Czym są Application Passwords w WordPressie?

Application Passwords to 24 znakowe poświadczenia wprowadzone w WordPress 5.6 (grudzień 2020), które pozwalają zewnętrznym aplikacjom uwierzytelniać się w REST API i XML RPC WordPressa bez ujawniania głównego hasła użytkownika. Każde Application Password jest powiązane z jednym użytkownikiem i jedną nazwaną aplikacją, można je unieważnić indywidualnie w profilu użytkownika i jest przesyłane przez HTTPS za pomocą HTTP Basic Authentication. Zastępują stary niebezpieczny wzorzec przechowywania głównego hasła WordPressa w aplikacjach trzecich i są dziś zalecanym sposobem integracji WordPressa z aplikacjami mobilnymi, skryptami deploya, frontendami headless, narzędziami backupu i agentami AI.

Dlaczego WordPress wprowadził Application Passwords?

Przed WordPress 5.6 każda integracja REST API lub XML RPC z dostępem do zapisu musiała używać głównego hasła konta (Basic Auth) albo polegać na pluginach jak JWT Auth czy OAuth. Główne hasło dawało pełną kontrolę z edytorem motywów i pluginów, a wyciek oznaczał całkowite przejęcie konta. Application Passwords rozwiązują to poświadczeniami na aplikację, które można unieważnić natychmiast.

Jak działają Application Passwords?

Zalogowany użytkownik otwiera Użytkownicy » Profil, przewija do "Application Passwords", wpisuje nazwę jak "iPhone App" lub "Skrypt backupu" i klika Dodaj nowe Application Password. WordPress generuje 24 znakowy token wyświetlony jednorazowo w formacie xxxx xxxx xxxx xxxx xxxx xxxx. Token przechowywany jest jako hash w wp_usermeta pod kluczem _application_passwords i używany z loginem w HTTP Basic Auth:

curl -u uzytkownik:xxxxxxxxxxxxxxxxxxxxxxxx \
     https://example.com/wp-json/wp/v2/posts

Lub JavaScript fetch:

const token = btoa('uzytkownik:xxxxxxxxxxxxxxxxxxxxxxxx');
fetch('https://example.com/wp-json/wp/v2/posts', {
  headers: { 'Authorization': 'Basic ' + token }
});

Typowe zastosowania

• Aplikacje mobilne jak oficjalna aplikacja WordPress iOS i Android.
• Frontendy headless Next.js, Astro, SvelteKit, Nuxt.
• Skrypty CI/CD publikujące posty, aktualizujące menu, czyszczące cache.
• Narzędzia backupu i migracji jak UpdraftPlus Remote, ManageWP, MainWP.
• Workflowy contentu z AI przez Zapier, Make, n8n lub własnego agenta GPT.
• Synchronizacja WooCommerce z ERP lub PIM.

Tworzenie Application Password krok po kroku

1. Zaloguj się jako użytkownik, w imieniu którego ma działać integracja. Najlepiej dedykowany użytkownik z minimalną rolą.
2. Przejdź do Użytkownicy » Profil lub Użytkownicy » Wszyscy » Edytuj.
3. Przewiń do Application Passwords.
4. Podaj opisową nazwę, np. Zapier Produkcja lub Serwer backup eu01.
5. Kliknij Dodaj nowe Application Password.
6. Skopiuj token natychmiast.
7. Wklej do aplikacji zewnętrznej wraz z nazwą użytkownika.

Unieważnianie i audyt Application Passwords

Każde Application Password pokazuje datę utworzenia i ostatniego użycia. Unieważnij dla pojedynczego, Unieważnij wszystkie dla wszystkich. Działa natychmiast. Kwartalny przegląd "Ostatnio użyto" ujawnia zapomniane integracje.

Czy Application Passwords są bezpieczne?

Tak, przez HTTPS. Około 144 bitów entropii, hashowanie phpass, tylko w nagłówku Authorization. Ryzyka:

• HTTPS obowiązkowy. WordPress odrzuca przez czyste HTTP domyślnie.
• Brak scopes ani wygasania. Token dziedziczy uprawnienia użytkownika.
• Wyłączone przez niektóre pluginy hardeningu (iThemes/Solid Security).

Różnica wobec OAuth, JWT i API Keys

Wyłączenie Application Passwords całkowicie

add_filter( 'wp_is_application_passwords_available', '__return_false' );

Lub per użytkownik:

add_filter( 'wp_is_application_passwords_available_for_user', function ( $available, $user ) {
    if ( user_can( $user, 'manage_options' ) ) {
        return false;
    }
    return $available;
}, 10, 2 );

Co sprawdza InspectWP

InspectWP raportuje dostępność REST API WordPressa i sygnalizuje endpoint /wp-json/wp/v2/users, jeśli ujawnia dane użytkowników bez uwierzytelnienia.