padrão é permitido" .

Uma maneira mais segura, avançada e recomendada de usar senhas de aplicativos é permitir o acesso a APIs de sites usando apenas senhas de aplicativos. Nesse caso, senhas interativas tradicionais não podem ser usadas ao acessar APIs de sites, mesmo que a especificada seja válida. Qualquer tentativa de obter acesso a APIs será negada. Para fazer isso, selecione "Habilitado, sem acesso à API usando senhas de usuário padrão" .

A última e mais direta maneira de lidar com senhas de aplicativos é desabilitá-las com a configuração definida como "Desabilitar" .

Configurar definições para uma função de usuário específica

Todas as configurações configuradas para uma função têm prioridade maior do que as globais. Então você pode desabilitar o uso de senhas de aplicativo globalmente para todos os usuários e habilitá-las somente para uma função específica.

O valor padrão para todas as funções é usar as configurações globais configuradas na aba "Global". Nas configurações de função, essa opção é chamada de "Usar políticas globais". Isso significa que a configuração da função herda todas as alterações feitas nas configurações globais.

Se você selecionar qualquer opção diferente de "Usar políticas globais", essa opção selecionada terá um efeito na função em vez de uma configuração definida na guia "Global".

Observação: as configurações baseadas em funções estão disponíveis na versão profissional do WP Cerber .

Como monitorar o uso de senhas de aplicativos

O WP Cerber adiciona duas novas colunas às listas de senhas de aplicativos dos usuários em suas páginas de perfil no painel do WordPress. Usando links nessas colunas, você pode verificar o log de atividades. Os links da coluna "Autorizado" o levam a todos os eventos registrados de uso de senhas de aplicativos pelo usuário. Os links na coluna "Falha na autorização" o levam a todas as tentativas malsucedidas de usar APIs de sites quando o nome de usuário ou e-mail do usuário estava em uso.

Monitoring the usage of application passwords with WP Cerber

Como ser notificado quando um usuário cria uma nova senha

Na página de administração do log de atividades, você pode habilitar o envio de um e-mail ou uma notificação móvel quando qualquer usuário ou um especificado cria uma nova senha de aplicativo. Vá para o log de atividades, selecione "Senha do aplicativo do usuário criada" na primeira seleção acima da tabela e clique em Filtrar . Agora, para habilitar as notificações, você precisa clicar no botão "Criar alerta" à direita. Para configurar o endereço de e-mail ou o dispositivo móvel para notificações, alterne para a guia "Notificações".

Leia mais sobre como configurar qualquer notificação que você precisar: Notificações do WordPress facilitadas.

Como restringir o acesso à API REST e XML-RPC

O WP Cerber oferece várias opções para restringir o acesso e você pode configurar qualquer combinação delas. Você pode bloquear o acesso a essas APIs completamente desabilitando-as; você pode permitir ou bloquear o acesso a essas APIs de endereços IP específicos usando IP Access Lists . Além disso, você pode permitir o acesso à REST API para funções específicas ou somente para namespaces específicos . Ao configurar regras de acesso baseadas em país, você pode permitir ou negar acesso à REST API ou XML-RPC por uma lista de países.