Gerenciando senhas de aplicativos WordPress de maneira descomplicada

English version: Managing WordPress application passwords a hassle-free way

O uso de senhas de aplicativos como medida de segurança foi introduzido no WordPress 5.6. Esse recurso permite que você e seus usuários gerem e usem senhas separadas para acessar as APIs do site, como a API REST . O plugin WP Cerber traz um conjunto de ferramentas para gerenciar senhas de aplicativos de forma eficaz e segura. Neste artigo, também mostraremos como monitorar o uso de senhas de aplicativos e como ser notificado quando um usuário criar uma.

Temos que controlar senhas de aplicativos

Embora o uso de senhas de aplicativos traga uma barreira de segurança adicional, a implementação padrão do WordPress de senhas de aplicativos é minimalista e apresenta os seguintes problemas.

• As senhas de aplicativos não têm proteção contra ataques de força bruta
• Não temos como desativar ou ativar senhas para uma função de usuário específica
• As senhas padrão e interativas do usuário ainda podem ser usadas para acessar as APIs do site.
• Não temos controle sobre o uso de senhas devido à falta de login

Desabilitando senhas de aplicativos

Se você deseja desabilitar completamente as senhas de aplicativos em seu WordPress, defina a configuração "Senhas de aplicativos" como "Desativado". Essa configuração está localizada no menu de administração "Políticas do usuário" na guia "Global". Uma vez ativado, os usuários não poderão mais criar novas senhas e usar qualquer uma das senhas geradas anteriormente. Para gerenciamento avançado, leia o restante do artigo.

Use WP Cerber para gerenciar senhas de aplicativos

Todas as configurações estão localizadas no menu de administração "Políticas do usuário". Para configurar o uso de senhas de aplicativos para todos os usuários do seu site, mude para a guia "Global". Para definir a configuração para cada função de usuário separadamente, alterne para a guia "Baseado na função". As configurações definidas para uma função têm uma prioridade mais alta.

A configuração do WP Cerber que você precisa configurar é denominada "Senhas de aplicativos"

Managing WordPress application passwords with WP Cerber

O valor padrão da configuração é permitir o uso das senhas do aplicativo da maneira como é implementado no WordPress. Isso implica o uso de senhas tradicionais (que os usuários usam para fazer login em seu site por meio de um formulário de login) e senhas de aplicativos ao acessar as APIs do site. A configuração neste caso é "Ativado, o acesso à API usando senhas de usuário padrão é permitido" .

Uma maneira mais segura, avançada e recomendada de usar senhas de aplicativos é permitir o acesso às APIs do site usando apenas senhas de aplicativos. Nesse caso, as senhas interativas tradicionais não podem ser usadas ao acessar as APIs do site, mesmo que a especificada seja válida. Qualquer tentativa de obter acesso às APIs será negada. Para conseguir isso, selecione "Ativado, sem acesso à API usando senhas de usuário padrão" .

A última e direta maneira de lidar com senhas de aplicativos é desativá-las com a configuração definida como "Desativar" .

Definir configurações para uma função de usuário específica

Todas as configurações definidas para uma função têm uma prioridade mais alta que as globais. Portanto, você pode desativar o uso de senhas de aplicativos globalmente para todos os usuários e ativá-los apenas para uma função específica.

O valor padrão para todas as funções é usar as configurações globais definidas na guia "Global". Nas configurações de função, esta opção é denominada "Usar políticas globais". Isso significa que a configuração da função herda todas as alterações feitas nas configurações globais.

Se você selecionar qualquer opção diferente de "Usar políticas globais", essa opção selecionada terá um efeito na função em vez de uma configuração definida na guia "Global".

Observação: as configurações baseadas em função estão disponíveis na versão profissional do WP Cerber .

Como monitorar o uso da senha do aplicativo

WP Cerber adiciona duas novas colunas às listas de senhas de aplicativos dos usuários em suas páginas de perfil no painel do WordPress. Usando links nessas colunas, você pode verificar o log de atividades. Os links da coluna "Autorizado" levam você a todos os eventos registrados de uso de senhas de aplicativos pelo usuário. Os links na coluna "Authorization Failed" levam você a todas as tentativas malsucedidas de usar as APIs do site quando o nome de usuário ou e-mail do usuário estava em uso.

Monitoring the usage of application passwords with WP Cerber

Como ser notificado quando um usuário cria uma nova senha

Na página de administração do log de atividades, você pode habilitar o envio de um e-mail ou uma notificação móvel quando qualquer usuário ou um especificado criar uma nova senha de aplicativo. Vá para o Log de atividades, selecione "Senha do aplicativo do usuário criada" na primeira seleção acima da tabela e clique em Filtrar . Agora, para ativar as notificações, você precisa clicar no botão "Criar alerta" à direita. Para configurar o endereço de e-mail ou o dispositivo móvel para notificações, mude para a guia "Notificações".

Por favor, leia mais sobre como configurar qualquer notificação que você precisa: Notificações do WordPress facilitadas.

Como restringir o acesso à API REST e XML-RPC

O WP Cerber oferece várias opções para restringir o acesso e você pode configurar qualquer combinação delas. Você pode bloquear completamente o acesso a essas APIs desativando-as; você pode permitir ou bloquear o acesso a essas APIs de endereços IP específicos usando listas de acesso IP . Além disso, você pode permitir o acesso à API REST para funções específicas ou apenas para namespaces específicos . Ao configurar regras de acesso com base no país, você pode permitir ou negar acesso à API REST ou XML-RPC por uma lista de países.