Support » Allgemeine Fragen » Anwendungspasswörter

  • Gelöst almiratela

    (@almiratela)


    Hallo,

    ich habe in WordPress unter Benutzer folgende Meldung zufälligerweise gesehen, kann mir bitte wer erklären was das für mich bedeutet ?

    Danke
    MfG
    Tela

    „Anwendungspasswörter
    Anwendungspasswörter ermöglichen die Authentifizierung über nicht-interaktive Systeme wie XML-RPC oder die REST-API, ohne dass du dein tatsächliches Passwort angeben musst. Anwendungspasswörter können leicht widerrufen werden. Sie können nicht für herkömmliche Anmeldungen auf deiner Website verwendet werden.

    Deine Website scheint die Basis-Authentifizierung zu verwenden, die derzeit nicht mit den Anwendungspasswörtern kompatibel ist.“


    Moderationshinweis: Da die Frage nichts mit WooCommerce zu tun hat, verschiebe ich sie in das Forum „Allgemeine Fragen„.

Ansicht von 7 Antworten - 1 bis 7 (von insgesamt 7)
  • Moderator Bego Mario Garde

    (@pixolin)

    Mit den in WordPress 5.6 eingeführten Anwendungspasswörtern kannst du dich nicht nur über das Anmeldeformular wp-login.php anmelden, sondern über Apps (WordPress-App für iOS und Android, andere Apps wie iA Writer) auch eine Anmeldung über die XML-RPC-Schnittstelle vornehmen. Wichtig war das wohl auch zur besseren Nutzung der REST API, die eine Bedienung von WordPress ohne Zugriff auf das Backend ermöglicht.

    Wenn du keine spezielle App verwendest und auch keine Software hast, die per REST API WordPress „headless“ verwendet, kannst du das einfach ignorieren.

    Thread-Ersteller almiratela

    (@almiratela)

    okay danke.

    Also hat das nichts damit zu tun, dass irgendwer in meinem WordPress einfach so einsteigen kann?

    MfG
    Tela

    Moderator Bego Mario Garde

    (@pixolin)

    Da jeder weiß, wo das Anmeldeformular bei einer WordPress-Website liegt (wp-login.php), sind Brute-Force-Angriffe („Passwort raten“) an der Tagesordnung. Du kannst das Anmeldeformular mit verschiedenen Methoden dagegen absichern, aber dann wird von Angreifern gerne die XML-RPC-Schnittestelle verwendet, um munter weiter Passwörter zu raten. Besser ist es, diese Schnittstelle ebenfalls zu schließen, z.B. mit dem Plugin Disable XML-RPC.

    Als zusätzliche Absicherung halte ich es für sehr sinnvoll, ein Plugin zur 2-Faktor-Authentifikation (z.B. Two Factor) einzurichten. Du wirst dann zusätzlich zum (leicht herauszufindenden) Benutzernamen und Passwort auch noch nach einem Zahlenschlüssel gefragt, den dein Smartphone alle 20 Sekunden neu berechnet. Jedem Nutzer ist freigestellt, ob er diese zusätzliche Absicherung nutzen möchte, aber für Administratoren/-innen ist das sicher sinnvoll.

    Wenn du kein Anwendungspasswort hast, brauchst du dir darum wie gesagt auch keine Gedanken machen. WordPress wird dadurch nicht unsicherer.

    Thread-Ersteller almiratela

    (@almiratela)

    Hallo okay,

    ne habe kein Anwendungspasswort angelegt. Da der Programmierer auch derzeit als Administrator angelegt ist, kann er diese natürlich auch anlegen, kann ich es irgendwo prüfen ob hier was angelegt worden ist ohne das ich was davon weiss?

    Danke
    MfG
    Tela

    Moderator Bego Mario Garde

    (@pixolin)

    Wenn du Administrator/-in bist, kannst du einen Blick in das Profil des Entwicklers werfen. Ich höre da ein gewisses Misstrauen heraus – ein Entwickler kann auch Hintertüren einbauen, die du auf diese Weise gar nicht mitbekommst. Das abzugleichen wäre aufwendiger, weil du einen Vergleich der vorhandenen Dateien mit den Original-Dateien vornehmen müsstest.

    Denkst du bitte noch daran, den Thread als „gelöst“ zu markieren, wenn deine Frage beantwortet wurde?

    Thread-Ersteller almiratela

    (@almiratela)

    danke für die infos 🙂

    MfG
    Tela

    souri

    (@souri)

    Zudem ist die Seite derzeit ja eh von außen „nicht erreichbar“, weil du schreibst:

    Deine Website scheint die Basis-Authentifizierung zu verwenden, die derzeit nicht mit den Anwendungspasswörtern kompatibel ist.“

    Die Anwendungspasswörter können out of the box nicht mit htaccess-Absicherung.
    (FTR: Gehen tuts – wir haben Anwendungspasswörter als JWT-Ersatz kombiniert HTACCESS-PW im Produktivbetrieb umgesetzt!)

Ansicht von 7 Antworten - 1 bis 7 (von insgesamt 7)