Jak korzystać z ról użytkownika WordPress w celu poprawy bezpieczeństwa WordPress

Opublikowany: 2020-09-24

Jako system zarządzania treścią WordPress ma określone role użytkowników. Zasadniczo te role użytkowników WordPress określają możliwości (uprawnienia do wykonywania określonych zadań w witrynie) każdego indywidualnego użytkownika w Twojej witrynie.

Wraz z rozwojem witryny konieczne jest zrozumienie tych ról i możliwości, aby zapewnić stałe bezpieczeństwo witryny. Ponieważ przypisanie niewłaściwych ról użytkowników może prowadzić do katastrofalnych konsekwencji.

W tym artykule opiszemy, czym są role użytkowników (w tym role niestandardowe), dzięki czemu będziesz wiedział, jak je poprawnie przypisać. Omówimy również, jak używać wtyczek WordPress do zarządzania i monitorowania aktywności użytkowników WordPressa.

Podstawy ról użytkownika WordPress

Rodzaj dostępu, jaki masz do witryny WordPress, zależy od Twojej roli, a tym samym od przyznanych Ci możliwości.

  • „Rola” to grupa/predefiniowana lista możliwości. Jako użytkownik otrzymujesz wtedy rolę, która określa, jakie masz możliwości.
  • „Możliwości” to zasadniczo to, co może zrobić ta rola użytkownika (publikowanie postów, zmiana ustawień itp.)

Na przykład redaktor to rola użytkownika, która ma takie możliwości, jak moderowanie komentarzy, publikowanie treści i tworzenie nowej treści, żeby wymienić tylko kilka. W większych witrynach z wiadomościami lub blogami zwykle jest kilku redaktorów, z których każdy odpowiada za odpowiednie sekcje tematyczne.

Podczas gdy niektóre wtyczki dodają niestandardowe role użytkowników WordPress (zaraz do tego przejdziemy), istnieje sześć domyślnych ról użytkownika w każdej standardowej witrynie WordPress. Są to:

  • Superadministrator
  • Administrator
  • Redaktor
  • Autor
  • Współpracownik
  • Abonent

Zrozumienie hierarchii możliwości ról użytkownika WordPress

Ważne jest, aby zrozumieć, że struktura ról jest hierarchiczna. Każda rola użytkownika ma możliwości pozycji pod nią, z dodatkowymi funkcjami specyficznymi dla roli.

Przyjrzyjmy się na przykład dolnej części piramidy ról użytkownika — subskrybentowi. Rola subskrybenta ma tylko dołączoną funkcję „odczyt” (co oznacza, że ​​może czytać tylko posty w Twojej witrynie).

Przejdźmy do następnego poziomu roli użytkownika, Contributor. Ta rola ma możliwość „odczytu”, ale ma również możliwości „edit_posts” i „delete_posts”. Oznacza to, że mogą edytować i usuwać własne posty.

Rola użytkownika Autor ma możliwości zarówno subskrybenta, jak i współautora z następującymi przypisanymi dodatkowymi uprawnieniami:

  • Usuń_publish_posts
  • Opublikuj_posty
  • Prześlij_pliki
  • Edytuj_publikowane_posty

Jak widać, możliwości zwiększają się wraz z przenoszeniem struktury ról użytkownika, przy czym superadministrator ma najwyższy zestaw uprawnień. Przyjrzyjmy się więc każdej roli nieco bardziej szczegółowo, w porządku malejącym.

Rola superadministratora WordPress

Superadministrator WordPressa to rola użytkownika WordPress najwyższego poziomu, dzięki czemu mają wszystkie dostępne możliwości. Różnica między superadministratorem a administratorem polega na tym, że te możliwości można przenosić między witrynami w sieci wielostanowiskowej WordPress.

Dla jasności, oto różnica między różnymi witrynami/sieciami WordPress:

Sieć wielostanowiskowa WordPress – rodzaj instalacji WordPress, który pozwala na tworzenie i zarządzanie siecią wielu stron internetowych z jednego pulpitu WordPress.
Witryna WordPress w sieci wielostanowiskowej (witryna podrzędna) — witryna WordPress w sieci wielostanowiskowej. Ta witryna podrzędna udostępnia wtyczki i motywy innych witryn w sieci, ale może mieć własny motyw podrzędny.
Samodzielna witryna WordPress — samodzielna witryna to normalna instalacja WordPress. Ma swój własny, unikalny zestaw wtyczek, ustawień i motywów.

Superadministrator (znajdujący się tylko w sieciach wielostanowiskowych) może tworzyć i zarządzać podstronami, tworzyć i zarządzać użytkownikami sieci, instalować i usuwać motywy i wtyczki oraz włączać je w całej sieci.

Załóżmy na przykład, że prowadzisz sieć trzech sklepów e-commerce, z których każdy koncentruje się na określonym segmencie konsumentów – odzieży męskiej, damskiej i dziecięcej. Superadministrator mógłby wprowadzać zmiany, które odzwierciedlają wszystkie trzy z tych witryn, takie jak aktualizacja lub konfiguracja wtyczki WooCommerce.

Rola administratora WordPress

Podobnie jak superadministratorzy, administratorzy mają wszystkie możliwości. Uprawnienia te są jednak ograniczone do zakresu jednej witryny. Te możliwości obejmują między innymi:

  • Instaluj i odinstaluj, aktywuj i dezaktywuj, edytuj i aktualizuj dowolną wtyczkę WordPress.
  • Twórz nowe treści, czytaj, modyfikuj i usuwaj istniejące treści. Na przykład strony WordPress i posty na blogach utworzone przez dowolnego innego użytkownika. Obejmuje to materiały niepublikowane, prywatne i chronione hasłem.
  • Twórz nowych użytkowników, modyfikuj i usuwaj istniejących użytkowników.
  • Zainstaluj, aktywuj i dezaktywuj motywy WordPress.
  • Zmodyfikuj pliki motywów WordPress.
  • Twórz nowe, modyfikuj lub usuwaj istniejące kategorie.
  • Twórz nowe, modyfikuj lub usuwaj istniejące menu WordPress.
  • Prześlij pliki do WordPressa.
  • Możliwość publikowania znaczników HTML i kodu JavaScript na stronach, postach i komentarzach (niefiltrowany HTML).
  • Moderuj komentarze.

Pamiętaj, że te możliwości są takie same, jak w przypadku superadministratora. Jednak superadministrator ma te uprawnienia rozłożone na wiele witryn w sieci WordPress.

Rola edytora WordPress

Poziomem struktury, na którym możliwości są ograniczone, jest rola użytkownika Edytujący. Rola redaktora koncentruje się na treści, tak jak w przypadku tradycyjnej publikacji. Nie mają uprawnień związanych z konfiguracją, konfiguracją, funkcjonalnością lub projektowaniem Twojej witryny WordPress.

Ich możliwości obejmują:

  • Moderuj komentarze.
  • Twórz nowe treści, takie jak posty na blogu i strony WordPress.
  • Czytaj, modyfikuj i usuwaj istniejące treści, takie jak strony WordPress i posty na blogu utworzone przez dowolnego innego użytkownika. Dotyczy to również materiałów niepublikowanych, prywatnych i chronionych hasłem.

Rola autora WordPressa

Od Autora w dół, możliwości ról użytkowników WordPressa stają się znacznie bardziej ograniczone. Osoba wyznaczona jako autor ma dostęp tylko do swoich postów na blogu i profilu.

Mogą więc publikować swoje posty na blogu, modyfikować własne posty na blogu i modyfikować swój profil użytkownika.

Rola współtwórcy WordPress

Podobnie jak w przypadku roli autora, współtwórcy mogą pisać wpisy na blogu. Jednak współtwórcy WordPressa nie mogą publikować własnych postów na blogu. Wszystkie posty na blogu napisane przez współtwórcę WordPressa muszą zostać zatwierdzone i opublikowane przez redaktora lub administratora WordPressa.

Rola subskrybenta WordPress

Jest to domyślna rola przyznawana każdemu, kto rejestruje się w celu założenia konta w witrynie WordPress. Abonent może tylko czytać treść i nie ma dostępu do modyfikowania żadnego rodzaju treści w witrynie WordPress. Mogą modyfikować tylko swoje informacje w profilu.

Niestandardowe role użytkownika WordPress

Opisane powyżej role użytkownika WordPress są domyślnymi rolami „po wyjęciu z pudełka” w standardowej witrynie WordPress. W niektórych przypadkach wtyczki WordPress instalują własne dostosowane role użytkownika, z określonymi możliwościami dołączonymi do wykonywania tej roli.

Na przykład ci, którzy korzystają z WooCommerce, zauważą rolę użytkownika Menedżera sklepu. Podobnie wtyczka SEO Yoast wprowadza role użytkownika SEO Editor i SEO Manager wraz z własnymi odrębnymi uprawnieniami WordPress.

Tworzenie niestandardowych ról użytkownika WordPress może być dla Ciebie interesujące, jeśli wcześniej istniejące role nie pasują do pożądanych celów. Na przykład możesz uruchomić witrynę członkowską, która wymaga przyznania subskrybentom znacznie więcej uprawnień niż tylko możliwości czytania. W takim przypadku wtyczki WordPress, takie jak Edytor ról użytkownika, pozwalają dostosować uprawnienia w ramach każdej roli, aby lepiej odpowiadały konkretnym potrzebom biznesowym.

Jak korzystać z ról użytkownika WordPress w celu poprawy bezpieczeństwa

Role użytkowników WordPress mają do odegrania znaczącą rolę w ogólnym bezpieczeństwie Twojej witryny. Prosta czynność przypisania zbyt wielu umiejętności niewłaściwej osobie może mieć potencjalnie katastrofalne konsekwencje. Mając to na uwadze, musisz prawidłowo przypisywać role użytkowników.

Przypisz odpowiednią rolę odpowiedniej osobie

Podobnie jak w każdym tradycyjnym biznesie, nie przyznajesz pracownikom najniższego szczebla lub zewnętrznym wykonawcom takich samych praw i obowiązków, jak właścicielowi firmy.

Na przykład, odnosząc się do witryny WordPress, twórcy stron internetowych potrzebują dostępu na poziomie administratora, aby wprowadzić niezbędne zmiany w funkcjach witryny zaplecza. Powinny jednak mieć swój własny login użytkownika, nad którym możesz zachować kontrolę.

To samo dotyczy autorów i współtwórców, jeśli prowadzisz bloga, lub menedżerów sklepu i produktu, jeśli prowadzisz sklep e-commerce. Musisz mieć kontrolę jako webmaster z kilku powodów.

Aby uzyskać więcej informacji na ten temat, dobrym miejscem na rozpoczęcie jest nasz poradnik dotyczący zasady najmniejszych uprawnień.

Udostępnianie danych uwierzytelniających to zagrożenie bezpieczeństwa

Pożyczanie komuś informacji o użytkowniku WordPressa może wydawać się nieszkodliwe, ale nie jest to bezpieczne. Poświadczenia przekazywane w wiadomości e-mail mogą zostać przechwycone, a wersje drukowane równie szybko mogą zostać naruszone.

Badanie z 2019 r. wykazało, że 74% naruszeń danych było wynikiem nadużycia poświadczeń dostępu uprzywilejowanego. Co gorsza, ten sam raport wykazał, że aż 65% przynajmniej dość często korzysta z dostępu root lub uprzywilejowanego dostępu do systemów (takich jak WordPress).*

Powodem, dla którego naruszenia danych są tak wysokie, jest to, że współdzielone dane uwierzytelniające mają tendencję do promowania słabych haseł. Chociaż łatwe do zapamiętania hasła oszczędzają czas właścicieli witryn WordPress, stanowią słabość w bezpieczeństwie witryny, narażając ją na ataki typu brute force i słownikowe.

Wreszcie, jeśli dasz wielu osobom dostęp do jednej roli użytkownika WordPress w swojej witrynie, nie będziesz w stanie śledzić, kto zmienił co w Twojej witrynie. Gdy kilka osób ma dostęp do jednej nazwy użytkownika i hasła, w jaki sposób rozszyfrujesz, która osoba jest odpowiedzialna za działania wykonywane w ramach tej roli użytkownika?

Prowadź dzienniki użytkowników o różnych rolach

Z powodów przedstawionych powyżej musisz nadać każdemu współtwórcy swojej witryny WordPress własny login i rolę użytkownika. Dobrym pomysłem jest wtedy użycie wtyczki do monitorowania aktywności każdego użytkownika, aby śledzić podejmowane prace przy jednoczesnym zwiększeniu bezpieczeństwa witryny.

Dzięki wtyczce WP Activity Log możesz prowadzić dziennik aktywności każdej zmiany dokonanej przez użytkowników WordPress. Instalując tę ​​wtyczkę, możesz przechowywać i analizować obszerny dziennik aktywności, otrzymując alerty w czasie rzeczywistym, gdy użytkownik podejmuje krytyczne zmiany w witrynie. Możesz także monitorować użytkowników w czasie rzeczywistym, aby upewnić się, że wykonują swoje zadania tak, jak powinni.

Funkcje te są szczególnie przydatne, jeśli prowadzisz duże, pojedyncze witryny internetowe z kilkoma działami (jak to często bywa w przypadku e-commerce). Lub prowadzisz sieć wielostanowiskową jako superadministrator. Przy tak wielu osobach wprowadzających ciągłe zmiany, możesz użyć wtyczki WP Activity Log do przeszukiwania dzienników aktywności i wskazywania, kiedy w witrynie WordPress zostały wprowadzone określone zmiany (i przez kogo).

Optymalizacja ról użytkowników w WordPress

Role użytkowników WordPress mają do odegrania istotną rolę w strukturze organizacyjnej Twojej witryny. Aby zminimalizować problemy z bezpieczeństwem, każda rola użytkownika i związane z nią możliwości powinny być starannie przydzielone. Im bardziej rozwija się Twoja witryna, tym ważniejsze stają się role użytkowników.

W wielu przypadkach należy za wszelką cenę unikać dzielenia się danymi uwierzytelniającymi między osobami. Chociaż możesz być w stanie nadzorować kilku użytkowników, gdy istnieje wielu członków zespołu wyznaczonych do każdej roli użytkownika, potrzebujesz oprogramowania, takiego jak wtyczka WP Activity Log, aby dokładnie śledzić zmiany wprowadzone w Twojej witrynie.

Dlaczego nie rozpocząć 14-dniowego bezpłatnego okresu próbnego dla swojej witryny WordPress już dziś?

Dodatkowa wskazówka

Słabe hasła to jedno z największych zagrożeń dla Twojej witryny WordPress. Przy tak dużej liczbie użytkowników w Twojej witrynie musisz upewnić się, że wszyscy używają silnych haseł, aby chronić się przed hakerami.

Dzięki WPassword możesz upewnić się, że każdy, kto ma login do Twojej witryny, używa bezpiecznego hasła. Możesz także podwoić swoje ustalenia dotyczące bezpieczeństwa, wdrażając uwierzytelnianie dwuskładnikowe dla użytkowników za pomocą wtyczki WP 2FA.

* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4