Erkundung aller Aspekte von WordPress-Anwendungspasswörtern

Veröffentlicht: 2022-10-25

WordPress-Anwendungskennwörter ermöglichen die Verbindung von Drittanbieterdiensten mit der Website, wenn REST-API-Anforderungen authentifiziert werden. Abgesehen davon, dass andere Anwendungen auf die Website zugreifen können, kann diese Funktion den Schutz von Daten unterstützen. Es verhindert, dass böswillige Akteure und Hacker die Kerninformationen der Website ändern.

Die Anwendungskennwörter bleiben jedoch das Risiko einer Sicherheitsverletzung des Website-Systems. Insbesondere fehlt es an Kontrolle und Flexibilität bei der Verwaltung der Zugangsdaten.

Dieser Artikel behandelt alle Vorteile und Einschränkungen von WordPress-Anwendungskennwörtern. Darüber hinaus erwähnen wir die wichtigsten empfohlenen Plugins, um das Niveau der Sicherheitsauthentifizierung zu konsolidieren.

  • Vorteile von WordPress-Anwendungspasswörtern
  • Risiken von WordPress-Anwendungspasswörtern
  • So generieren Sie Passwörter für WordPress-Anwendungen
  • So deaktivieren Sie WordPress-Anwendungskennwörter
  • Die besten WordPress-Sicherheits-Plugins

Vorteile von WordPress-Anwendungspasswörtern

Das Anwendungskennwort hat die Probleme bei der Authentifizierung der API-Anforderungen gelöst. Vor dem Erscheinen dieses Systems in WordPress 5.6 war der API-Request-Authentifizierungsprozess so umständlich. Es erfordert die Arbeit der Cookie- und Nicht-basierten Authentifizierung. Dieser Ansatz scheint aufgrund der Risiken, von bösartigen Websites und Hackern angegriffen zu werden, unzuverlässig.

Das Anwendungskennwort ermöglicht es anderen Anwendungen, sich besser mit der Website zu verbinden, was eine gute Zugkraft auf temporären Token, widerruflichen und echten Anmeldeinformationen betrifft. Als umfassende Lösung zur Authentifizierung von Drittanbieterdiensten beweist dieses Feature seine überlegenen Vorteile mit verschiedenen folgenden Vorteilen:

  • Einfach anzufordernde API-Anmeldeinformationen: Benutzer können ein Passwort generieren, um die Zugriffsanforderung einer bestimmten Anwendung zuzulassen. Indem Sie die Namen der App angeben und die URLs genehmigen oder ablehnen, können Sie einer Anwendung erlauben, das Protokoll zu passieren oder nicht.
  • Einfach zu widerrufende Zugangsdaten: Die Anwendung dieser Funktion erleichtert das Widerrufen von Einzel- und Großhandelspasswörtern. Darüber hinaus können Sie nicht autorisierte Anmeldeinformationen anhand des Erstellungsdatums und der letzten IP besser aufspüren.
  • Interaktive Anmeldesicherheit: Das Anwendungskennwort ermöglicht einen interaktiveren Ablauf zur Authentifizierung, ohne direkt Anmeldeinformationen zu verwenden. Insbesondere können Sie Sicherheitsfunktionen wie reCAPTCHA und Two Factor zulassen, um Ihre Benutzerkonten zu schützen.

Risiken von WordPress-Anwendungspasswörtern

Trotz verschiedener Vorteile bleiben beim Anwendungspasswort einige Probleme in Bezug auf Sicherheitsbarrieren. In der Tat ist es eine weit verbreitete Meinung, dass Sie diese Funktion deaktivieren sollten, um Angriffe von bösartigen Websites und Hackern zu verhindern.

Ist es notwendig, die Passwörter der WordPress-Anwendung zu deaktivieren? Lassen Sie uns die folgenden Probleme untersuchen, um die richtige Antwort zu finden:

  • Sie können die Website nicht vor Brute-Force-Angriffen schützen. Eine Website, die eine Benutzerauthentifizierung erfordert, steht kurz davor, von einem Brute-Force-Angriff durchdrungen zu werden. Durch das Testen aller Möglichkeiten, Buchstaben, Zahlen und Symbole zu kombinieren, verursachen Brute-Force-Angriffe Sicherheitsrisiken in Bezug auf den Diebstahl wichtiger Daten.
  • Es ist schwierig, das Passwort einer bestimmten Benutzerrolle zu kontrollieren, unabhängig davon, ob es aktiviert oder deaktiviert wird.
  • Anwendungskennwörter können mit interaktiven Benutzerkennwörtern auf die Website-APIs zugreifen.
  • Aufgrund der fehlenden Protokollierung ist es schwierig, die Verwendung von Passwörtern zu kontrollieren.

So generieren Sie Passwörter für WordPress-Anwendungen

Mit dem Plugin „Paid Membership Pro“ können Sie ganz einfach über das Administrator-Dashboard ein Anwendungskennwort generieren. Hier sind die vollständigen Anleitungen für diesen Prozess:

  1. Verwenden Sie ein Administratorkonto, um sich bei der WordPress-Site anzumelden.
  2. Wählen Sie Benutzer > Profil .
  3. Kommen Sie zur Überschrift Anwendungspasswörter .

ppwp-add-wordpress-application-password-settings-screen

4. Geben Sie im Feld Name des neuen Anwendungskennworts einen aussagekräftigen Namen ein. Dieses Feld ermöglicht die interne Verwendung mit dem Vorteil, den Verbindungsstandort des Anwendungskennworts zu identifizieren.

5. Erstellen Sie Ihr Passwort, indem Sie auf Neues Standortpasswort hinzufügen klicken. Bevor Sie das Passwort generieren, sollten Sie diese empfohlenen Hinweise beachten:

  • Da das Passwort nach dem Verlassen des Bildschirms nicht abgerufen werden kann, müssen Sie es sofort kopieren und an einem sicheren Ort einfügen.
  • Sie können für ein Benutzerkonto eine unbegrenzte Anzahl von Anwendungskennwörtern generieren.
  • Sie sollten für jede verbundene Anwendung eines Drittanbieters ein Passwort generieren, um den Zugriff einfach zu kontrollieren. Insbesondere können Sie einen Anwendungsdienst eines Drittanbieters immer dann deaktivieren und löschen, wenn Sie ihn kündigen möchten.

ppwp-wordpress-application-password-example

6. Authentifizieren Sie die Drittanbieterdienste, die über die REST-API auf Ihre Website zugreifen, mit den generierten Passwörtern.

So deaktivieren Sie WordPress-Anwendungskennwörter

Wie oben erwähnt, bleibt die WordPress-Anwendung verschiedene potenzielle Sicherheitsrisiken in Bezug auf das Ändern und Stehlen wichtiger Daten. Wenn Sie daher keine APIs benötigen, um Berechtigungen für Anwendungen und Dienste von Drittanbietern zu erteilen, sollten Sie Anwendungskennwörter deaktivieren.

Üblicherweise unterstützen professionelle Sicherheits-Plugins wie Astra Security, WebARX oder Wordfence die automatische Deaktivierung dieser Funktion. Wenn Sie die Anwendungskennwörter aktivieren möchten, deaktivieren Sie einfach das Plugin.

Dennoch können verschiedene Plugins auf Ihrer WordPress-Website die Leistung verlangsamen. Wenn Sie keine Plugins verwenden möchten, deaktivieren Sie die Anwendungspasswörter manuell gemäß den folgenden Anweisungen. Insbesondere müssen Sie diesen Code zur functions.php hinzufügen, um diese Funktion zu deaktivieren:

 add_filter( 'wp_is_application_passwords_available', '__return_false' );

Außerdem können Sie geeigneten Benutzern die Erlaubnis erteilen, die Anwendungskennwörter zu verwenden. Mit dem folgenden Code können Sie nur Administratoren die Verwendung dieser Funktion ermöglichen:

 Funktion my_prefix_customize_app_password_availability(
$verfügbar,
$Benutzer
) {
if ( ! user_can( $user, 'manage_options' ) ) {
$verfügbar = falsch;
}

return $verfügbar;
}

add_filter(
'wp_is_application_passwords_available_for_user',
'my_prefix_customize_app_password_availability',
10,
2
);

Die besten WordPress-Sicherheits-Plugins

#1 Anwendungskennwort deaktivieren

ppwp-disable-application-password-wordpress-plugin

Disable Application Password ist ein benutzerfreundliches Plugin ohne komplizierte Einstellungsanforderungen. Insbesondere müssen Sie nur eine Codezeile verwenden, um das Passwort zu aktivieren und zu deaktivieren.

Dieses Plugin ist kostenlos mit starker Datensicherheit. Im Detail hat dies keine Auswirkungen auf die Privatsphäre der Benutzer, da keine Verbindung zu Standorten von Drittanbietern besteht und keine Cookies erstellt werden.

#2 WP Cerber-Sicherheit

ppwp-wp-cerber-sicherheits-plugin

WP Cerber Security bietet eine professionelle Lösung zum Schutz von Sicherheitsbarrieren vor potenziellen Risiken. Es minimiert das Risiko von Systemdatenlecks mit einem empfindlichen Algorithmus zur Erkennung von Verkehrsanomalien und bösartigen Codes.

Neben dem Schutz von Websites vor Code-Injection und Brute-Force-Angriffen kann es den Zugriff über REST API und GEO einschränken. Außerdem bietet das Plugin auch verschiedene erweiterte Funktionen wie die Abwehr von Spam und Viren.

Sie können alle wunderbaren Funktionen dieses Plugins für 29 $ vierteljährlich und 99 $ jährlich für eine einzelne Website nutzen.

#3 WordFence

ppwp-wordfence-plugin

Das WordFence-Plugin ist marktführend bei der Verbesserung von Sicherheitsbarrieren durch verschiedene erweiterte Funktionen. Insbesondere unterstützt dieses Plugin Websites bei der Verwaltung der Anmeldesicherheit, des Malware-Scans, der Zwei-Faktor-Authentifizierung und anderer verwandter Aspekte.

Dieses Premium-Plugin hat erfolgreich über 11 Millionen Angriffe und über 55.000 bösartige IPs verhindert. Durch zahlreiche informative Blogs können Sie sich beim Aufrufen der Origin-Website schnell mit dem Plugin vertraut machen.

WordFence bietet drei verschiedene Preispläne an. Insbesondere kostet es Sie 99 $, 490 $ und 950 $ für die Pakete Premium, Care und Response.

#4 WP-Fail2ban

ppwp-wp-fail2ban-Plugin

WP Fail2ban bietet eine einfach optimierte Lösung mit einer Funktion, um Brute-Force-Angriffe zu verhindern. Im Vergleich zu anderen Alternativen aggregiert dieses Plugin alle Anmeldeversuche, um zu entscheiden, ob Soft oder Hard gesperrt werden soll.

Außerdem können Sie Konfigurationen anpassen, indem Sie weitere Regeln hinzufügen. Darüber hinaus ermöglicht dieses kostenlose Plugin erweiterte Funktionen wie das Filtern von Anmeldeversuchen, Multisite-Unterstützung und das Konfigurationstool von Cloudfare.

#5 Google Authenticator von miniOrange

ppwp-miniorange-google-authenticator-plugin

Der Google Authenticator von miniOrange hilft Websites, Angriffe zu vermeiden, indem er das Authentifizierungssystem mit einer zweiten Schicht ausstattet. Konkret bietet es verschiedene Authentifizierungsformen wie Push-Benachrichtigungen, Sicherheitsfragen oder QR-Codes.

Neben der Auswahl des Authentifizierungstyps können Sie die Zugriffsberechtigung für bestimmte Benutzerrollen steuern.

Über die Preispläne bietet das miniOrange drei Bündel an. 99 $/Jahr für Premium Lite, 199 $/Jahr für Premium und mindestens 59 $ für Entrepreneur.

#6 Schildsicherheit

ppwp-shield-security-wordpress-plugin

Shield Security garantiert ein hohes Schutzniveau mit umfassenden Funktionen. Bei der Entwicklung von Defense-and-Protect-Funktionen hat sich dieses Plugin auf unterschiedliche Weise bewährt. Es hilft Ihnen, alle potenziellen Sicherheitsrisiken wie Brute-Force-Angriffe, Malware-Injektion und andere komplizierte Fälle zu vermeiden.

Zusammen mit den von CrowdSec gesammelten wertvollen Daten nutzt dieses Plugin die Netzwerkleistung, um sich für intelligentere Sicherheitslösungen zu entscheiden.

Mit all den genannten Funktionen bietet Shield Security drei Preispläne an. 6,58 $/Monat für ShieldPro, 24,92 $/Monat für die ShieldPro Agency und 59 $/Jahr für Shield Support.

Es dreht sich alles um Passwörter für WordPress-Anwendungen!

WordPress-Anwendungskennwörter führen sowohl zu praktischen Vorteilen als auch zu Einschränkungen der Sicherheitsbarrieren. Abhängig von Ihrer Anforderung, Websites mit Anwendungen von Drittanbietern zu verbinden, können Sie entscheiden, ob Sie diese flexibel aktivieren/deaktivieren möchten.

Sie können das Anwendungspasswort durch manuellen Code oder Plugins aktivieren und deaktivieren. Mit all den erwähnten Anleitungen und empfohlenen Plugins können Sie die Verwendung dieser Funktion sicherlich ohne Hindernisse steuern.

Finden Sie diesen Artikel hilfreich? Gibt es ein Plugin, das wir in Betracht ziehen sollten? Bitte äußern Sie Ihre Gedanken im Kommentarbereich unten!