Простое управление паролями приложений WordPress

English version: Managing WordPress application passwords a hassle-free way

Использование паролей приложений в качестве меры безопасности было введено в WordPress 5.6. Эта функция позволяет вам и вашим пользователям генерировать и использовать отдельные пароли для доступа к API веб-сайта, таким как REST API . Плагин WP Cerber предоставляет набор инструментов для эффективного и безопасного управления паролями приложений. В этой статье мы также покажем вам, как отслеживать использование паролей приложений и как получать уведомления, когда пользователь создает пароль.

Нам необходимо контролировать пароли приложений.

Хотя использование паролей приложений создает дополнительный барьер безопасности, стандартная реализация паролей приложений в WordPress минималистична и имеет следующие проблемы.

• Пароли приложений не имеют защиты от атак методом подбора
• У нас нет возможности отключать или включать пароли для определенной роли пользователя.
• Стандартные интерактивные пароли пользователей по-прежнему можно использовать для доступа к API веб-сайтов.
• Мы не контролируем использование паролей из-за отсутствия регистрации.

Отключение паролей приложений

Если вы хотите полностью отключить пароли приложений в WordPress, установите для параметра «Пароли приложений» значение «Отключено». Этот параметр находится в меню администратора «Политики пользователя» на вкладке «Глобальные». После активации пользователи больше не смогут создавать новые пароли и использовать любые пароли, которые были сгенерированы ранее. Для расширенного управления, пожалуйста, прочитайте остальную часть статьи.

Используйте WP Cerber для управления паролями приложений

Все настройки находятся в меню администратора «Политики пользователей». Чтобы настроить использование паролей приложений для всех пользователей на вашем сайте, перейдите на вкладку «Глобальные». Чтобы настроить параметры для каждой роли пользователя отдельно, перейдите на вкладку «На основе ролей». Параметры, настроенные для роли, имеют более высокий приоритет.

Параметр WP Cerber, который вам нужно настроить, называется «Пароли приложений».

Managing WordPress application passwords with WP Cerber

Значение по умолчанию для настройки — разрешить использование паролей приложений так, как это реализовано в WordPress. Это подразумевает использование как традиционных паролей (которые пользователи используют для входа на ваш сайт через форму входа), так и паролей приложений при доступе к API веб-сайта. В этом случае настройка — «Включено, разрешен доступ к API с использованием стандартных паролей пользователей» .

Более безопасный, продвинутый и рекомендуемый способ использования паролей приложений — разрешить доступ к API веб-сайта, используя только пароли приложений. В этом случае традиционные интерактивные пароли не могут использоваться при доступе к API веб-сайта, даже если указанный пароль действителен. Любая попытка получить доступ к API будет отклонена. Для этого выберите «Включено, нет доступа к API с использованием стандартных паролей пользователя» .

Последний и самый простой способ работы с паролями приложений — отключить их, установив параметр «Отключить» .

Настройте параметры для определенной роли пользователя

Все настройки, настроенные для роли, имеют более высокий приоритет, чем глобальные. Таким образом, вы можете отключить использование паролей приложений глобально для всех пользователей и включить их только для определенной роли.

Значение по умолчанию для всех ролей — использовать глобальные настройки, настроенные на вкладке «Глобальные». В настройках роли эта опция называется «Использовать глобальные политики». Это означает, что настройка роли наследует все изменения, внесенные в глобальные настройки.

Если вы выберете любой другой параметр, кроме «Использовать глобальные политики», на роль будет влиять этот выбранный параметр, а не параметр, настроенный на вкладке «Глобальные».

Примечание: настройки на основе ролей доступны в профессиональной версии WP Cerber .

Как контролировать использование паролей приложений

WP Cerber добавляет два новых столбца в списки паролей приложений пользователей на страницах их профилей в панели инструментов WordPress. Используя ссылки в этих столбцах, вы можете проверить журнал активности. Ссылки столбца «Авторизованные» перенаправляют вас ко всем зарегистрированным событиям использования паролей приложений пользователем. Ссылки в столбце «Ошибка авторизации» перенаправляют вас ко всем неудачным попыткам использовать API веб-сайта, когда использовались имя пользователя или адрес электронной почты пользователя.

Monitoring the usage of application passwords with WP Cerber

Как получить уведомление, когда пользователь создает новый пароль

На странице администратора журнала активности вы можете включить отправку электронного письма или мобильного уведомления, когда любой пользователь или указанный пользователь создает новый пароль приложения. Перейдите в журнал активности, выберите «Создан пароль приложения пользователя» из первого выбора над таблицей и нажмите Фильтр . Теперь, чтобы включить уведомления, вам нужно нажать кнопку «Создать оповещение» справа. Чтобы настроить адрес электронной почты или мобильное устройство для уведомлений, перейдите на вкладку «Уведомления».

Подробнее о настройке необходимых вам уведомлений читайте в статье: Уведомления WordPress — это просто.

Как ограничить доступ к REST API и XML-RPC

WP Cerber предлагает несколько вариантов ограничения доступа, и вы можете настроить любую их комбинацию. Вы можете полностью заблокировать доступ к этим API, отключив их; вы можете разрешить или заблокировать доступ к этим API с определенных IP-адресов, используя списки доступа IP . Кроме того, вы можете разрешить доступ к REST API только для определенных ролей или только для определенных пространств имен . Настраивая правила доступа на основе страны, вы можете разрешить или запретить доступ к REST API или XML-RPC по списку стран.