← Wszystkie porady

Application Passwords z aktywnymi tokenami

Co to oznacza

Jeśli na Twojej stronie WordPress włączona jest funkcja Application Passwords (dostępna od WordPress 5.6) i istnieją aktywne tokeny, warto sprawdzić, czy wszystkie są autoryzowane. Application Passwords umożliwiają zewnętrznym aplikacjom i usługom dostęp do REST API WordPress bez podawania głównego hasła użytkownika.

Każdy token jest powiązany z konkretnym kontem użytkownika i dziedziczy jego uprawnienia.

Jakie jest ryzyko

  • Nieautoryzowany dostęp do API — token Application Password powiązany z kontem administratora daje pełen dostęp do REST API — tworzenie postów, zarządzanie użytkownikami, instalacja wtyczek.
  • Zapomniane tokeny — tokeny często są tworzone podczas integracji z zewnętrzną usługą i nie są usuwane po zakończeniu potrzeby. Każdy aktywny token to potencjalny punkt wejścia.
  • Brak wygasania — Application Passwords nie mają daty wygaśnięcia. Raz utworzony token działa, dopóki nie zostanie ręcznie usunięty.
  • Wyciek tokenu — jeśli token zostanie ujawniony (np. zapisany w kodzie, przesłany e-mailem, zalogowany), atakujący uzyskuje dostęp bez łamania hasła i bez 2FA.

Jak to naprawić

  1. Przejrzyj aktywne tokeny — Panel → Użytkownicy → edytuj każdego użytkownika → sekcja „Application Passwords". Sprawdź, które tokeny istnieją i kiedy były ostatnio używane.
  2. Usuń nieużywane tokeny — jeśli token nie był używany od dłuższego czasu lub nie wiesz, do czego służy — odwołaj go.
  3. Ogranicz do niezbędnego minimum — twórz tokeny tylko dla kont z najniższymi wymaganymi uprawnieniami. Integracja, która tylko czyta posty, nie potrzebuje tokenu administratora.
  4. Wyłącz Application Passwords — jeśli nie korzystasz z tej funkcji: 
    add_filter('wp_is_application_passwords_available', '__return_false');
  5. Monitoruj użycie — regularnie sprawdzaj datę ostatniego użycia tokenów i usuwaj te, które są nieaktywne.