WordPress アプリケーションのパスワードのあらゆる側面を調べる

公開: 2022-10-25

WordPress アプリケーション パスワードを使用すると、REST API 要求を認証するときに、サードパーティ サービスを Web サイトに接続できます。 他のアプリケーションが Web サイトにアクセスすることを許可することとは別に、この機能はデータの保護をサポートできます。 悪意のあるアクターやハッカーがサイトのコア情報を変更するのを防ぎます。

ただし、アプリケーションのパスワードは、Web サイト システムへのセキュリティ侵害のリスクが残ります。 具体的には、アクセス データを管理する際の制御と柔軟性に欠けています。

この記事では、WordPress アプリケーション パスワードのすべての利点と制限について説明します。 さらに、セキュリティ認証のレベルを統合するために、最も推奨されるプラグインについても言及します.

  • WordPress アプリケーション パスワードの利点
  • WordPress アプリケーション パスワードのリスク
  • WordPress アプリケーションのパスワードを生成する方法
  • WordPress アプリケーションのパスワードを無効にする方法
  • トップWordPressセキュリティプラグイン

WordPress アプリケーション パスワードの利点

アプリケーション パスワードにより、API 要求の認証の問題が解決されました。 WordPress 5.6 でこのシステムが登場する前は、API リクエストの認証プロセスは非常に不便でした。 Cookie と None ベースの認証の作業が必要です。 このアプローチは、悪意のあるサイトやハッカーに攻撃されるリスクがあるため、信頼性が低いようです.

アプリケーション パスワードを使用すると、一時的なトークン、取り消し可能な実際の資格情報での良好な牽引力に関して、他のアプリケーションが Web サイトにより適切に接続できるようになります。 サードパーティ サービスを認証するための包括的なソリューションとして、この機能は、次のようなさまざまな利点を備えた優れた利点を証明しています。

  • 簡単に要求できる API 資格情報:ユーザーはパスワードを生成して、特定のアプリケーションのアクセス要求を許可できます。 アプリの名前を指定し、URL を承認または拒否することで、アプリケーションがプロトコルを通過することを許可するかどうかを指定できます。
  • クレデンシャルを簡単に取り消すことができる:この機能を適用すると、個々のパスワードやホールセール パスワードを簡単に取り消すことができます。 さらに、作成日と最後の IP を使用して、不正な資格情報をより適切に追跡できます。
  • 対話型ログイン セキュリティ:アプリケーション パスワードを使用すると、資格情報を直接使用せずに、より対話型のフローで認証を行うことができます。 具体的には、reCAPTCHA や Two Factor などのセキュリティ機能を許可して、ユーザー アカウントを保護できます。

WordPress アプリケーション パスワードのリスク

さまざまな利点があるにもかかわらず、アプリケーション パスワードにはセキュリティ バリアに関するいくつかの問題が残っています。 実際、悪意のあるサイトやハッカーからの攻撃を防ぐために、この機能を無効にする必要があるというのが一般的な意見です。

WordPress アプリケーションのパスワードを無効にする必要はありますか? 正しい答えを出すために、次の問題を調べてみましょう。

  • ブルート フォース攻撃から Web サイトを保護することはできません。 ユーザー認証が必要な Web サイトがブルート フォース攻撃によって侵入される寸前です。 文字、数字、および記号を組み合わせるあらゆる方法をテストすることにより、ブルート フォース攻撃は、重要なデータの盗難に関するセキュリティ リスクを引き起こします。
  • 有効にするか無効にするかにかかわらず、特定のユーザー ロールのパスワードを制御することは困難です。
  • アプリケーション パスワードは、インタラクティブなユーザー パスワードを使用して Web サイト API にアクセスできます。
  • ログがないため、パスワードの使用を制御するのは困難です。

WordPress アプリケーションのパスワードを生成する方法

Paid Membership Pro プラグインを使用すると、管理者ダッシュボードからアプリケーション パスワードを簡単に生成できます。 このプロセスの完全なガイドは次のとおりです。

  1. 管理者アカウントを使用して WordPress サイトにサインインします。
  2. [ユーザー] > [プロファイル] を選択します。
  3. アプリケーションパスワードの見出しに来てください。

ppwp-add-wordpress-application-password-settings-screen

4. [新しいアプリケーション パスワード名]フィールドに、適切に説明的な名前を入力します。 このフィールドは、アプリケーション パスワードの接続場所を識別するという利点を備えた内部使用を可能にします。

5. Add New Location Passwordをクリックしてパスワードを作成します。 パスワードを生成する前に、次の推奨事項に従う必要があります。

  • 画面を終了した後にパスワードを取得することはできないため、すぐにコピーして安全な場所に貼り付ける必要があります。
  • 1 つのユーザー アカウントに対して無制限の数のアプリケーション パスワードを生成できます。
  • アクセスを簡単に制御するには、サードパーティの接続アプリケーションごとにパスワードを生成する必要があります。 具体的には、サードパーティのアプリケーション サービスをキャンセルしたいときはいつでも、無効にして削除することができます。

ppwp-wordpress-application-password-example

6. 生成されたパスワードを使用して、REST-API 経由で Web サイトにアクセスするサードパーティ サービスを認証します。

WordPress アプリケーションのパスワードを無効にする方法

前述のように、WordPress アプリケーションには、重要なデータの変更や盗用に関するさまざまな潜在的なセキュリティ リスクが残っています。 したがって、サード パーティのアプリケーションやサービスにアクセス許可を付与する API が必要ない場合は、アプリケーション パスワードを無効にする必要があります。

一般に、Astra Security、WebARX、または Wordfence などの専門的なセキュリティ プラグインは、この機能の自動無効化をサポートしています。 アプリケーション パスワードを有効にする場合は、プラグインを無効にするだけです。

それでも、WordPress Web サイトにさまざまなプラグインがあると、パフォーマンスが低下する可能性があります。 プラグインを使用したくない場合は、次の手順に従って手動でアプリケーション パスワードを無効にしてください。 具体的には、この機能を無効にするには、このコードを functions.php に追加する必要があります。

 add_filter( 'wp_is_application_passwords_available', '__return_false' );

それとは別に、適切なユーザーがアプリケーション パスワードを使用する許可を与えることができます。 次のコードを使用すると、管理者のみがこの機能を使用できるようになります。

 関数 my_prefix_customize_app_password_availability(
$利用可能、
$ユーザー
) {
if ( ! user_can( $user, 'manage_options' ) ) {
$利用可能 = false;
}

$利用可能を返します。
}

add_filter(
'wp_is_application_passwords_available_for_user',
'my_prefix_customize_app_password_availability',
10、
2
);

トップWordPressセキュリティプラグイン

#1アプリケーションパスワードを無効にする

ppwp-disable-application-password-wordpress-plugin

Disable Application Password は、複雑な設定要件のない使いやすいプラグインです。 具体的には、1 つのコード行を使用してパスワードをアクティブ化および非アクティブ化する必要があります。

このプラグインは強力なデータ セキュリティで無料です。 詳細には、サードパーティの場所への接続がなく、Cookie が作成されないため、ユーザーのプライバシーには影響しません.

#2 WP Cerber セキュリティ

ppwp-wp-cerber-security-plugin

WP Cerber Security は、潜在的なリスクからセキュリティ バリアを保護するための専門的なソリューションを提供します。 トラフィックの異常や悪意のあるコードを検出する精巧なアルゴリズムにより、システム データが漏洩するリスクを最小限に抑えます。

コード インジェクションやブルート フォース攻撃から Web サイトを保護するだけでなく、REST API と GEO を介したアクセスを制限できます。 さらに、プラグインは、スパムやウイルスの軽減など、さまざまな高度な機能も提供します.

このプラグインのすべての素晴らしい機能を、単一の Web サイトで四半期ごとに 29 ドル、年間で 99 ドルで利用できます。

#3 ワードフェンス

ppwp-wordfence-プラグイン

WordFence プラグインは、さまざまな高度な機能を通じてセキュリティ バリアを強化することで市場をリードしています。 特に、このプラグインは、ログイン セキュリティ、マルウェア スキャン、2 要素認証、およびその他の関連する側面を管理する Web サイトをサポートします。

このプレミアム プラグインは、1,100 万を超える攻撃と 55,000 を超える悪意のある IP を防ぐことに成功しています。 元の Web サイトにアクセスすると、多数の有益なブログを通じてプラグインにすぐに慣れることができます。

WordFence には 3 つの異なる料金プランがあります。 具体的には、Premium、Care、および Response バンドルで $99、$490、および $950 の費用がかかります。

#4 WP Fail2ban

ppwp-wp-fail2ban-プラグイン

WP Fail2ban は、ブルート フォース攻撃を防ぐための 1 つの機能を備えた、シンプルに最適化されたソリューションを提供します。 他の代替手段と比較して、このプラグインはすべてのログイン試行を集約して、ソフトまたはハードのどちらを禁止するかを決定します.

さらに、ルールを追加して構成をカスタマイズできます。 さらに、この無料のプラグインは、ログイン試行のフィルタリング、マルチサイト サポート、Cloudfare の構成ツールなど、より高度な機能を有効にします。

#5 miniOrange の Google 認証システム

ppwp-miniorange-google-authenticator-plugin

miniOrange の Google Authenticator は、認証システムに 2 番目のレイヤーを提供することで、Web サイトが攻撃を受けないようにします。 具体的には、プッシュ通知、秘密の質問、QR コードなど、さまざまな認証フォームを提供します。

認証タイプの選択とは別に、特定のユーザー ロールのアクセス許可を制御できます。

料金プランについて、miniOrange は 3 つのバンドルを提供しています。 Premium Lite は年間 99 ドル、Premium は年間 199 ドル、Entrepreneur は少なくとも 59 ドルです。

#6 シールドセキュリティ

ppwp-shield-security-wordpress-plugin

Shield Security は、包括的な機能で高レベルの保護を保証します。 防御および保護機能の開発に関して言えば、このプラグインはさまざまな方法でその利点を証明しています。 ブルート フォース攻撃、マルウェア インジェクション、その他の複雑なケースなど、潜在的なセキュリティ リスクをすべて回避するのに役立ちます。

CrowdSec によって収集された貴重なデータに加えて、このプラグインはネットワークの力を利用して、よりインテリジェントなセキュリティ ソリューションを決定します。

前述のすべての機能を備えた Shield Security は、3 つの料金プランを提供しています。 ShieldPro は月額 6.58 ドル、ShieldPro Agency は月額 24.92 ドル、Shield サポートは年額 59 ドルです。

WordPressアプリケーションのパスワードがすべてです!

WordPress アプリケーションのパスワードは、セキュリティ バリアに対する実用的な利点と制限の両方をもたらします。 Web サイトをサードパーティ アプリケーションに接続する要件に応じて、それらを有効/無効にするかどうかを柔軟に決定できます。

手動コードまたはプラグインを使用して、アプリケーション パスワードをアクティブ化および非アクティブ化できます。 言及されたすべてのガイドと推奨されるプラグインを使用すると、この機能の使用を障害なく確実に制御できます.

この記事は役に立ちましたか? 考慮すべきプラグインはありますか? 下のコメント欄であなたの考えを教えてください!