Простое управление паролями приложений WordPress

English version: Managing WordPress application passwords a hassle-free way

Использование паролей приложений в качестве меры безопасности было введено в WordPress 5.6. Эта функция позволяет вам и вашим пользователям создавать и использовать отдельные пароли для доступа к API веб-сайта, таким как REST API . Плагин WP Cerber предоставляет набор инструментов для эффективного и безопасного управления паролями приложений. В этой статье мы также покажем, как отслеживать использование паролей приложений и как получать уведомления о создании пользователем нового пароля.

Мы должны контролировать пароли приложений.

Хотя использование паролей приложений обеспечивает дополнительный барьер безопасности, стандартная реализация паролей приложений в WordPress минималистична и имеет следующие проблемы.

• Пароли приложений не защищены от атак методом перебора.
• У нас нет возможности отключать или включать пароли для конкретной роли пользователя.
• Для доступа к API веб-сайта по-прежнему можно использовать стандартные интерактивные пароли пользователей.
• Мы не можем контролировать использование паролей из-за отсутствия регистрации событий.

Отключение паролей приложений

Если вы хотите полностью отключить пароли приложений в WordPress, установите параметр «Пароли приложений» в значение «Отключено». Этот параметр находится в меню администрирования «Политики пользователей» на вкладке «Глобальные». После активации пользователи больше не смогут создавать новые пароли и использовать пароли, сгенерированные ранее. Для более подробного управления, пожалуйста, прочтите остальную часть статьи.

Используйте WP Cerber для управления паролями приложений.

Все настройки находятся в административном меню «Политики пользователей». Чтобы настроить использование паролей приложения для всех пользователей вашего веб-сайта, перейдите на вкладку «Глобальные». Чтобы настроить параметры для каждой роли пользователя отдельно, перейдите на вкладку «На основе ролей». Параметры, настроенные для роли, имеют более высокий приоритет.

Параметр WP Cerber, который вам нужно настроить, называется "Пароли приложений".

Managing WordPress application passwords with WP Cerber

Значение по умолчанию для этой настройки разрешает использование паролей приложений так, как это реализовано в WordPress. Это подразумевает использование как традиционных паролей (которые пользователи используют для входа на ваш сайт через форму авторизации), так и паролей приложений при доступе к API веб-сайта. В данном случае значение параметра — «Включено, разрешен доступ к API с использованием стандартных паролей пользователей» .

Более безопасный, продвинутый и рекомендуемый способ использования паролей приложений — это разрешение доступа к API веб-сайта только с использованием паролей приложений. В этом случае традиционные интерактивные пароли нельзя использовать при доступе к API веб-сайта, даже если указанный пароль действителен. Любая попытка получить доступ к API будет отклонена. Для этого выберите «Включено, доступ к API с использованием стандартных паролей пользователей запрещен» .

Последний и самый простой способ работы с паролями приложений — это отключить их, установив параметр «Отключить» .

Настройка параметров для конкретной роли пользователя

Все параметры, настроенные для роли, имеют более высокий приоритет, чем глобальные. Поэтому вы можете отключить использование паролей приложений глобально для всех пользователей и включить их только для определенной роли.

По умолчанию для всех ролей используются глобальные настройки, заданные на вкладке «Глобальные». В настройках роли этот параметр называется «Использовать глобальные политики». Это означает, что настройки роли наследуют все изменения, внесенные в глобальные настройки.

Если вы выберете любой другой вариант, кроме «Использовать глобальные политики», то выбранный вариант будет влиять на роль, а не на настройку, заданную на вкладке «Глобальные».

Примечание: настройки на основе ролей доступны в профессиональной версии WP Cerber .

Как отслеживать использование паролей приложений

WP Cerber добавляет два новых столбца в список паролей пользователей к приложениям на страницах их профилей в панели управления WordPress. Используя ссылки в этих столбцах, вы можете просмотреть журнал активности. Ссылки в столбце «Авторизованные» ведут ко всем зарегистрированным событиям использования пользователем паролей к приложениям. Ссылки в столбце «Не удалось авторизоваться» ведут ко всем неудачным попыткам использования API веб-сайта, когда использовалось имя пользователя или адрес электронной почты пользователя.

Monitoring the usage of application passwords with WP Cerber

Как получать уведомления о создании пользователем нового пароля

На странице администрирования журнала действий можно включить отправку уведомлений по электронной почте или на мобильный телефон при создании нового пароля приложения любым пользователем или указанным пользователем. Перейдите в журнал действий, выберите пункт «Создание пароля приложения пользователем» в первом выпадающем списке над таблицей и нажмите «Фильтр» . Теперь, чтобы включить уведомления, необходимо нажать кнопку «Создать оповещение» справа. Чтобы настроить адрес электронной почты или мобильное устройство для уведомлений, перейдите на вкладку «Уведомления».

Подробнее о настройке необходимых уведомлений читайте здесь: Уведомления WordPress стали проще.

Как ограничить доступ к REST API и XML-RPC

WP Cerber предлагает несколько вариантов ограничения доступа, и вы можете настроить любую их комбинацию. Вы можете полностью заблокировать доступ к этим API, отключив их; вы можете разрешить или заблокировать доступ к этим API с определенных IP-адресов, используя списки доступа по IP- адресам. Кроме того, вы можете разрешить доступ к REST API только для определенных ролей или для определенных пространств имен . Настроив правила доступа по странам, вы можете разрешить или запретить доступ к REST API или XML-RPC для списка стран.