探索 WordPress 應用程序密碼的所有方面

已發表: 2022-10-25

WordPress 應用程序密碼允許在驗證 REST API 請求時將第三方服務連接到網站。 除了允許其他應用程序訪問該網站外,此功能還可以支持保護數據。 它可以防止惡意行為者和黑客更改站點的核心信息。

但是,應用程序密碼仍然存在網站系統安全漏洞的風險。 具體來說,它在管理訪問數據時缺乏控制和靈活性。

本文將介紹 WordPress 應用程序密碼的所有優點和限制。 此外,我們將提到最推薦的插件來鞏固安全認證的級別。

  • WordPress 應用程序密碼的好處
  • WordPress 應用程序密碼的風險
  • 如何生成 WordPress 應用程序密碼
  • 如何禁用 WordPress 應用程序密碼
  • 頂級 WordPress 安全插件

WordPress 應用程序密碼的好處

應用程序密碼解決了驗證 API 請求的問題。 在這個系統出現在 WordPress 5.6 之前,API-request 身份驗證過程非常不方便。 它需要基於 Cookie 和 None 的身份驗證的工作。 由於存在被惡意網站和黑客攻擊的風險,這種方法似乎不可靠。

應用程序密碼允許其他應用程序更好地連接到網站,以更好地利用臨時令牌、可撤銷和真實憑證。 作為第三方服務認證的綜合解決方案,該特性證明了其優越的優勢,具有以下多種優勢:

  • 易於請求的 API 憑證:用戶可以生成密碼以允許特定應用程序的訪問請求。 通過指定應用程序的名稱並批准或拒絕 URL,您可以允許應用程序通過或不通過協議。
  • 易於撤銷的憑據:應用此功能有助於撤銷個人和批發密碼。 此外,您可以通過創建日期和最後一個 IP 更好地追踪未經授權的憑據。
  • 交互式登錄安全性:應用程序密碼支持更具交互性的流程進行身份驗證,而無需直接使用憑據。 具體來說,您可以允許 reCAPTCHA 和 Two Factor 等安全功能來保護您的用戶帳戶。

WordPress 應用程序密碼的風險

儘管有各種好處,但應用程序密碼仍然存在一些關於安全屏障的問題。 事實上,人們普遍認為您應該禁用此功能以防止來自惡意網站和黑客的攻擊。

是否有必要禁用 WordPress 應用程序密碼? 讓我們探討以下問題以做出正確的答案:

  • 您無法保護網站免受暴力攻擊。 需要用戶身份驗證的網站正處於被暴力攻擊的邊緣。 通過測試所有組合字母、數字和符號的方法,暴力攻擊會導致竊取重要數據的安全風險。
  • 很難控制特定用戶角色的密碼,無論是啟用還是禁用它。
  • 應用程序密碼可以通過交互式用戶密碼訪問網站 API。
  • 由於缺乏日誌記錄,很難控制密碼的使用。

如何生成 WordPress 應用程序密碼

您可以使用付費會員專業插件通過管理員儀表板輕鬆生成應用程序密碼。 以下是此過程的完整指南:

  1. 使用管理員帳戶登錄 WordPress 站點。
  2. 選擇用戶>配置文件
  3. 來到應用程序密碼標題。

ppwp-添加-wordpress-應用程序-密碼-設置-屏幕

4. 在新應用程序密碼名稱字段中,填寫適當的描述性名稱。 此字段允許內部使用,並具有識別應用程序密碼連接位置的好處。

5. 單擊添加新位置密碼創建您的密碼。 在生成密碼之前,您應該遵循以下建議注意事項:

  • 由於退出屏幕後無法找回密碼,您必須立即將其複制並粘貼到安全的地方。
  • 您可以為用戶帳戶生成無限數量的應用程序密碼。
  • 您應該為每個第三方連接的應用程序生成一個密碼,以便輕鬆控制訪問。 具體來說,您可以在想要取消第三方應用服務時禁用和刪除。

ppwp-wordpress-應用程序-密碼-示例

6. 使用生成的密碼驗證通過 REST-API 訪問您網站的第三方服務。

如何禁用 WordPress 應用程序密碼

如上所述,WordPress 應用程序仍然存在有關更改和竊取重要數據的各種潛在安全風險。 因此,如果您不需要 API 來授予第三方應用程序和服務的權限,您應該禁用應用程序密碼。

通常,專業的安全插件,例如 Astra Security、WebARX 或 Wordfence,支持自動禁用此功能。 如果要啟用應用程序密碼,只需停用插件即可。

儘管如此,在您的 WordPress 網站上安裝各種插件可能會降低性能。 如果您不喜歡使用插件,請按照以下說明手動禁用應用程序密碼。 具體來說,您需要將此代碼添加到 functions.php 以禁用此功能:

 add_filter('wp_is_application_passwords_available', '__return_false');

除此之外,您可以授予合適的用戶使用應用程序密碼的權限。 以下代碼將允許您僅允許管理員使用此功能:

 功能 my_prefix_customize_app_password_availability(
$可用,
$用戶
) {
if ( ! user_can( $user, 'manage_options' ) ) {
$可用=假;
}

返回$可用;
}

添加過濾器(
'wp_is_application_passwords_available_for_user',
'my_prefix_customize_app_password_availability',
10,
2
);

頂級 WordPress 安全插件

#1 禁用應用程序密碼

ppwp-禁用-應用程序-密碼-wordpress-插件

禁用應用程序密碼是一個易於使用的插件,沒有復雜的設置要求。 具體來說,您只需使用一行代碼來激活和停用密碼。

這個插件是免費的,具有強大的數據安全性。 詳細地說,由於沒有連接到任何第三方位置並且沒有創建 cookie,它不會影響用戶隱私。

#2 WP Cerber 安全

ppwp-wp-cerber-安全插件

WP Cerber Security 提供專業的解決方案來保護安全屏障免受潛在風險的影響。 它通過一種精細的算法來檢測流量異常和惡意代碼,從而最大限度地降低洩露系統數據的風險。

除了保護網站免受代碼注入和暴力攻擊外,它還可以通過 REST API 和 GEO 限制訪問。 此外,該插件還提供各種高級功能,例如減少垃圾郵件和病毒。

您可以以每季度 29 美元和每年 99 美元的價格為單個網站擁有該插件的所有精彩功能。

#3 WordFence

ppwp-wordfence-插件

WordFence 插件通過各種高級功能在增強安全屏障方面引領市場。 特別是,該插件支持網站管理登錄安全、惡意軟件掃描、雙重身份驗證和其他相關方面。

這個高級插件已成功阻止超過 1100 萬次攻擊和超過 55000 個惡意 IP。 訪問源站時,您可以通過眾多信息豐富的博客快速熟悉該插件。

WordFence 提供三種不同的定價計劃。 具體來說,Premium、Care 和 Response 捆綁包的費用分別為 99 美元、490 美元和 950 美元。

#4 WP Fail2ban

ppwp-wp-fail2ban-插件

WP Fail2ban 提供了一個簡單優化的解決方案,其中一個功能可以防止暴力攻擊。 與其他替代方案相比,此插件匯總了所有登錄嘗試,以決定是軟禁還是硬禁。

此外,您可以通過添加更多規則來自定義配置。 此外,這個免費插件支持更高級的功能,例如登錄嘗試過濾、多站點支持和 Cloudfare 的配置工具。

#5 miniOrange 的 Google Authenticator

ppwp-miniorange-google-authenticator-plugin

miniOrange 的 Google Authenticator 通過為身份驗證系統提供第二層來幫助網站避免受到攻擊。 具體來說,它提供了各種身份驗證形式,例如推送通知、安全問題或二維碼。

除了選擇認證類型外,您還可以控制特定用戶角色的訪問權限。

關於定價計劃,miniOrange 提供三個捆綁包。 Premium Lite 每年 99 美元,Premium 每年 199 美元,企業家至少 59 美元。

#6 盾牌安全

ppwp-shield-security-wordpress-plugin

Shield Security 通過全面的功能保證高水平的保護。 當談到防禦和保護功能的開發時,這個插件已經以不同的方式證明了它的好處。 它可以幫助您避免所有潛在的安全風險,例如暴力攻擊、惡意軟件注入和其他復雜情況。

除了 CrowdSec 收集的寶貴數據外,該插件還利用網絡能力來決定更智能的安全解決方案。

借助上述所有功能,Shield Security 提供了三種定價計劃。 ShieldPro 每月 6.58 美元,ShieldPro 機構每月 24.92 美元,Shield Support 每年 59 美元。

這都是關於 WordPress 應用程序密碼的!

WordPress 應用程序密碼既可以帶來實際好處,也可以限制安全屏障。 根據您將網站連接到第三方應用程序的要求,您可以靈活地決定是否啟用/禁用它們。

您可以通過手動代碼或插件激活和停用應用程序密碼。 使用所有提到的指南和推薦的插件,您肯定可以毫無障礙地控制此功能的使用。

你覺得這篇文章有幫助嗎? 有沒有我們應該考慮的插件? 請在下方評論區表達你的想法!