향상된 WordPress 보안을 위한 최소 권한 원칙 적용

게시 됨: 2021-07-27

WordPress의 최소 권한 원칙은 침해, 데이터 손실 및 DoS 공격이 발생할 때 큰 헤드라인을 놓칩니다. 그러나 간과하더라도 WordPress 웹 사이트에 대한 가장 효과적인 보안 모범 사례 중 하나입니다.

이 블로그 게시물에서는 먼저 최소 권한의 원칙을 정의한 다음 적용 시기와 장소, 채택하지 않을 경우의 위험, 많은 웹사이트 개발자가 여전히 WordPress 웹사이트에 적용하지 않는 이유를 살펴봅니다. 또한 WordPress 웹사이트의 보안 개선을 즉시 시작할 수 있도록 몇 가지 실용적인 권장 사항을 공유합니다. 이 블로그 게시물에는 실제 환경에서의 사용을 설명하는 데 도움이 되는 몇 가지 미니 사례 연구가 포함되어 있습니다.

목차

  • 최소 권한의 원칙은 무엇입니까?
  • 최소 권한 원칙은 언제, 어디에 적용되나요?
  • PoLP가 적용되지 않으면 어떤 위험이 있습니까?
  • 많은 웹 사이트 소유자가 WordPress의 최소 권한 원칙을 무시하는 이유는 무엇입니까?
  • WordPress에 PoLP를 적용하는 방법
    • WordPress 데이터베이스 사용자 권한
    • WordPress 사용자 역할 및 권한
      • 커스텀 역할 생성
    • 파일 및 디렉토리 권한
    • 워드프레스 플러그인 구성
    • 타사 계약자를 위한 FTP 액세스
  • 미니 사례 연구
    • 전자상거래 웹사이트 애플리케이션
    • 대학 및 교육 기관
    • 뉴스 웹사이트 및 블로그
    • 은행 웹사이트
    • 건강 및 피트니스 트래커
  • WordPress 및 그 이상에 대한 최소 권한 원칙 사용

최소 권한의 원칙은 무엇입니까?

아이디어는 매우 간단합니다. 지정된 작업을 수행하는 데 필요한 것보다 더 많은 액세스 권한을 사용자 계정, 프로세스 또는 프로그램에 부여하지 마십시오. 블로그가 있는 일반적인 WordPress 웹 사이트의 관점에서 편집자, 작성자, 기고자 및 구독자를 생각하십시오. 그들 각각은 웹사이트 백엔드의 어느 정도에 액세스해야 합니다.

최소 권한 원칙(PoLP)은 '최소 권한 원칙', '최소 권한 원칙' 또는 '최소 권한 사용자 계정'(LUA)으로도 알려져 있습니다.

몇 가지 간단한 예를 살펴보겠습니다. 당신의 유아는 종종 부엌에 접근할 필요가 없습니다. 따라서 특정 방을 제외하고는 그들이 마음대로 돌아다닐 수 있도록 집의 다양한 지점에 안전 게이트와 같은 접근 제어 장치를 설치해야 합니다. 공유 공용 코워킹 스페이스에서 점심을 먹으러 떠나기 전에 노트북을 로그오프했습니다. 그리고 멋진 레스토랑의 주차 직원은 차 키를 반납하기 전에 신분증이나 티켓을 요구할 것입니다. 액세스 제어는 물리적 항목이든 디지털 담보이든 상관없이 귀하와 사용자의 소중한 자산에 대한 손상을 방지합니다.

최소 권한 원칙은 언제, 어디에 적용되나요?

간단한 대답은 계단을 오르려는 유아부터 WordPress 웹사이트 호스팅 계정의 사용자에 이르기까지 모든 곳에 적용된다는 것입니다. 월별 인보이스를 다운로드해야 하는 금융 프리랜서는 웹사이트 관리자와 동일한 수준의 액세스 권한이 필요하지 않습니다. 모든 종류의 권한 있는 회사 계정, 파일 관리 시스템, 마케팅 전략 문서 또는 암호 관리자도 마찬가지입니다.

PoLP가 적용되지 않으면 어떤 위험이 있습니까?

특정 영역에 대한 액세스를 제어하는 ​​것은 쉬운 일이 아닙니다. 그렇지 않으면 로그인한 사용자의 변덕에 완전히 웹사이트를 떠나고 있지 않습니까? 무고하고 부주의한 실수를 할 수 있고 자신이 저지른 실수나 의도하지 않은 결과를 알지도 못하는 사용자를 포함합니다.

다음과 같은 가능한 사용자를 생각해 보십시오.

  • 신규 사용자는 WordPress 웹사이트에서 실수가 비즈니스에 미치는 영향에 대해 거의 이해하지 못하고 시작합니다.
  • 워드프레스 관리 경험이 거의 없으신 분
  • 새로운 WordPress 버전 또는 플러그인을 마음대로 다운로드하거나 먼저 백업하지 않고 업데이트하는 것의 의미를 알지 못하는 경우
  • 보안 인식이 제한되어 신규 사용자 생성 또는 기존 사용자의 권한 변경
  • 보고된 오류나 기타 문제에 대처하는 방법을 모르시는 분
  • 파트너, 프리랜서 및 클라이언트와 같은 외부 블로그 게시물 기고자(아마도 WordPress 지식이 거의 없음), 묻지 않고 웹사이트에서 플러그인을 '유용하게' 다운로드하거나 업데이트할 수도 있습니다.

또한 전체 WordPress 백엔드가 부적절한 액세스 수준을 가진 사람, 새 사용자를 추가하고 고의적으로 해를 입힐 수 있는 웹 사이트 영역에 대한 액세스 권한을 부여하는 사람과 같이 승인되지 않은 사람의 위험에 처해 있음을 의미합니다.

와 같은:

  • 테마, 맞춤형 기능 또는 공개 웹사이트 콘텐츠 변경
  • 전자 상거래 상점에서 잘못된 재고, SKU 또는 제품 메타데이터
  • 승인되지 않은 할인 제공
  • 코드, 페이지 템플릿, 미디어, 구성 또는 직원, 고객 및 기타 유형의 파일 액세스, 변경, 다운로드 또는 삭제
  • 회사, 고객, 건강 또는 금융 데이터에 액세스하여 예를 들어 다른 악의적인 당사자에게 오용하거나 판매하는 행위
  • 사이트 및 해당 제품 또는 서비스를 오프라인으로 전환

WordPress를 사용하든 사용하지 않든 이러한 문제 중 일부 또는 전체는 WordPress에 대한 최소 권한 원칙이 조직 전체에서 의도적이고 일관되게 채택되지 않을 때 발생할 수 있습니다.

팁: WordPress용 활동 로그 플러그인을 사용하여 사용자가 WordPress 웹사이트에서 수행하는 모든 변경 사항을 기록합니다. 이는 사용자 책임에 도움이 되고 문제 해결을 용이하게 합니다.

많은 웹 사이트 소유자가 WordPress의 최소 권한 원칙을 무시하는 이유는 무엇입니까?

우리가 설명한 위험은 꽤 설득력 있는 것 같죠? 그러나 WordPress 웹 사이트 감사 후 보고된 가장 일반적인 문제 중 하나는 일반적인 환경에서 WordPress 사용자의 역할이 여전히 다음과 같이 구성되어 있다는 것입니다.

  • 사용자가 다른 사람이 작성한 콘텐츠를 입력하기만 하면 되는 경우에도 모든 사용자에게 WordPress 관리자 역할이 부여됩니다.
  • 파일 및 디렉토리 권한에도 동일하게 적용되며, 모두 최소 제한 권한으로 구성됩니다.

우리는 그것을 얻는다. 우리 모두는 경력의 어느 시점에서 시스템 및 웹 사이트 관리자로 일한 경험이 있습니다. 관리자는 초기에 사용자와 권한을 연결하고 사용자가 무엇을 해야 하는지 확인하는 대신 단순히 관리자 역할도 할당하는 것을 선호하는 경우가 많습니다(처음에는 더 빨리 보입니다).

파일 및 디렉토리 권한에도 동일하게 적용됩니다. 예를 들어, 일부 WordPress 플러그인은 캐시 파일 또는 기타 데이터를 파일 시스템(예: WordPress 디렉토리)에 저장합니다. /wp-content/plugins/ 디렉토리에서 777 권한을 구성하는 것이 더 쉽습니다. 모든 플러그인이 작동하고 새 플러그인을 설치할 때마다 문제 해결 및 권한 조정에 더 많은 시간을 할애할 필요가 없기 때문입니다. 그러나 사용자가 너무 많은 액세스 권한을 갖는 것을 방지하기 위해 웹 사이트 응용 프로그램 또는 디렉토리의 특정 영역을 결정하기 위해 초기에 일부 조사를 수행하면 이미 언급한 위험을 줄일 수 있습니다. 또한 관리자의 추가 입력 없이 모든 사람이 작업을 수행하는 데 필요한 항목에 액세스할 수 있는 추가 이점이 있습니다.

웹사이트 소유자와 관리자가 하는 질문

편의성이 보안 위험을 감수할 가치가 있습니까? 당신은 그 질문에 대한 우리의 대답이 무엇인지 알고 있습니다. 가장 큰 보안 위험이 이미 아마추어 및 느슨한 액세스 제어로 백도어를 열어 두는 것이라면 강력한 사전 웹 애플리케이션 보안 플러그인, 비밀번호 프로토콜 및 2FA와 같은 기타 조치를 설치하고 유지 관리하는 것은 의미가 없습니다!

WordPress에 최소 권한 원칙을 적용하는 방법

이제 웹 사이트 애플리케이션을 최대한 안전하게 만드는 데 중점을 두었으므로 이 섹션에서는 최소 권한 원칙을 WordPress 웹 사이트 또는 블로그에 적용할 수 있는 위치와 방법 목록을 제공합니다.

WordPress 데이터베이스 사용자 권한

가장 기본적인 장소인 WordPress 사용자 데이터베이스 권한 또는 권한부터 시작하겠습니다.

콘텐츠 작성 및 게시와 같은 일상적인 WordPress 작업의 경우 WordPress 데이터베이스 사용자는 다음 권한만 있으면 데이터베이스 내에서 데이터를 관리할 수 있습니다.

  • 선택하다
  • 끼워 넣다
  • 업데이트
  • 삭제

이러한 권한은 WordPress 데이터베이스 사용자가 데이터베이스 구조를 수정하는 것을 허용하지 않습니다.

권장 사항

이상적인 환경에서 WordPress 웹사이트 또는 블로그의 보안을 강화하려면 안전하고 제한적인 WordPress MySQL 데이터베이스 권한을 구성해야 합니다. 데이터베이스에 새 테이블을 생성하는 새 플러그인을 설치해야 하는 사용자에게 모든 권한을 할당하거나 WordPress가 업데이트되고 WordPress 데이터베이스 스키마가 변경된 경우에만 되돌립니다.

또 다른 권장 사항은 관련 웹 사이트에 대해 WordPress 데이터베이스 이외의 데이터베이스에 대한 액세스 권한을 부여하지 않는 것입니다.

WordPress 데이터베이스 권한에 대한 자세한 내용은 안전하지 않은 구성의 영향을 설명하는 최소 MySQL 사용자 WordPress 데이터베이스 권한이 보안을 향상시키는 이유를 참조하십시오.

WordPress 사용자 역할 및 권한

WordPress 사용자는 실수를 합니다. 심지어 관리자도 마찬가지입니다. 또한 사용자는 설정 및 구성을 탐색하는 것을 좋아합니다. 사용자에게 Super Admin 또는 Administrator 액세스 권한을 할당하면 그 중 호기심이 많은 사용자가 임의의 플러그인을 설치할 가능성이 큽니다. 이로 인해 웹 사이트 기능의 변경과 같이 사용자 경험이 의도하지 않게 변경될 수 있습니다.

WordPress에는 아래에 나열된 대로(대부분에서 최소 순으로) 여러 기본 제공 사용자 역할과 연결된 기능이 있습니다.

  • 최고 관리자 – 사이트 네트워크 관리자
  • 관리자 – 단일 사이트에 대한 사이트 네트워크 관리자
  • 편집자 – 다른 사용자의 게시물을 포함한 게시물 관리 및 게시
  • 작성자 – 자신의 게시물 관리 및 게시
  • 기고자 – 자신의 게시물을 작성하고 관리하지만 게시하지는 않습니다.
  • 구독자 – 프로필만 관리

이것이 실제로 작동하는 방법의 예는 기여자와 작성자가 일부 기능(예: 게시물 편집 및 게시물 삭제)을 공유할 수 있지만 기여자는 파일 업로드 또는 사용 가능한 블록 생성과 같이 작성자가 할 수 있는 모든 작업을 수행할 수 없다는 것입니다.

사용자 지정 역할 만들기

또한 새로운 사용자 지정 WordPress 역할을 만드는 데 사용할 수 있는 많은 플러그인이 있습니다.

다음은 몇 가지 일반적인 사용 사례입니다.

  • 규모가 큰 조직에서는 마케팅 팀에 누군가를 지정하여 댓글을 검토하고 승인하고 응답하도록 해야 할 수 있습니다. '댓글 검토' 기능은 편집자 역할에 포함되지만 이 역할은 다른 강력한 기능도 모두 할당합니다. 따라서 이것이 그들이 할 수 있는 전부라면 이 단일 권한으로 사용자 지정 역할을 설정하는 것으로 충분합니다.
  • WordPress 사이트에 WooCommerce와 같은 전자 상거래 플러그인이 포함되어 있는 경우 Shop Manager(사용자가 전체 상점을 관리할 수 있도록 허용) 및 고객(사용자가 계정 및 주문을 볼 수 있도록 허용)의 두 가지 초기 역할로 제한됩니다. 관리자는 '설정 관리' 및 '보고서 보기'와 같은 추가 권한이 있습니다. 그러나 사용자(예: 비관리 직원)가 재고 수량 또는 SKU를 추가 및 관리하거나 주문을 처리하는 기능과 같은 중간에 필요한 것이 있다면 어떻게 될까요?
  • 당사 웹사이트에서는 지식 기반 기사용 플러그인을 사용합니다. 이를 통해 지원 팀은 기술 자료 문서를 만들고 수정할 수 있지만 기본 웹 사이트 페이지와 블로그 게시물에는 액세스할 수 없습니다.

권장 사항

대부분의 일반 사용자의 경우 기여자 역할이면 충분합니다. 팀 리더 및 실무 관리자의 경우 편집자 역할이 권장됩니다. 그러나 최고 관리자 및 관리자 역할을 실제로 필요로 하는 경험 있고 책임감 있는 사용자로 제한해야 합니다.

자세한 내용은 WordPress 보안 개선을 위해 WordPress 사용자 역할을 사용하는 방법을 참조하세요.

파일 및 디렉토리 권한

파일 및 디렉토리 권한을 구성하기 쉽고 WordPress 설치 권한을 강화하는 방법을 설명하는 온라인 문서가 많이 있습니다. WordPress는 PHP를 실행하는 모든 OS(일반적으로 Linux)에서 실행됩니다. 그룹 측면에서 Linux에는 세 가지 권한 그룹이 있습니다.

  • 소유자 – 권한이 다른 사용자에게 적용되지 않거나 영향을 미치지 않는 파일/디렉토리의 소유자
  • 그룹 – 파일/디렉토리에 대한 액세스 권한이 할당된 사용자 그룹으로, 권한이 그룹 외부의 사용자에게 적용되거나 영향을 미치지 않습니다.
  • 기타 – 다른 모든 사람이 동일한 파일/디렉토리에 대해 갖는 권한 수준

이들 각각은 읽기(내용 보기), 쓰기(내용 쓰기 또는 수정) 또는 실행(스크립트와 같은 내용 실행) 권한이 할당됩니다. 이러한 권한은 일련의 숫자로 저장되며 PHP 코드, 이미지 및 기타 미디어, HTML 및 자바스크립트 파일, 플러그인에 대한 액세스를 제공합니다.

잘못된 권한을 잘못된 권한 그룹에 할당한다는 의미는 악의적인 해커가 이를 악용하여 낮은 수준의 취약성이 허용할 수 없는 위험으로 발전할 수 있음을 의미할 수 있습니다.

권장 사항

WordPress를 설치할 때 PoLP도 사용하여 WordPress가 작동하도록 가능한 최소한의 파일 및 디렉토리 권한을 구성해야 합니다.

파일 및 디렉터리 권한을 강화하면 일부 WordPress 플러그인이 작동하지 않을 수도 있습니다. 앞에서 설명한 대로 설치 디렉토리에 데이터를 저장해야 하는 플러그인을 설치 중일 수 있습니다. 그렇다면 플러그인 디렉토리에 대한 777 권한을 구성하지 마십시오(제어 권한이 있는 모든 사람에게 전체 읽기, 쓰기 및 실행). 그것이 쉬운 탈출구입니다. 그러나 관련 사용자가 웹 UI에서 WordPress, 테마 및 플러그인을 업데이트하지 못하도록 제한하는 것도 피해야 합니다.

자세한 내용은 WordPress 파일 권한: 보안 웹사이트 및 웹 서버 권한 구성 가이드를 참조하세요.

워드프레스 플러그인 구성

모든 관리자가 평등하지는 않습니다. 많은 시스템 및 네트워크와 마찬가지로 WordPress 관리자 그룹 사이에 리드 관리자가 있는 것이 일반적입니다. 일반적으로 웹 사이트 소유자는 다른 사용자에게 관리자 액세스 권한을 할당하는 것 외에 다른 옵션이 없습니다. WordPress 보안 플러그인의 경우 관리자가 액세스할 수 있는 WordPress 보안 감사 로그와 같은 민감한 데이터를 저장할 수 있는 경우가 많습니다.

권장 사항

WordPress 보안 플러그인을 사용하면 일반적으로 다른 WordPress 관리자에 대한 액세스를 제한할 수 있습니다. 이러한 기능을 사용하는 것은 사용자 액세스를 더 잘 관리하는 데 도움이 되는 작은 제어처럼 보이지만 때로는 간과됩니다.

개별 플러그인에 대한 자세한 내용은 플러그인 지원 및 호스팅 제공업체에 문의하세요. 그런 다음 플러그인이 쓸 필요가 있는 디렉토리를 물어보십시오. 그러면 해당 디렉토리에 대한 권한을 구체적으로 구성할 수 있습니다.

타사 계약자를 위한 FTP 액세스

디자이너를 고용하거나 플러그인 지원팀이 웹사이트에 대한 FTP 액세스를 필요로 할 때 웹사이트 루트에 대한 전체 액세스 권한을 부여할 수 있습니다. 그렇죠? 이것은 불필요합니다.

권장 사항

디자이너의 경우 액세스가 필요한 것은 테마의 디렉토리뿐이므로 해당 디렉토리에 대한 액세스를 제한하십시오. 플러그인 지원 팀에도 동일하게 적용됩니다. 로그 파일을 확인하기 위해 액세스 권한이 필요한 경우 플러그인 디렉토리 또는 플러그인이 로그 파일을 저장하는 위치에 대한 FTP 액세스 권한을 부여하십시오. 보안 실사를 수행하기 위해 외부 당사자에게 의존하지 마십시오.

미니 사례 연구

이것이 실제로 어떻게 작동하는지, 그리고 액세스 제어 질문과 결정이 올바른 팀과 개인에게 올바른 액세스를 가능하게 하기 위해 PoLP를 적용하는 방법에 대한 몇 가지 관련 예를 살펴보겠습니다.

전자상거래 웹사이트 애플리케이션

소비자가 냉장고-냉동고, 진공 청소기, 카메라 또는 랩톱과 같은 고가 품목을 구매하는 것과 같은 전자 상거래 웹 사이트 애플리케이션은 PoLP를 채택할 수 있는 다양한 예를 제공합니다.

전자 상거래 웹 사이트 애플리케이션 개발자를 위한 액세스 제어 결정 중 일부는 분명합니다.

  • HR 부서는 고객 데이터 또는 플러그인을 저장하는 파일 디렉토리에 대한 액세스가 필요하지 않을 수 있지만 대부분의 직원 기록에 대한 액세스는 필요합니다(많은 데이터 보호 규정에 따라 종종 특별한 지위를 누리는 건강 데이터는 알아야 할 필요성에 더 제한됨)
  • 마케팅 부서는 반드시 SKU 테이블이나 제품 코드에 액세스할 필요가 없습니다. 그러나 그들은 제품 이름, 사양 및 설명을 나열하는 제품 데이터베이스의 테이블에 대한 액세스를 원할 것입니다.

일부는 덜 명확합니다.

  • 소비자는 항상 모든 데이터에 액세스해야 합니까?
  • PCI-DSS 규정 준수 담당자가 모든 소비자 데이터에 액세스해야 합니까?

대학 및 교육 기관

웹 애플리케이션 보안과 PoLP가 처음에 덜 명확했던 더 전통적이고 오래 지속되는 기관은 어떻습니까?

대학 및 대학 포털에 대한 액세스 제어 결정 중 일부는 분명합니다.

  • 급여 부서는 근무일을 추적하고 지불을 하기 위해 웹사이트 애플리케이션의 직원 및 계약자 기록에 액세스해야 합니다.
  • 다양한 유형의 행정 부서는 ID, 숙박 신청서, 청구서 또는 보조금을 처리하기 위해 학생 기록에 액세스해야 할 수 있습니다.

일부는 덜 명확합니다.

  • 건물 스와이프 카드 제공업체와 같은 제3자 공급업체는 일부 학생 데이터 테이블에 간헐적으로 액세스해야 합니까?

뉴스 웹사이트 및 블로그

웹은 뉴스 웹사이트, 팟캐스트 및 블로그로 가득 차 있습니다. 많은 웹사이트 소유자는 여러 관리자, 기고자, 편집자, 교정자 및 발행인에게 의존합니다. 또한 고려해야 할 구독자와 시청자가 있습니다.

뉴스 및 블로그 웹 사이트 응용 프로그램에 대한 액세스 제어 결정 중 일부는 분명합니다.

  • 책임 비즈니스 영역에 따라 편집자는 모든 사람의 페이지, 기사 및 블로그 게시물 조합에 액세스해야 할 수 있습니다.
  • 기고자는 자신의 블로그 게시물에만 액세스할 수 있어야 합니다.

일부는 덜 명확합니다.

  • 모든 제3자가 WordPress 데이터베이스의 모든 테이블에 액세스해야 합니까? 여기에서 사용자 지정 컨트롤이 고유하게 나타납니다.

은행 웹사이트

마지막 예는 우리 중 많은 사람들이 매일 사용하는 은행 웹사이트 서비스입니다. 건강 정보 외에도 개인 재무 데이터는 당연히 가장 기밀이 유지되는 유형 중 하나입니다.

웹 사이트 애플리케이션을 만들기 위한 액세스 제어 결정 중 일부는 다음과 같습니다.

  • 명시적인(사용자가 제어하는) 동의를 제외하고 은행 서비스 사용자는 다른 사용자의 계정에 액세스할 수 없습니다.
  • 직원 사용자 계정은 많은 서비스 사용자 계정에 액세스할 수 있어야 하지만 작업의 일부로 수행해야 하는 작업으로만 제한됩니다.

일부는 덜 명확합니다.

  • 기술 지원 부서는 어느 정도의 액세스 권한을 가져야 합니까? 오류가 발생한 경우 모든 것을 보고 수정할 수 있어야 합니까?

각 시나리오에 대한 비즈니스 사용 사례를 생각하고 계획하는 것이 좋습니다. 고유한 작업 설명을 가진 사용자 및 개인 그룹과 함께. 먼저 이것들을 매핑하십시오. 그래야만 WordPress 웹 사이트에서 사용할 수 있는 액세스 제어 프로토콜을 검사할 수 있습니다.

건강 및 피트니스 트래커

건강 또는 피트니스 추적기 장치와 연결된 온라인 대시보드는 사용자와 건강 데이터, 활동, 목표 및 성과에 대한 흥미로운 통계를 수집, 저장 및 공유합니다.

건강 및 피트니스 트래커 브랜드에 대한 액세스 제어 결정 중 일부는 분명합니다.

  • 조직 내 어떤 팀이 어떤 데이터에 액세스해야 합니까? 한 팀이 앱의 수면 추적 부분의 설계 및 개발을 담당하는 경우 운동 통계 테이블에 반드시 액세스할 필요가 없다는 것은 의미가 있습니다.
  • 대부분의 사용자는 PoLP(그것에 대해 알고 있든 없든)를 매우 제한적으로 원할 것이므로 건강 정보가 다른 모든 사용자와 공유되지 않습니다. 따라서 일반 사용자 역할에 어떤 액세스 권한을 부여해야 하며 따라서 공개 프로필에서 어떤 데이터를 공유하게 될까요(이름, 프로필 이미지 및 평균 일일 걸음 수만?).

일부는 덜 명확합니다.

  • 이러한 도구의 일반적인 게임화 기능을 용이하게 하기 위해 다른 사용자가 액세스할 수 있어야 하는 정보는 무엇이며 얼마나 해야 합니까?
  • 개발자가 모든 액세스 권한을 설정해야 합니까, 아니면 이 의사 결정의 일부를 사용자에게 분담해야 합니까?

WordPress 및 그 이상에 대한 최소 권한 원칙 사용

위의 내용은 WordPress에 대한 최소 권한 원칙이 종종 간과되지만 쉽게 적용될 수 있는 가장 일반적인 시나리오 중 일부일 뿐입니다.

PoLP 채택을 시작하려면 다음 항목에 대해 무엇을 하고 싶은지 고려하는 것부터 시작하십시오.

  • 웹 서버
  • 데이터베이스
  • 커스터마이징

일이 즉시 해결되지 않는다고 해서 최소 권한의 원칙을 적용하는 것을 부끄러워하지 마십시오. 예, 대부분의 경우 사용자 지정 사용자 역할을 구성하고 플러그인 문제를 해결하는 데 몇 시간을 소비해야 합니다. WordPress 웹 사이트의 보안에 대한 장기적인 투자로 이것을 염두에 두십시오.