2025年7月2日

WordPress应用程序密码配置指南:安全连接外部应用

作者 QiLin

WordPress应用程序密码配置指南:安全连接外部应用

一句话解答:WordPress应用程序密码是专为第三方应用设计的独立认证密钥(非主密码),允许安全访问您的WordPress账户数据,避免暴露登录密码,可随时撤销。

一、为什么需要应用程序密码?

  • 更安全:避免在脚本/应用中存储您的主用户名和密码。
  • 更可控:可为每个应用/脚本生成独立密码,随时单独撤销。
  • 更专注:仅授予通过WordPress REST API访问内容的权限(默认)。
  • 符合标准:使用HTTP Basic Auth标准,广泛兼容开发工具。

二、配置步骤详解(WordPress 5.6+)

  1. 访问用户设置

    • 登录您的WordPress后台。
    • 导航至 用户 -> 个人资料
  2. 生成新密码

    • 滚动到页面底部的 应用程序密码 区域。
    • 在输入框中为这个密码起一个有意义的名称 (如 “Python数据导出脚本”、”手机APP连接”、”Zapier集成”)。
    • 点击 添加新的应用程序密码 按钮。
  3. 获取并保存密码

    • WordPress会立即弹出一个窗口,显示新生成的16字符密码(如 xxxx RMRN 3Oal 1koc Z0Kq)。
    • 重要! 这是唯一一次完整显示密码的机会。务必立即复制并安全保存(推荐使用密码管理器)。关闭窗口后无法再次查看完整密码。
    • 点击 关闭
  4. 查看与管理

    • 回到个人资料页,您会看到新密码的名称和最后使用时间(初始为空)。
    • 撤销密码:点击某个应用程序密码旁边的 撤销 链接,立即使其失效。

wordpress-app-password.png
应用程序密码生成与管理界面示意图

三、如何使用应用程序密码?

在需要连接WordPress的第三方应用、脚本或工具中,使用以下组合进行认证:

  • 用户名:您的WordPress登录用户名
  • 密码:您生成的应用程序密码(完整的16位字符)。

连接示例

  1. API工具 (如 Postman)

    • 在请求的 “Authorization” 选项卡中选择 “Basic Auth”。
    • 输入您的WordPress用户名和应用程序密码。
  2. 编程脚本 (Python示例)

    import requests
    
    username = '您的WP用户名'  # 例如 admin
    app_password = '您的完整16位应用密码'  # 例如 'xxxx RMRN 3Oal 1koc Z0Kq' (保留空格)
    api_url = 'https://yoursite.com/wp-json/wp/v2/posts'
    
    response = requests.get(api_url, auth=(username, app_password))
    data = response.json()
    print(data)
    
  3. 移动APP/桌面软件

    • 在软件设置中找到连接WordPress的选项。
    • 输入您的网站URL、用户名和应用程序密码(非主密码)。

四、关键注意事项与最佳实践

  1. HTTPS必备:应用程序密码通过HTTP Basic Auth发送,必须在启用HTTPS的网站上使用,否则密码可能被截获。
  2. 安全存储:将应用程序密码视为敏感密钥,存储在安全的密码管理器或加密配置文件中,切勿写入公开代码。
  3. 按需创建:为每个独立的应用程序、服务或脚本创建唯一密码。避免一个密码多处使用。
  4. 及时撤销
    • 当某个应用不再需要访问时。
    • 怀疑密码可能泄露时。
    • 员工离职或合作终止时。
  5. 权限基础:应用程序密码的权限继承其所属用户的角色(管理员、编辑、作者等)。确保用户角色权限最小化。
  6. 无密码恢复:遗忘应用程序密码?直接撤销旧密码并生成新密码即可。
  7. 旧版WordPress (5.6之前):需安装官方插件 Application Passwords 以获得相同功能。

五、常见应用场景

  • 自动化发布/管理工具 (Zapier, IFTTT)
  • 手机博客管理APP
  • 自定义开发脚本 (数据导入/导出,批量处理)
  • 桌面博客编辑器
  • 静态站点生成器对接 (如 Jekyll, Hugo)
  • 内容分析或备份工具

总结:WordPress应用程序密码是连接外部服务的安全桥梁。通过遵循按需生成、唯一命名、安全存储、及时撤销的原则,您既能享受自动化便利,又能有效保障网站安全。立即检查您的用户资料页,开始更安全地管理应用接入吧!

安全提示:定期在 个人资料 -> 应用程序密码 区域审计活跃密码,及时撤销不再需要的访问权限,是维护账户安全的重要习惯。