Security Blog

Gerenciando aplicativo WordPress senhas uma maneira livre de problemas


English version: Managing WordPress application passwords a hassle-free way


O uso de senhas de aplicativos como medida de segurança foi introduzido no WordPress 5.6. Este recurso permite que você e seus usuários gerem e usem senhas separadas para acessar APIs de sites, como API REST . O plugin WP Cerber traz um conjunto de ferramentas para gerenciar senhas de aplicativos de forma eficaz e segura. Neste artigo, também mostraremos como monitorar o uso de senhas de aplicativos e como ser notificado quando um usuário criar uma.

Precisamos controlar as senhas do aplicativo

Embora o uso de senhas de aplicativos traga uma barreira de segurança adicional, a implementação padrão do WordPress de senhas de aplicativos é minimalista e apresenta os seguintes problemas.

  • As senhas do aplicativo não têm proteção contra ataques de força bruta
  • Não temos capacidade de desativar ou ativar senhas para uma função de usuário específica
  • Senhas de usuário padrão e interativas ainda podem ser usadas para acessar APIs de sites.
  • Não temos controle sobre o uso de senhas devido à falta de registro

Desativando senhas de aplicativos

Se você deseja desabilitar completamente as senhas de aplicativos em seu WordPress, defina a configuração "Senhas de aplicativos" como "Desabilitado". Esta configuração está localizada no menu de administração "Políticas do usuário" na guia "Global". Depois de ativado, os usuários não poderão mais criar novas senhas e usar qualquer uma das senhas geradas anteriormente. Para gerenciamento avançado, leia o resto do artigo.

Use WP Cerber para gerenciar senhas de aplicativos

Todas as configurações estão localizadas no menu de administração "Políticas do usuário". Para configurar o uso de senhas de aplicativos para todos os usuários em seu site, mude para a guia "Global". Para definir a configuração de cada função de usuário separadamente, alterne para a guia "Com base na função". As configurações definidas para uma função têm uma prioridade mais alta.

A configuração WP Cerber que você precisa definir é chamada de "Senhas de aplicativos"

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

O valor padrão da configuração é permitir o uso das senhas do aplicativo da forma como é implementado no WordPress. Isso implica o uso de senhas tradicionais (que os usuários usam para fazer login em seu site por meio de um formulário de login) e senhas de aplicativos ao acessar APIs de sites. A configuração neste caso é "Ativado, o acesso à API usando senhas de usuário padrão é permitido" .

Uma maneira mais segura, avançada e recomendada de usar senhas de aplicativos é permitir o acesso a APIs de sites usando apenas senhas de aplicativos. Nesse caso, as senhas interativas tradicionais não podem ser usadas ao acessar APIs de sites, mesmo que a especificada seja válida. Qualquer tentativa de obter acesso às APIs será negada. Para fazer isso, selecione "Ativado, sem acesso à API usando senhas de usuário padrão" .

A última maneira simples e direta de lidar com as senhas de aplicativos é desativá-las com a configuração definida como "Desativar" .

Definir configurações para uma função de usuário específica

Todas as configurações definidas para uma função têm uma prioridade mais alta do que as globais. Portanto, você pode desabilitar o uso de senhas de aplicativos globalmente para todos os usuários e habilitá-los apenas para uma função específica.

O valor padrão para todas as funções é usar as configurações globais definidas na guia "Global". Nas configurações de função, esta opção é denominada "Usar políticas globais". Isso significa que a configuração da função herda todas as alterações feitas nas configurações globais.

Se você selecionar qualquer outra opção que não seja "Usar políticas globais", essa opção selecionada terá um efeito na função em vez de uma configuração definida na guia "Global".

Nota: as configurações baseadas em funções estão disponíveis na versão profissional do WP Cerber .

Como monitorar o uso de senha do aplicativo

WP Cerber adiciona duas novas colunas às listas de senhas de aplicativos dos usuários em suas páginas de perfil no painel do WordPress. Usando links nessas colunas, você pode verificar o log de atividades. Os links da coluna "Autorizado" levam você a todos os eventos registrados de uso de senhas de aplicativos pelo usuário. Os links na coluna "Falha na autorização" levam você a todas as tentativas malsucedidas de usar APIs de sites quando o nome de usuário ou e-mail do usuário estava em uso.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Como ser notificado quando um usuário cria uma nova senha

Na página de administração do log de atividades, você pode ativar o envio de um e-mail ou uma notificação móvel quando qualquer usuário ou um usuário especificado criar uma nova senha de aplicativo. Vá para o registro de atividades, selecione "Senha do aplicativo do usuário criada" na primeira seleção acima da tabela e clique em Filtrar . Agora, para habilitar as notificações, você precisa clicar no botão "Criar Alerta" à direita. Para configurar o endereço de e-mail ou o dispositivo móvel para notificações, mude para a guia "Notificações".

Leia mais sobre como configurar qualquer notificação de que você precisa: Notificações do WordPress facilitadas.

Como restringir o acesso à API REST e XML-RPC

WP Cerber oferece várias opções para restringir o acesso e você pode configurar qualquer combinação delas. Você pode bloquear o acesso a essas APIs completamente desativando-as; você pode permitir ou bloquear o acesso a essas APIs de endereços IP específicos usando listas de acesso IP . Além disso, você pode permitir o acesso à API REST para funções específicas ou apenas para namespaces específicos . Ao configurar regras de acesso baseadas em país, você pode permitir ou negar acesso à API REST ou XML-RPC por uma lista de países.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.