Explorando todos los aspectos de las contraseñas de aplicaciones de WordPress

Publicado: 2022-10-25

Las contraseñas de la aplicación de WordPress permiten conectar servicios de terceros al sitio web al autenticar las solicitudes de la API REST. Además de permitir que otras aplicaciones accedan al sitio web, esta función puede ayudar a proteger los datos. Evita que los actores maliciosos y los piratas informáticos cambien la información central del sitio.

Sin embargo, las contraseñas de la aplicación siguen siendo el riesgo de una violación de seguridad en el sistema del sitio web. En concreto, carece de control y flexibilidad a la hora de gestionar los datos de acceso.

Este artículo cubrirá todos los beneficios y limitaciones de las contraseñas de aplicaciones de WordPress. Además, mencionaremos los principales complementos recomendados para consolidar el nivel de autenticación de seguridad.

  • Beneficios de las contraseñas de aplicaciones de WordPress
  • Riesgos de las contraseñas de aplicaciones de WordPress
  • Cómo generar contraseñas de aplicaciones de WordPress
  • Cómo deshabilitar las contraseñas de aplicaciones de WordPress
  • Principales complementos de seguridad de WordPress

Beneficios de las contraseñas de aplicaciones de WordPress

La contraseña de la aplicación ha resuelto los problemas de autenticación de las solicitudes de la API. Antes de la aparición de este sistema en WordPress 5.6, el proceso de autenticación de solicitud de API era muy inconveniente. Requiere el trabajo de autenticación basada en Cookie & None. Este enfoque parece poco confiable debido a los riesgos de ser atacado por sitios maliciosos y piratas informáticos.

La contraseña de la aplicación permite que otras aplicaciones se conecten mejor al sitio web en cuanto a buena tracción en tokens temporales, revocables y credenciales reales. Como una solución integral para autenticar servicios de terceros, esta característica demuestra sus ventajas superiores con varios de los siguientes beneficios:

  • Credenciales API fáciles de solicitar: los usuarios pueden generar una contraseña para permitir la solicitud de acceso de una aplicación específica. Al especificar los nombres de la aplicación y aprobar o rechazar las URL, puede permitir que una aplicación pase el protocolo o no.
  • Credenciales fáciles de revocar: la aplicación de esta función facilita la revocación de contraseñas individuales y mayoristas. Además, puede rastrear mejor las credenciales no autorizadas a través de la fecha de creación y la última IP.
  • Seguridad de inicio de sesión interactivo: la contraseña de la aplicación permite un flujo más interactivo para autenticarse sin usar credenciales directamente. Específicamente, puede permitir funciones de seguridad como reCAPTCHA y Two Factor para proteger sus cuentas de usuario.

Riesgos de las contraseñas de aplicaciones de WordPress

A pesar de tener varios beneficios, la contraseña de la aplicación sigue teniendo varios problemas con respecto a las barreras de seguridad. De hecho, es una opinión común que debe deshabilitar esta función para evitar ataques de piratas informáticos y sitios maliciosos.

¿Es necesario deshabilitar las contraseñas de la aplicación WordPress? Exploremos los siguientes problemas para dar la respuesta correcta:

  • No puede proteger el sitio web de ataques de fuerza bruta. Un sitio web que requiere la autenticación del usuario está a punto de ser penetrado por un ataque de fuerza bruta. Al probar todas las formas de combinar letras, números y símbolos, los ataques de fuerza bruta generan riesgos de seguridad relacionados con el robo de datos importantes.
  • Es difícil controlar la contraseña de un rol de usuario específico, ya sea que se habilite o se deshabilite.
  • Las contraseñas de la aplicación pueden acceder a las API del sitio web con contraseñas de usuario interactivas.
  • Es difícil controlar el uso de contraseñas debido a la falta de registro.

Cómo generar contraseñas de aplicaciones de WordPress

Puede generar fácilmente una contraseña de aplicación a través del panel del administrador con el complemento Paid Membership Pro. Aquí están las guías completas para este proceso:

  1. Utilice una cuenta de administrador para iniciar sesión en el sitio de WordPress.
  2. Elija Usuarios > Perfil .
  3. Vaya al encabezado Contraseñas de la aplicación .

ppwp-add-wordpress-application-password-settings-screen

4. En el campo Nombre de la contraseña de la nueva aplicación , complete un nombre descriptivo adecuado. Este campo permite el uso interno con los beneficios de identificar la ubicación de conexión de la contraseña de la aplicación.

5. Cree su contraseña haciendo clic en Agregar nueva contraseña de ubicación . Antes de generar la contraseña, debe seguir estas notas recomendadas:

  • Debido a que no es factible recuperar la contraseña después de salir de la pantalla, debe copiarla y pegarla inmediatamente en un lugar seguro.
  • Puede generar un número ilimitado de contraseñas de aplicaciones para una cuenta de usuario.
  • Debe generar una contraseña para cada aplicación conectada de terceros para controlar el acceso fácilmente. Específicamente, puede deshabilitar y eliminar cuando quiera cancelar un servicio de aplicación de terceros.

ppwp-wordpress-aplicación-contraseña-ejemplo

6. Autentique los servicios de terceros que acceden a su sitio web a través de REST-API con las contraseñas generadas.

Cómo deshabilitar las contraseñas de aplicaciones de WordPress

Como se mencionó anteriormente, la aplicación de WordPress sigue teniendo varios riesgos potenciales de seguridad relacionados con el cambio y el robo de datos importantes. Por lo tanto, si no necesita las API para otorgar permisos para aplicaciones y servicios de terceros, debe deshabilitar las contraseñas de las aplicaciones.

Por lo general, los complementos de seguridad profesionales, como Astra Security, WebARX o Wordfence, admiten la desactivación automática de esta función. Si desea habilitar las contraseñas de la aplicación, simplemente desactive el complemento.

Aún así, tener varios complementos en su sitio web de WordPress puede ralentizar el rendimiento. Si no le gusta usar complementos, deshabilite las contraseñas de la aplicación manualmente de acuerdo con las siguientes instrucciones. Específicamente, debe agregar este código a functions.php para deshabilitar esta función:

 add_filter('wp_is_application_passwords_disponible', '__return_false');

Aparte de eso, puede otorgar permiso para que los usuarios adecuados usen las contraseñas de la aplicación. El siguiente código le permitirá permitir que solo los administradores usen esta función:

 función my_prefix_customize_app_password_availability(
$ disponible,
$usuario
) {
if ( ! user_can( $usuario, 'manage_options' ) ) {
$disponible = falso;
}

devolver $disponible;
}

Añadir filtro(
'wp_is_application_passwords_disponible_para_usuario',
'my_prefix_customize_app_password_availability',
10,
2
);

Principales complementos de seguridad de WordPress

#1 Deshabilitar la contraseña de la aplicación

ppwp-disable-application-password-wordpress-plugin

Disable Application Password es un complemento fácil de usar sin requisitos de configuración complicados. Específicamente, simplemente necesita usar una línea de código para activar y desactivar la contraseña.

Este complemento es gratuito con una sólida seguridad de datos. En detalle, no afecta la privacidad del usuario debido a que no hay conexión con ubicaciones de terceros y no se crean cookies.

#2 WP Cerber Seguridad

ppwp-wp-cerber-seguridad-plugin

WP Cerber Security ofrece una solución profesional para proteger las barreras de seguridad de posibles riesgos. Minimiza los riesgos de fuga de datos del sistema con un delicado algoritmo para detectar anomalías de tráfico y códigos maliciosos.

Además de proteger los sitios web de la inyección de código y los ataques de fuerza bruta, puede restringir el acceso a través de REST API y GEO. Además, el complemento también proporciona varias funciones avanzadas, como la mitigación de spam y virus.

Puede poseer todas las características maravillosas de este complemento a $ 29 trimestrales y $ 99 anuales para un solo sitio web.

#3 WordFence

ppwp-wordfence-complemento

El complemento WordFence lidera el mercado en la mejora de las barreras de seguridad a través de varias funciones avanzadas. En particular, este complemento admite sitios web para administrar la seguridad de inicio de sesión, el escaneo de malware, la autenticación de dos factores y otros aspectos relacionados.

Este complemento premium ha evitado con éxito más de 11 millones de ataques y más de 55 mil direcciones IP maliciosas. Puede familiarizarse rápidamente con el complemento a través de numerosos blogs informativos al acceder al sitio web de origen.

WordFence ofrece tres planes de precios diferentes. Específicamente, le costará $ 99, $ 490 y $ 950 para los paquetes Premium, Care y Response.

#4 WP Fail2ban

ppwp-wp-fail2ban-complemento

WP Fail2ban proporciona una solución optimizada simple con una función para evitar ataques de fuerza bruta. En comparación con otras alternativas, este complemento agrega todos los intentos de inicio de sesión para decidir si prohibir suave o duramente.

Además, puedes personalizar las configuraciones agregando más reglas. Además, este complemento gratuito permite funciones más avanzadas, como el filtrado de intentos de inicio de sesión, soporte multisitio y la herramienta de configuración de Cloudfare.

#5 Autenticador de Google de miniOrange

ppwp-miniorange-google-authenticator-plugin

Google Authenticator de miniOrange ayuda a los sitios web a evitar ser atacados al proporcionar al sistema de autenticación una segunda capa. En concreto, ofrece varias formas de autenticación como notificaciones push, preguntas de seguridad o códigos QR.

Además de elegir el tipo de autenticación, puede controlar el permiso de acceso para roles de usuario específicos.

Sobre los planes de precios, miniOrange ofrece tres paquetes. $99/año para Premium Lite, $199/año para Premium y al menos $59 para Entrepreneur.

#6 Escudo de seguridad

ppwp-escudo-seguridad-wordpress-plugin

Shield Security garantiza un alto nivel de protección con características completas. Cuando se trata del desarrollo de funciones de defensa y protección, este complemento ha demostrado sus beneficios de diferentes maneras. Le ayuda a evitar todos los posibles riesgos de seguridad, como ataques de fuerza bruta, inyección de malware y otros casos complicados.

Junto con los valiosos datos recopilados por CrowdSec, este complemento utiliza el poder de la red para decidir sobre soluciones de seguridad más inteligentes.

Con todas las características mencionadas, Shield Security ofrece tres planes de precios. $6.58/mes para ShieldPro, $24.92/mes para ShieldPro Agency y $59/año para Shield Support.

¡Se trata de contraseñas de aplicaciones de WordPress!

Las contraseñas de las aplicaciones de WordPress resultan tanto en beneficios prácticos como en limitaciones a las barreras de seguridad. Dependiendo de sus requisitos para conectar sitios web a aplicaciones de terceros, puede decidir si habilitarlos o deshabilitarlos de manera flexible.

Puede activar y desactivar la contraseña de la aplicación mediante código manual o complementos. Con todas las guías mencionadas y complementos recomendados, seguramente puede controlar el uso de esta función sin obstáculos.

¿Te parece útil este artículo? ¿Hay algún plugin que debamos considerar? ¡Exprese sus pensamientos en la sección de comentarios a continuación!