探索 WordPress 应用程序密码的所有方面

已发表: 2022-10-25

WordPress 应用程序密码允许在验证 REST API 请求时将第三方服务连接到网站。 除了允许其他应用程序访问该网站外,此功能还可以支持保护数据。 它可以防止恶意行为者和黑客更改站点的核心信息。

但是,应用程序密码仍然存在网站系统安全漏洞的风险。 具体来说,它在管理访问数据时缺乏控制和灵活性。

本文将介绍 WordPress 应用程序密码的所有优点和限制。 此外,我们将提到最推荐的插件来巩固安全认证的级别。

  • WordPress 应用程序密码的好处
  • WordPress 应用程序密码的风险
  • 如何生成 WordPress 应用程序密码
  • 如何禁用 WordPress 应用程序密码
  • 顶级 WordPress 安全插件

WordPress 应用程序密码的好处

应用程序密码解决了验证 API 请求的问题。 在这个系统出现在 WordPress 5.6 之前,API-request 身份验证过程非常不方便。 它需要基于 Cookie 和 None 的身份验证的工作。 由于存在被恶意网站和黑客攻击的风险,这种方法似乎不可靠。

应用程序密码允许其他应用程序更好地连接到网站,以更好地利用临时令牌、可撤销和真实凭证。 作为第三方服务认证的综合解决方案,该特性证明了其优越的优势,具有以下多种优势:

  • 易于请求的 API 凭证:用户可以生成密码以允许特定应用程序的访问请求。 通过指定应用程序的名称并批准或拒绝 URL,您可以允许应用程序通过或不通过协议。
  • 易于撤销的凭据:应用此功能有助于撤销个人和批发密码。 此外,您可以通过创建日期和最后一个 IP 更好地追踪未经授权的凭据。
  • 交互式登录安全性:应用程序密码支持更具交互性的流程进行身份验证,而无需直接使用凭据。 具体来说,您可以允许 reCAPTCHA 和 Two Factor 等安全功能来保护您的用户帐户。

WordPress 应用程序密码的风险

尽管有各种好处,但应用程序密码仍然存在一些关于安全屏障的问题。 事实上,人们普遍认为您应该禁用此功能以防止来自恶意网站和黑客的攻击。

是否有必要禁用 WordPress 应用程序密码? 让我们探讨以下问题以做出正确的答案:

  • 您无法保护网站免受暴力攻击。 需要用户身份验证的网站正处于被暴力攻击的边缘。 通过测试所有组合字母、数字和符号的方法,暴力攻击会导致窃取重要数据的安全风险。
  • 很难控制特定用户角色的密码,无论是启用还是禁用它。
  • 应用程序密码可以通过交互式用户密码访问网站 API。
  • 由于缺乏日志记录,很难控制密码的使用。

如何生成 WordPress 应用程序密码

您可以使用付费会员专业插件通过管理员仪表板轻松生成应用程序密码。 以下是此过程的完整指南:

  1. 使用管理员帐户登录 WordPress 站点。
  2. 选择用户>配置文件
  3. 来到应用程序密码标题。

ppwp-添加-wordpress-应用程序-密码-设置-屏幕

4. 在新应用程序密码名称字段中,填写适当的描述性名称。 此字段允许内部使用,并具有识别应用程序密码连接位置的好处。

5. 单击添加新位置密码创建您的密码。 在生成密码之前,您应该遵循以下建议注意事项:

  • 由于退出屏幕后无法找回密码,您必须立即将其复制并粘贴到安全的地方。
  • 您可以为用户帐户生成无限数量的应用程序密码。
  • 您应该为每个第三方连接的应用程序生成一个密码,以便轻松控制访问。 具体来说,您可以在想要取消第三方应用服务时禁用和删除。

ppwp-wordpress-应用程序-密码-示例

6. 使用生成的密码验证通过 REST-API 访问您网站的第三方服务。

如何禁用 WordPress 应用程序密码

如上所述,WordPress 应用程序仍然存在有关更改和窃取重要数据的各种潜在安全风险。 因此,如果您不需要 API 来授予第三方应用程序和服务的权限,您应该禁用应用程序密码。

通常,专业的安全插件,例如 Astra Security、WebARX 或 Wordfence,支持自动禁用此功能。 如果要启用应用程序密码,只需停用插件即可。

尽管如此,在您的 WordPress 网站上安装各种插件可能会降低性能。 如果您不喜欢使用插件,请按照以下说明手动禁用应用程序密码。 具体来说,您需要将此代码添加到 functions.php 以禁用此功能:

 add_filter('wp_is_application_passwords_available', '__return_false');

除此之外,您可以授予合适的用户使用应用程序密码的权限。 以下代码将允许您仅允许管理员使用此功能:

 功能 my_prefix_customize_app_password_availability(
$可用,
$用户
) {
if ( ! user_can( $user, 'manage_options' ) ) {
$可用=假;
}

返回$可用;
}

添加过滤器(
'wp_is_application_passwords_available_for_user',
'my_prefix_customize_app_password_availability',
10,
2
);

顶级 WordPress 安全插件

#1 禁用应用程序密码

ppwp-禁用-应用程序-密码-wordpress-插件

禁用应用程序密码是一个易于使用的插件,没有复杂的设置要求。 具体来说,您只需使用一行代码来激活和停用密码。

这个插件是免费的,具有强大的数据安全性。 详细地说,由于没有连接到任何第三方位置并且没有创建 cookie,它不会影响用户隐私。

#2 WP Cerber 安全

ppwp-wp-cerber-安全插件

WP Cerber Security 提供专业的解决方案来保护安全屏障免受潜在风险的影响。 它通过一种精细的算法来检测流量异常和恶意代码,从而最大限度地降低泄露系统数据的风险。

除了保护网站免受代码注入和暴力攻击外,它还可以通过 REST API 和 GEO 限制访问。 此外,该插件还提供各种高级功能,例如减少垃圾邮件和病毒。

您可以以每季度 29 美元和每年 99 美元的价格为单个网站拥有该插件的所有精彩功能。

#3 WordFence

ppwp-wordfence-插件

WordFence 插件通过各种高级功能在增强安全屏障方面引领市场。 特别是,该插件支持网站管理登录安全、恶意软件扫描、双重身份验证和其他相关方面。

这个高级插件已成功阻止超过 1100 万次攻击和超过 55000 个恶意 IP。 访问源站时,您可以通过众多信息丰富的博客快速熟悉该插件。

WordFence 提供三种不同的定价计划。 具体来说,Premium、Care 和 Response 捆绑包的费用分别为 99 美元、490 美元和 950 美元。

#4 WP Fail2ban

ppwp-wp-fail2ban-插件

WP Fail2ban 提供了一个简单优化的解决方案,其中一个功能可以防止暴力攻击。 与其他替代方案相比,此插件汇总了所有登录尝试,以决定是软禁还是硬禁。

此外,您可以通过添加更多规则来自定义配置。 此外,这个免费插件还支持更高级的功能,例如登录尝试过滤、多站点支持和 Cloudfare 的配置工具。

#5 miniOrange 的 Google Authenticator

ppwp-miniorange-google-authenticator-plugin

miniOrange 的 Google Authenticator 通过为身份验证系统提供第二层来帮助网站避免受到攻击。 具体来说,它提供了各种身份验证形式,例如推送通知、安全问题或二维码。

除了选择认证类型外,您还可以控制特定用户角色的访问权限。

关于定价计划,miniOrange 提供三个捆绑包。 Premium Lite 每年 99 美元,Premium 每年 199 美元,企业家至少 59 美元。

#6 盾牌安全

ppwp-shield-security-wordpress-plugin

Shield Security 通过全面的功能保证高水平的保护。 当谈到防御和保护功能的开发时,这个插件已经以不同的方式证明了它的好处。 它可以帮助您避免所有潜在的安全风险,例如暴力攻击、恶意软件注入和其他复杂情况。

除了 CrowdSec 收集的宝贵数据外,该插件还利用网络能力来决定更智能的安全解决方案。

借助上述所有功能,Shield Security 提供了三种定价计划。 ShieldPro 每月 6.58 美元,ShieldPro 机构每月 24.92 美元,Shield Support 每年 59 美元。

这都是关于 WordPress 应用程序密码的!

WordPress 应用程序密码既可以带来实际好处,也可以限制安全屏障。 根据您将网站连接到第三方应用程序的要求,您可以灵活地决定是否启用/禁用它们。

您可以通过手动代码或插件激活和停用应用程序密码。 使用所有提到的指南和推荐的插件,您肯定可以毫无障碍地控制此功能的使用。

你觉得这篇文章有帮助吗? 有没有我们应该考虑的插件? 请在下方评论区表达你的想法!