WordPressのセキュリティを向上させるためにWordPressのユーザーロールを使用する方法

公開: 2020-09-24

コンテンツ管理システムとして、WordPressには設定されたユーザーロールがあります。 本質的に、これらのWordPressユーザーロールは、Webサイト上の個々のユーザーの機能(特定のWebサイトタスクを実行するための権限)を定義します。

サイトが成長するにつれて、Webサイトの継続的なセキュリティを確保するために、これらの役割と機能を理解することが不可欠です。 間違ったユーザーロールを割り当てると、悲惨な結果につながる可能性があるためです。

この記事では、ユーザーの役割(カスタムの役割を含む)の概要を説明するので、それらを正しく割り当てる方法を理解できます。 また、WordPressプラグインを使用してWordPressユーザーのアクティビティを管理および監視する方法についても説明します。

WordPressユーザーロールの基本

WordPressサイトへのアクセスの種類は、所有する役割、つまり与えられる機能によって決まります。

  • 「役割」は、機能のグループ/事前定義されたリストです。 次に、ユーザーとして、自分が持っている機能を決定する役割が割り当てられます。
  • 「機能」は基本的に、そのユーザーロールが実行できることです(投稿の公開、設定の変更など)

たとえば、編集者は、コメントのモデレート、コンテンツの公開、新しいコンテンツの作成などの機能を備えたユーザーロールです。 大規模なニュースやブログのWebサイトでは、通常、それぞれのトピックセクションを担当する複数の編集者がいます。

一部のプラグインはカスタマイズされたWordPressユーザーロールを追加しますが(これについては後ほど説明します)、すべての標準WordPressサイトには6つのデフォルトのユーザーロールがあります。 それらは次のとおりです。

  • スーパー管理者
  • 管理者
  • 編集者
  • 著者
  • 寄稿者
  • サブスクライバー

WordPressのユーザーロール機能階層を理解する

役割の構造は階層的であることを理解することが重要です。 各ユーザーロールには、その下にあるポジションの機能があり、ロール固有の機能がいくつか追加されています。

たとえば、ユーザーロールピラミッドの下部であるサブスクライバーを見てみましょう。 サブスクライバーロールには、「読み取り」機能のみが付加されています(つまり、サブスクライバーはサイトの投稿のみを読み取ることができます)。

次のレベルのユーザーロールであるContributorに進みましょう。 このロールには「読み取り」機能がありますが、「edit_posts」および「delete_posts」機能もあります。 これは、彼らが自分の投稿を編集および削除できることを意味します。

作成者のユーザーロールには、サブスクライバーとコントリビューターの両方の機能があり、次の追加の特権が割り当てられています。

  • Delete_publish_posts
  • Publish_posts
  • Upload_files
  • Edit_published_posts

ご覧のとおり、機能は移動するユーザーロール構造をさらに上に移動し、スーパー管理者が最高の特権セットを持ちます。 それでは、各役割を降順でもう少し詳しく見ていきましょう。

WordPressスーパー管理者の役割

WordPress Super Administratorは最高レベルのWordPressユーザーロールであるため、利用可能なすべての機能を備えています。 スーパー管理者と管理者の違いは、これらの機能をWordPressマルチサイトネットワーク内のサイト間で転送できることです。

わかりやすくするために、さまざまなWordPressサイト/ネットワークの違いは次のとおりです。

WordPressマルチサイトネットワーク–単一のWordPressダッシュボードから複数のWebサイトのネットワークを作成および管理できるようにするWordPressインストールの一種。
マルチサイトネットワーク上のWordPressサイト(子サイト) –マルチサイトネットワーク内のWordPressサイト。 この子サイトは、ネットワーク上の他のサイトのプラグインとテーマを共有しますが、独自の子テーマを持つことができます。
スタンドアロンのWordPressサイト–スタンドアロンサイトは通常のWordPressインストールです。 独自のプラグイン、設定、テーマのセットがあります。

スーパー管理者(マルチサイトネットワークにのみ存在)は、サブサイトの作成と管理、ネットワークユーザーの作成と管理、テーマとプラグインのインストールと削除、およびネットワーク全体での有効化を行うことができます。

たとえば、それぞれが特定の消費者セグメント(紳士服、婦人服、子供服)に焦点を当てた3つのeコマースストアのネットワークを運営しているとします。 スーパーアドミニストレーターは、WooCommerceプラグインの更新や構成など、これら3つのサイトすべてに反映される変更を加えることができます。

WordPress管理者の役割

スーパー管理者と同じように、管理者にはすべての機能があります。 ただし、これらの権限は1つのWebサイトの範囲に制限されています。 これらの機能には、次のものが含まれますが、これらに限定されません。

  • WordPressプラグインのインストールとアンインストール、アクティブ化と非アクティブ化、編集と更新。
  • 新しいコンテンツを作成し、既存のコンテンツを読み取り、変更し、削除します。 たとえば、他のユーザーが作成したWordPressページやブログ投稿。 これには、未公開、非公開、およびパスワードで保護された資料が含まれます。
  • 新しいユーザーを作成し、既存のユーザーを変更および削除します。
  • WordPressテーマをインストール、アクティブ化、および非アクティブ化します。
  • WordPressテーマファイルを変更します。
  • 新規の作成、変更、または既存のカテゴリの削除。
  • 新しいWordPressメニューを作成、変更、または削除します。
  • WordPressにファイルをアップロードします。
  • HTMLマークアップとJavaScriptコードをページ、投稿、コメントに投稿する機能(フィルタリングされていないHTML)。
  • 適度なコメント。

これらの機能はスーパー管理者と同じであることを忘れないでください。 ただし、スーパー管理者には、WordPressネットワーク内の複数のサイトに分散されたこれらの特権があります。

WordPressエディターの役割

機能が制限される構造のレベルは、エディターのユーザーロールです。 編集者の役割は、従来の出版物の設定のように、コンテンツに焦点を合わせています。 WordPress Webサイトの構成、セットアップ、機能、またはデザインに関連する権限はありません。

それらの機能は次のとおりです。

  • 適度なコメント。
  • ブログ投稿やWordPressページなどの新しいコンテンツを作成します。
  • 他のユーザーが作成したWordPressページやブログ投稿などの既存のコンテンツを読んだり、変更したり、削除したりします。 これには、未公開、非公開、およびパスワードで保護された資料も含まれます。

WordPress作成者の役割

作成者から、WordPressユーザーロールの機能はさらに制限されます。 著者ユーザーロールに指定された個人は、自分のブログ投稿とプロファイルにのみアクセスできます。

したがって、ブログ投稿を公開したり、既存のブログ投稿を変更したり、ユーザープロファイルを変更したりできます。

WordPressコントリビューターの役割

著者ユーザーの役割と同様に、寄稿者はブログ投稿を書くことができます。 ただし、WordPressの寄稿者は自分のブログ投稿を公開することはできません。 WordPressコントリビューターによって書かれたすべてのブログ投稿は、WordPressエディターまたは管理者のいずれかによって承認および公開される必要があります。

WordPressサブスクライバーの役割

これは、WordPressWebサイトのアカウントに登録するためにサインアップするすべての人に発行されるデフォルトの役割です。 サブスクライバーはコンテンツを読み取ることしかできず、WordPressサイトのどのタイプのコンテンツも変更することはできません。 変更できるのはプロファイル情報のみです。

WordPressのカスタムユーザーロール

上記のWordPressユーザーロールは、標準のWordPressサイトで提供されるデフォルトの「すぐに使える」ロールです。 場合によっては、WordPressプラグインは独自のカスタマイズされたユーザーロールをインストールし、そのロールを実行するために特定の機能をアタッチします。

たとえば、WooCommerceを使用している人は、ストアマネージャーのユーザーロールに気付くでしょう。 同様に、SEOプラグインYoastは、独自のWordPress権限を備えたSEOエディターとSEOマネージャーのユーザーロールを導入します。

既存のロールが目的に完全に適合しない場合は、カスタムのWordPressユーザーロールを作成することをお勧めします。 たとえば、単なる読み取り機能よりもはるかに多くの特権をサブスクライバーに与える必要があるメンバーシップサイトを運営している場合があります。 その場合、User Role EditorなどのWordPressプラグインを使用すると、特定のビジネスニーズに合わせて、各ロール内の権限をカスタマイズできます。

WordPressのユーザーロールを使用してセキュリティを向上させる方法

WordPressのユーザーロールは、Webサイトの全体的なセキュリティにおいて重要な役割を果たします。 間違った人にあまりにも多くの機能を割り当てるという単純な行為は、潜在的に悲惨な結果をもたらす可能性があります。 そのことを念頭に置いて、ユーザーロールの割り当てを正しく行う必要があります。

適切な人に適切な役割を割り当てる

従来のビジネスと同じように、ビジネスオーナーと同じ権利と責任を最下位の従業員や外部の請負業者に譲渡することはありません。

たとえば、WordPressサイトを参照する場合、Web開発者は、バックエンドWebサイト機能に必要な変更を加えるために管理者レベルのアクセス権を必要とします。 ただし、それらには独自の特定のユーザーログインが必要であり、そのユーザーが制御を維持できます。

ブログを運営している場合は作成者と寄稿者、eコマースストアを運営している場合はストアとプロダクトマネージャーについても同じことが言えます。 あなたはいくつかの理由でウェブマスターとしてコントロールする必要があります。

これに関する詳細については、最小特権の原則に関するガイドから始めることをお勧めします。

クレデンシャルの共有はセキュリティ上の脅威です

WordPressのユーザー情報を他の人に貸すことは無害に見えるかもしれませんが、それは安全ではありません。 電子メールを介して渡された資格情報は傍受される可能性があり、印刷されたバージョンも同様にすぐに侵害される可能性があります。

2019年の調査では、データ侵害の74%が特権アクセスのクレデンシャルの悪用の結果であることが明らかになりました。 さらに悪いことに、同じレポートでは、最大65%がシステム(WordPressなど)へのルートアクセスまたは特権アクセスを少なくともある程度頻繁に共有していることがわかりました。*

データ侵害が非常に多い理由は、共有クレデンシャルが弱いパスワードを助長する傾向があるためです。 覚えやすいパスワードはWordPressサイトの所有者の時間を節約しますが、サイトのセキュリティに弱点があり、ブルートフォース攻撃や辞書攻撃にさらされる可能性があります。

最後に、多くの個人にサイト上の1つのWordPressユーザーロールへのアクセスを許可すると、誰がWebサイトに何を変更したかを追跡できなくなります。 複数のユーザーが1つのユーザー名とパスワードにアクセスできる場合、そのユーザーの役割の下で実行されるアクティビティの責任者をどのように解読しますか?

さまざまな役割を持つユーザーのログを保持する

上記の理由により、WordPressサイトへの各寄稿者に独自のログインとユーザーロールを与える必要があります。 次に、プラグインを使用して各ユーザーのアクティビティを監視し、サイトのセキュリティを強化しながら行われた作業を追跡することをお勧めします。

WPアクティビティログプラグインを使用すると、WordPressユーザーが行ったすべての変更のアクティビティログを保持できます。 このプラグインをインストールすることで、包括的なアクティビティログを保存および分析し、ユーザーが重要なサイト変更を行っているときにリアルタイムのアラートを受信できます。 また、ユーザーをリアルタイムで監視して、ユーザーがタスクを適切に実行していることを確認することもできます。

これらの機能は、複数の部門を持つ大規模な単一のWebサイトを運用している場合に特に役立ちます(eコマースでよくあることです)。 または、スーパー管理者としてマルチサイトネットワークを実行します。 非常に多くの個人が絶えず変更を加えているため、WPアクティビティログプラグインを使用してアクティビティログを検索し、WordPressサイトに特定の変更がいつ(誰によって)行われたかを特定できます。

WordPressでのユーザーロールの最適化

WordPressのユーザーロールは、Webサイトの組織構造において重要な役割を果たします。 セキュリティの問題を最小限に抑えるために、各ユーザーの役割とそれに関連する機能を慎重に割り当てる必要があります。 サイトが成長すればするほど、ユーザーの役割はより重要になります。

多くの場合、個人間での資格情報の共有は絶対に避けてください。 少数のユーザーを監視できる場合もありますが、各ユーザーの役割に複数のチームメンバーが指定されている場合は、サイトに加えられた変更を正確に追跡するためにWPアクティビティログプラグインなどのソフトウェアが必要です。

今日からWordPressWebサイトの14日間の無料トライアルを始めてみませんか?

ボーナスチップ

弱いパスワードは、WordPressサイトに対する最大の脅威の1つです。 Webサイトには非常に多くのユーザーがいるため、ハッカーから保護するために、すべてのユーザーが強力なパスワードを使用していることを確認する必要があります。

WPasswordを使用すると、Webサイトにログインしているすべての人が安全なパスワードを使用できるようにすることができます。 WP 2FAプラグインを使用してユーザーに二要素認証を実装することにより、セキュリティの取り決めを倍増することもできます。

* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4