Пароли приложений WordPress: создание и устранение неполадок

WordPress
На чтение 12 мин Просмотров 12 Опубликовано

Долгое время WordPress требовал от пользователей входа в свои панели администратора для выполнения таких задач, как создание записей в блоге, утверждение комментариев и обновление тем или плагинов.

Однако, благодаря паролям приложений WordPress и его REST API, пользователи теперь могут делать это с помощью сторонних сервисов и приложений.

Но что такое пароли приложений WordPress? Что означает WordPress REST API? И как они связаны друг с другом?

В этом посте мы ответим на все эти вопросы и обсудим преимущества, генерацию и хранение паролей приложений WordPress. Мы также предоставим советы по устранению распространенных проблем, с которыми вы можете столкнуться при использовании паролей приложений WordPress.

Содержание
  1. REST API WordPress и пароли приложений
  2. Преимущества использования паролей приложений WordPress
  3. Аутентифицированные запросы просты в выполнении
  4. Повышена безопасность по сравнению с подделкой файлов cookie
  5. Упрощенное управление
  6. Как сгенерировать пароли приложений WordPress
  7. Как WordPress генерирует и хранит пароли приложений?
  8. Пароли приложений в действии
  9. Рекомендации по использованию паролей приложений WordPress
  10. Распространенные проблемы с паролями приложений WordPress и их исправления
  11. Пароли приложений WordPress отключены
  12. Отсутствие разрешений для выполнения действия
  13. Утерян или забыт пароль приложения
  14. Защищенные учетные записи пользователей на вашем сайте WordPress
  15. Обеспечение соблюдения политики надежных паролей
  16. Внедрение политик ограничения входа в систему
  17. Принудительная двухфакторная аутентификация
  18. Заключение
  19. Часто задаваемые вопросы по паролям приложений WordPress

REST API WordPress и пароли приложений

WordPress предоставляет REST API, позволяющий программному обеспечению взаимодействовать с содержимым и данными веб-сайта. API (интерфейс прикладного программирования) действует как связующее звено, которое позволяет двум различным программным приложениям взаимодействовать друг с другом стандартизированным способом.

Когда дело доходит до WordPress, REST API позволяет разработчикам использовать стандартные методы HTTP для выполнения различных операций, включая извлечение списка записей, создание новых пользователей, удаление комментариев и многое другое.

Некоторые из этих запросов требуют аутентификации, и именно здесь пригодятся пароли приложений WordPress.

Вы генерируете пароли приложений WordPress для сторонних приложений для аутентификации и выполнения действий от вашего имени. Это позволяет им легко взаимодействовать с WordPress с помощью его REST API и выполнять конкретные задачи, такие как публикация нового поста в блоге.

Преимущества использования паролей приложений WordPress

Пароли приложений WordPress полезны как пользователям, так и разработчикам. Они просты в использовании, совместимы с двухфакторной аутентификацией, повышают безопасность и обеспечивают лучший контроль доступа.

Аутентифицированные запросы просты в выполнении

WordPress REST API стал частью ядра WordPress в версии 4.4, и разработчики начали использовать API для административных целей.

Пароли приложений WordPress сделали ненужной установку дополнительных плагинов аутентификации, а подделку файлов cookie устаревшей. Сторонний сервис теперь может аутентифицироваться с помощью паролей приложений, сгенерированных пользователем, чтобы действовать от имени пользователя.

Повышена безопасность по сравнению с подделкой файлов cookie

Как OAuth, так и JWT обеспечивают высокий уровень безопасности, поскольку они не полагаются на общие учетные данные пользователя для аутентификации приложений.

Однако пароли приложений предоставляют более безопасную альтернативу для приложений, которым требуются учетные данные пользователя для создания поддельного файла cookie.

Также обратите внимание, что пароли приложений предназначены только для аутентификации запросов, поступающих через REST API. Это означает, что злоумышленники не могут войти в вашу панель управления WordPress, используя пароли приложений.

Упрощенное управление

Учетная запись пользователя WordPress имеет единый пароль для входа в панель управления WordPress. Допустим, вы передали этот пароль нескольким сторонним приложениям, чтобы позволить им аутентифицироваться и выполнять запросы REST API или XML-RPC API.

Для отмены доступа к одному из этих приложений потребуется, чтобы вы изменили пароль своей учетной записи и уведомили остальные приложения об обновлении пароля.

Пароли приложений WordPress не имеют этого ограничения, поскольку одна учетная запись пользователя может генерировать несколько паролей приложений, позволяя каждому приложению иметь свой уникальный пароль. Вы можете отозвать доступ к одному приложению в любое время, не затрагивая другие.

Как сгенерировать пароли приложений WordPress

Как администраторы, так и неадминистраторы могут сгенерировать пароль приложения, войдя в WordPress. Уровень доступа приложения будет зависеть от роли пользователя, который сгенерировал пароль приложения. Например, приложение не может использовать пароль приложения от автора для выполнения административных задач.

Вы можете сгенерировать новый пароль приложения, перейдя к Пользователям > Профилю на панели управления WordPress. Затем прокрутите вниз, чтобы перейти к разделу Пароли приложений .

Скриншот раздела "Пароли приложений". Введите в поле имя нового пароля приложения. Кнопка "Добавить новый пароль приложения".

Введите описательное имя для пароля приложения в поле ввода Имя нового пароля приложения. Это имя должно помочь вам определить, какое стороннее приложение использует этот пароль.

Теперь нажмите на кнопку Добавить новый пароль приложения, чтобы сгенерировать случайный пароль приложения.

Скриншот примечания - ваш новый пароль для приложения WordPress выглядит следующим образом: виден пароль.

Сохраните сгенерированный пароль приложения в надежном месте, поскольку вы не сможете восстановить его позже. Если вы его потеряете, вам нужно будет отозвать пароль приложения и сгенерировать новый.

На этой странице вы также можете просмотреть список ранее сгенерированных паролей приложений вместе с другой информацией, такой как время их создания, дата их последнего использования и последний IP-адрес, на котором они использовались.

Скриншот списка ранее сгенерированных паролей с другой информацией: имя; создан (дата); последний использованный (дата); последний ip; отозвать. Две кнопки: отозвать выбранный пароль; отозвать все пароли.

Как WordPress генерирует и хранит пароли приложений?

WordPress использует функцию wp_generate_password() для генерации паролей приложений длиной 24 символа. Эти пароли могут содержать только заглавные буквы, строчные буквы и цифровые символы.

WordPress отображает эти пароли пользователям в виде фрагментов из четырех символов, чтобы их было легче читать. Вот пример:

rvSz viia JbxI J1ij Yb6T rVrE

Пробел между этими блоками не имеет значения. WordPress удаляет его перед хэшированием и проверкой пароля.

WordPress хранит хэшированную версию всех сгенерированных пользователем паролей приложений в таблице usermeta в своей базе данных вместе с такой информацией, как имя пароля, дата создания и время последнего доступа.

Пароли приложений в действии

Мы можем легко протестировать пароли приложений с помощью Postman и WordPress API. Для целей этого упражнения мы будем использовать локальную установку WordPress.

Используя Postman, мы можем отправить запрос к конечной точке API для сообщений следующим образом:

http://wordpress.local/wp-json/wp/v2/posts

Мы можем видеть результаты в нижней части скриншота. Прохладный.

Скриншот сообщений postman WordPress api.

Теперь мы попытаемся получить доступ к конечной точке настроек. Как вы можете видеть на скриншоте, мы не используем никакой аутентификации. Фактически, когда мы пытаемся получить доступ к настройкам, мы получаем ошибку rest_forbidden.

Скриншот postman wordpress api, показывающий ошибку rest forbidden; сообщение: извините, вам не разрешено это делать.

Это говорит нам о том, что нам необходимо аутентифицироваться, чтобы получить доступ к настройкам через REST API. Это не проблема, поскольку теперь мы знаем, как это сделать.

Как показано на скриншоте ниже, мы создали новый пароль приложения, который назвали Postman.

Скриншот списка паролей приложений с паролем по имени Postman.

Все, что нам нужно сделать сейчас, это выбрать базовую аутентификацию в раскрывающемся меню «Тип» и ввести учетные данные. Это позволит нам получить доступ к настройкам WordPress, как показано на скриншоте ниже.

Скриншот postman wordpress api. выбранный тип - basic auth; введите имя пользователя и пароль.

Рекомендации по использованию паролей приложений WordPress

Злоумышленники не могут использовать пароли приложений WordPress для входа в ваши учетные записи WordPress, что делает их более безопасными для обмена. Их также практически невозможно взломать методом перебора из-за их длины и сочетания используемых символов. Вы можете следовать приведенным ниже советам, чтобы сделать их еще более безопасными.

  1. Регулярно проверяйте сгенерированные пароли приложений. Отмените все пароли приложений, которые вы не распознаете.
  2. У одной учетной записи WordPress может быть несколько паролей приложений. У вас должен быть один уникальный пароль для каждого стороннего приложения, позволяющий вам отозвать доступ к нему, не нарушая функциональность других.
  3. Приложение, аутентифицирующее себя с помощью пароля приложения WordPress, будет иметь те же права, что и учетная запись, сгенерировавшая пароль приложения. Всегда следуйте принципу наименьших привилегий, чтобы убедиться, что приложение имеет только те разрешения, которые необходимы ему для правильной работы. Например, если приложению нужно только управлять контентом на веб-сайте, сгенерируйте пароль для своего приложения через учетную запись с правами редактора, а не администратора.
  4. Ведите журнал активности WordPress и регулярно проверяйте записи о доступе и изменениях.

Распространенные проблемы с паролями приложений WordPress и их исправления

Теперь давайте обсудим распространенные проблемы, с которыми сталкиваются пользователи при использовании паролей приложений WordPress, и их исправления.

Пароли приложений WordPress отключены

Некоторые плагины безопасности автоматически отключают пароли приложений WordPress для повышения безопасности. Другие позволяют отключить или включить их вручную.

Их отключение имеет смысл, только если вы их не используете. В противном случае они обеспечивают безопасный способ использования WordPress REST API со сторонними приложениями.

Скриншот отключенных паролей приложений с кнопкой изменения настроек.

Если плагин безопасности отключил пароли приложений на вашем веб-сайте, вы увидите что-то вроде изображения выше. Если вы сможете идентифицировать плагин, который отключил функцию паролей приложений, вы можете обновить настройки плагина, чтобы снова включить их.

Иногда тема также может отключать пароли приложений.

Добавление определенного фрагмента кода в файл вашей темы functions.php также может привести к отключению паролей приложений. Вам следует обратиться к разработчику, чтобы он удалил код, отключающий пароли приложений.

Отсутствие разрешений для выполнения действия

Пароли приложений позволяют стороннему приложению действовать от имени пользователя. Следовательно, приложение может выполнять действия, разрешенные только для назначенной роли пользователя.

Например, если пользователь является автором, стороннее приложение не сможет использовать пароли приложений, которые они генерируют, для управления публикациями других пользователей. Это связано с тем, что только редакторы или администраторы могут редактировать записи других пользователей.

Если стороннее приложение не может выполнить задачу, ознакомьтесь с разрешениями, связанными с учетной записью пользователя, которая сгенерировала пароль приложения.

Утерян или забыт пароль приложения

WordPress показывает вам пароль приложения только один раз, когда вы его генерируете. Вы не можете изменить или сбросить его. Это не похоже на пароли учетных записей WordPress, которые вы можете сбросить несколькими способами.

Если вы забыли или утеряли пароль приложения, вам следует отозвать его и сгенерировать новый.

Защищенные учетные записи пользователей на вашем сайте WordPress

Все пароли приложений WordPress представляют собой случайное сочетание из 24 строчных, прописных и цифровых символов. Большая длина и случайность защищают от атак методом перебора.

Поскольку злоумышленникам будет сложно взломать пароль вашего приложения для получения несанкционированного доступа, они могут попытаться воспользоваться какой-либо другой уязвимостью на вашем веб-сайте. Слабые пароли учетных записей пользователей являются одним из таких источников уязвимости.

К счастью, есть шаги, которые вы можете предпринять, чтобы защитить свой веб-сайт от подобных угроз.

Обеспечение соблюдения политики надежных паролей

Вы можете уменьшить влияние атак методом перебора, применив политику надежных паролей с помощью плагина Melapress Login Security.

Плагин позволяет указывать минимальную длину пароля для учетных записей пользователей. Вы также можете принудительно использовать по крайней мере один строчный, заглавный, цифровой и специальный символ.

Скриншот политики паролей. Установите минимальное количество символов; установите флажки: пароль должен содержать хотя бы один символ верхнего регистра; пароль должен содержать хотя бы один цифровой символ; пароль должен содержать хотя бы один специальный символ; не разрешайте использование этих специальных символов (enter).

Внедрение политик ограничения входа в систему

Кто-то, использующий атаки методом перебора, попытается войти в систему, используя множество паролей, надеясь, что один из них правильный.

Вы можете реализовать политики входа, при которых учетная запись пользователя блокируется после определенного количества попыток. Затем вы можете указать, остается ли учетная запись заблокированной или будет разблокирована через некоторое время, чтобы остановить или значительно замедлить атаку.

Скриншот "Включить политики ограничения входа". "Активировать политики неудачного входа". Установите количество неудачных попыток входа перед блокировкой пользователя. Установите период времени, необходимый для сброса количества неудачных входов. Когда пользователь заблокирован, выберите: он может быть разблокирован только администратором или разблокировать его через (выберите) минуты.

Принудительная двухфакторная аутентификация

Атаки методом перебора — это всего лишь один из способов, с помощью которого злоумышленники нацеливаются на учетные записи. Они также могут использовать фишинговые атаки, чтобы обманом заставить пользователей раскрыть учетные данные своей учетной записи.

Фишинговая атака основана на том, что пользователи раскрывают учетные данные своей учетной записи тому, кого они считают авторитетной фигурой или законным веб-сайтом.

Вы можете реализовать двухфакторную аутентификацию на WordPress, чтобы настроить надежную защиту от атак с использованием украденных или утекших учетных данных. Однако использование двухфакторной аутентификации добавляет дополнительный этап входа в систему. Итак, вы должны приложить все усилия, чтобы сделать весь процесс легким для ваших пользователей.

Плагин WP 2FA помогает предоставить пользователям несколько методов 2FA. Пользователи могут выбрать наиболее удобный для них метод.

Скриншот настроек 2fa. Выберите разрешенные основные методы 2fa: одноразовый код через приложение 2fa; одноразовый код по электронной почте; push-уведомление через приложение authy; одноразовый код через sms; ссылка по электронной почте.

Политики 2FA, которые вы определяете с помощью WP 2FA, настраиваются для каждой роли или для всего сайта. Вы также можете сделать 2FA обязательным и предоставить пользователям льготный период для соблюдения.

Рекомендуется разрешить пользователям настраивать методы резервного копирования для доступа к своим учетным записям, если основной метод аутентификации недоступен. Вы можете настроить WP 2FA таким образом, чтобы пользователи могли настраивать дополнительные методы 2FA для входа в систему, если основные методы недоступны.

Заключение

Многие сторонние сервисы и приложения, включая Zapier и официальное мобильное приложение WordPress, используют пароли приложений WordPress для выполнения аутентифицированных вызовов API.

В этом посте мы обсудили несколько преимуществ паролей приложений WordPress, таких как повышенная безопасность и возможность независимого отзыва пароля приложения.

В целом, пароли приложений WordPress обеспечивают безопасный способ взаимодействия сторонних приложений с API WordPress.

После прочтения этого поста вы также сможете создавать пароли приложений для своих собственных учетных записей и управлять ими.

Часто задаваемые вопросы по паролям приложений WordPress

Какие есть альтернативы паролям для приложений WordPress?

Есть несколько других методов, которые приложения могут использовать для отправки аутентифицированных запросов к REST API.

Аутентификация WordPress OAuth

Люди, которые хотят авторизовать сторонние приложения с помощью этого метода, должны сначала установить плагин, подобный WP REST API — OAuth 1.0a Server. Любое стороннее приложение, которое хочет выполнять авторизованные вызовы REST API, должно будет начать с запроса доступа. Плагин OAuth перехватывает этот запрос и обрабатывает авторизацию.Стороннее приложение получит токен доступа для выполнения будущих аутентифицированных запросов REST API, как только вы подтвердите, что оно авторизовано на это.

Веб-токен JSON

Использование веб-токена JSON для аутентификации запросов REST API WordPress сторонних производителей также требует установки плагина, который генерирует JWT (веб-токен JSON).JWT содержит закодированную информацию о пользователе, такую как его идентификатор пользователя, имя пользователя и роли, среди прочего. Он также содержит цифровую подпись, созданную с использованием секретного ключа, определенного в вашем файле WordPress wp-config.php. Сервер отправляет этот JWT обратно клиенту. Клиент может где-нибудь сохранить этот токен для выполнения аутентифицированных запросов в будущем.

Подмена файлов cookie

Некоторые сторонние приложения использовали подмену файлов cookie для выполнения аутентифицированных запросов.Такие приложения имитировали сеанс работы браузера и входили в админку WordPress, чтобы получить файл cookie аутентификации. Затем они выдавали себя за этого пользователя, чтобы отправлять аутентифицированные запросы API.Это плохо, потому что пользователям приходилось передавать учетные данные своей учетной записи, чтобы иметь возможность использовать функциональность, предоставляемую сторонним приложением.

Что такое пароли приложений в WordPress?

Пароли приложений в WordPress — это пароли, которые вы предоставляете сторонним приложениям, чтобы они могли отправлять аутентифицированные запросы. Это позволяет им выполнять действия на веб-сайте WordPress от вашего имени.

Как я могу создать пароль приложения?

Вы можете создать пароль приложения на странице Профиля пользователя в панели управления WordPress. Вы можете создать несколько паролей приложений для каждой учетной записи пользователя и назначить один пароль приложения для каждого приложения сторонних производителей, которое вы используете.

Где я могу найти пароль для своего приложения WordPress?

Вы можете найти список всех сгенерированных вами паролей приложений на странице Профиля пользователя после входа в панель управления WordPress.

Оцените статью
© 2025 Блог о разработке сайтов на HTML, CSS и Javascript
Adblock
detector