Простое управление паролями приложений WordPress
English version: Managing WordPress application passwords a hassle-free way
Использование паролей приложений в качестве меры безопасности было введено в WordPress 5.6. Эта функция позволяет вам и вашим пользователям создавать и использовать отдельные пароли для доступа к API-интерфейсам веб-сайта, таким как REST API . Плагин WP Cerber предоставляет набор инструментов для эффективного и безопасного управления паролями приложений. В этой статье мы также покажем вам, как отслеживать использование паролей приложений и как получать уведомления, когда пользователь их создает.
Мы должны контролировать пароли приложений
Хотя использование паролей приложений создает дополнительный барьер безопасности, реализация паролей приложений WordPress по умолчанию минималистична и имеет следующие проблемы.
- Пароли приложений не имеют защиты от атак методом перебора.
- У нас нет возможности отключать или включать пароли для определенной роли пользователя.
- Стандартные интерактивные пароли пользователей по-прежнему можно использовать для доступа к API веб-сайта.
- Мы не имеем контроля над использованием паролей из-за отсутствия логирования.
Отключение паролей приложений
Если вы хотите полностью отключить пароли приложений в WordPress, установите для параметра «Пароли приложений» значение «Отключено». Этот параметр находится в меню администратора «Политики пользователя» на вкладке «Общие». После его активации пользователи больше не смогут создавать новые пароли и использовать пароли, сгенерированные ранее. Для более подробного управления, пожалуйста, прочитайте остальную часть статьи.
Используйте WP Cerber для управления паролями приложений
Все настройки находятся в админ-меню «Политики пользователя». Чтобы настроить использование паролей приложений для всех пользователей вашего сайта, перейдите на вкладку «Глобальные». Чтобы настроить настройку для каждой роли пользователя отдельно, перейдите на вкладку «На основе ролей». Параметры, настроенные для роли, имеют более высокий приоритет.
Параметр WP Cerber, который вам необходимо настроить, называется «Пароли приложений».
Значение этого параметра по умолчанию — разрешить использование паролей приложений так, как это реализовано в WordPress. Это подразумевает использование как традиционных паролей (которые пользователи используют для входа на ваш сайт через форму входа), так и паролей приложений при доступе к API веб-сайта. Настройка в данном случае — «Включено, доступ к API с использованием стандартных паролей пользователей разрешен» .
Более безопасный, продвинутый и рекомендуемый способ использования паролей приложений — разрешить доступ к API веб-сайта, используя только пароли приложений. В этом случае традиционные интерактивные пароли нельзя использовать при доступе к API веб-сайта, даже если указанный пароль действителен. Любая попытка получить доступ к API будет отклонена. Для этого выберите «Включено, нет доступа к API с использованием стандартных паролей пользователей» .
Последний и простой способ борьбы с паролями приложений — отключить их, установив настройку «Отключить» .
Настройка параметров для конкретной роли пользователя
Все настройки, настроенные для роли, имеют более высокий приоритет, чем глобальные. Таким образом, вы можете отключить использование паролей приложений глобально для всех пользователей и включить их только для определенной роли.
По умолчанию для всех ролей используются глобальные параметры, настроенные на вкладке «Глобальные». В настройках роли эта опция называется «Использовать глобальные политики». Это означает, что настройка роли наследует все изменения, внесенные в глобальные настройки.
Если вы выберете любой другой вариант, кроме «Использовать глобальные политики», этот выбранный параметр будет влиять на роль, а не параметр, настроенный на вкладке «Глобальные».
Примечание: настройки на основе ролей доступны в профессиональной версии WP Cerber .
Как отслеживать использование пароля приложения
WP Cerber добавляет два новых столбца в списки паролей приложений пользователей на страницах их профилей на панели управления WordPress. Используя ссылки в этих столбцах, вы можете проверить журнал активности. Ссылки в столбце «Авторизованные» позволяют перейти ко всем зарегистрированным событиям использования пользователем паролей приложений. Ссылки в столбце «Ошибка авторизации» позволяют перейти ко всем неудачным попыткам использовать API веб-сайта, когда использовалось имя пользователя или адрес электронной почты пользователя.
Как получать уведомления, когда пользователь создает новый пароль
На странице администратора журнала активности вы можете включить отправку электронного письма или мобильного уведомления, когда любой пользователь или указанный пользователь создает новый пароль приложения. Перейдите в журнал активности, выберите «Пароль приложения пользователя создан» в первом выборе над таблицей и нажмите «Фильтр» . Теперь, чтобы включить уведомления, вам нужно нажать кнопку «Создать оповещение» справа. Чтобы настроить адрес электронной почты или мобильное устройство для уведомлений, перейдите на вкладку «Уведомления».
Пожалуйста, прочитайте больше о том, как настроить любое необходимое вам уведомление: уведомления WordPress стали проще.
Как ограничить доступ к REST API и XML-RPC
WP Cerber предлагает несколько вариантов ограничения доступа, и вы можете настроить любую их комбинацию. Вы можете полностью заблокировать доступ к этим API, отключив их; вы можете разрешить или заблокировать доступ к этим API с определенных IP-адресов с помощью списков доступа по IP . Кроме того, вы можете разрешить доступ к REST API для определенных ролей или только для определенных пространств имен . Настраивая правила доступа на основе страны, вы можете разрешить или запретить доступ к REST API или XML-RPC по списку стран.