Security Blog

Управление приложения WordPress паролей беспроблемного путь


English version: Managing WordPress application passwords a hassle-free way


Использование паролей приложений в качестве меры безопасности было введено в WordPress 5.6. Эта функция позволяет вам и вашим пользователям создавать и использовать отдельные пароли для доступа к API веб-сайтов, таким как REST API . Плагин WP Cerber предоставляет набор инструментов для эффективного и безопасного управления паролями приложений. В этой статье мы также покажем вам, как отслеживать использование паролей приложений и как получать уведомления, когда пользователь их создает.

Мы должны контролировать пароли приложений

Хотя использование паролей приложений создает дополнительный барьер безопасности, стандартная реализация паролей приложений в WordPress минималистична и имеет следующие проблемы.

  • Пароли приложений не имеют защиты от атак методом перебора
  • У нас нет возможности отключить или включить пароли для определенной роли пользователя.
  • Стандартные интерактивные пароли пользователей по-прежнему можно использовать для доступа к API веб-сайтов.
  • Мы не контролируем использование паролей из-за отсутствия регистрации

Отключение паролей приложений

Если вы хотите полностью отключить пароли приложений в WordPress, установите для параметра «Пароли приложений» значение «Отключено». Этот параметр находится в меню администратора «Политики пользователей» на вкладке «Глобальные». После его активации пользователи больше не смогут создавать новые пароли и использовать какие-либо пароли, которые были созданы ранее. Для расширенного управления прочтите оставшуюся часть статьи.

Используйте WP Cerber для управления паролями приложений

Все настройки находятся в меню администратора «Политики пользователей». Чтобы настроить использование паролей приложений для всех пользователей вашего сайта, перейдите на вкладку «Глобальный». Чтобы настроить параметр для каждой роли пользователя отдельно, перейдите на вкладку «На основе ролей». Параметры, настроенные для роли, имеют более высокий приоритет.

Параметр WP Cerber, который необходимо настроить, называется «Пароли приложений».

Managing WordPress application passwords

Managing WordPress application passwords with WP Cerber

Значение этого параметра по умолчанию – разрешить использование паролей приложений так, как это реализовано в WordPress. Это подразумевает использование как традиционных паролей (которые пользователи используют для входа на ваш сайт через форму входа), так и паролей приложений при доступе к API веб-сайтов. Настройка в этом случае – «Включено, доступ к API с использованием стандартных паролей пользователей разрешен» .

Более безопасный, продвинутый и рекомендуемый способ использования паролей приложений – разрешить доступ к API веб-сайтов, используя только пароли приложений. В этом случае традиционные интерактивные пароли не могут использоваться при доступе к API веб-сайтов, даже если указанный пароль действителен. Любые попытки получить доступ к API будут отклонены. Для этого выберите «Включено, нет доступа к API с использованием стандартных паролей пользователей» .

Последний и простой способ справиться с паролями приложений – отключить их с помощью параметра «Отключить» .

Настроить параметры для конкретной роли пользователя

Все настройки, настроенные для роли, имеют более высокий приоритет, чем глобальные. Таким образом, вы можете отключить использование паролей приложений глобально для всех пользователей и включить их только для определенной роли.

Значение по умолчанию для всех ролей – использовать глобальные параметры, настроенные на вкладке «Глобальные». В настройках роли эта опция называется «Использовать глобальные политики». Это означает, что настройка роли наследует все изменения, внесенные в глобальные настройки.

Если вы выберете любой вариант, кроме «Использовать глобальные политики», этот выбранный параметр будет влиять на роль, а не на параметр, настроенный на вкладке «Глобальные».

Примечание: настройки на основе ролей доступны в профессиональной версии WP Cerber .

Как отслеживать использование пароля приложения

WP Cerber добавляет два новых столбца в списки паролей приложений пользователей на страницах их профилей на панели инструментов WordPress. Используя ссылки в этих столбцах, вы можете проверить журнал активности. Ссылки столбца «Авторизованные» позволяют перейти ко всем зарегистрированным событиям использования паролей приложений пользователем. Ссылки в столбце «Ошибка авторизации» позволяют перейти ко всем неудачным попыткам использовать API веб-сайтов, когда использовалось имя пользователя или адрес электронной почты.

Monitoring application passwords in WordPress

Monitoring the usage of application passwords with WP Cerber

Как получить уведомление, когда пользователь создает новый пароль

На странице администратора журнала активности вы можете включить отправку электронного письма или мобильного уведомления, когда любой пользователь или указанный пользователь создает новый пароль приложения. Перейдите в журнал активности, выберите «Пароль приложения пользователя создан» из первого выбора над таблицей и нажмите « Фильтр» . Теперь, чтобы включить уведомления, вам нужно нажать кнопку «Создать оповещение» справа. Чтобы настроить адрес электронной почты или мобильное устройство для уведомлений, перейдите на вкладку «Уведомления».

Пожалуйста, прочитайте больше о том, как настроить любое необходимое уведомление : Уведомления WordPress стали проще.

Как ограничить доступ к REST API и XML-RPC

WP Cerber предлагает несколько вариантов ограничения доступа, и вы можете настроить любую их комбинацию. Вы можете полностью заблокировать доступ к этим API, отключив их; вы можете разрешить или заблокировать доступ к этим API с определенных IP-адресов с помощью списков IP-доступа . Кроме того, вы можете разрешить доступ к REST API только для определенных ролей или определенных пространств имен . Настроив правила доступа для стран, вы можете разрешить или запретить доступ к REST API или XML-RPC по списку стран.


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.