كيفية استخدام أدوار مستخدم WordPress لتحسين أمان WordPress
نشرت: 2020-09-24كنظام لإدارة المحتوى ، يحتوي WordPress على أدوار مستخدم محددة. في الأساس ، تحدد أدوار مستخدم WordPress هذه القدرات (الأذونات لتنفيذ مهام محددة على موقع الويب) لكل مستخدم فردي على موقع الويب الخاص بك.
مع نمو موقعك ، من الضروري فهم هذه الأدوار والإمكانيات لضمان استمرار أمان موقع الويب الخاص بك. نظرًا لأن تعيين أدوار مستخدم خاطئة قد يؤدي إلى عواقب وخيمة.
في هذه المقالة ، سنحدد ماهية أدوار المستخدم (بما في ذلك الأدوار المخصصة) ، حتى تعرف كيفية تعيينها بشكل صحيح. سنغطي أيضًا كيفية استخدام مكونات WordPress الإضافية لإدارة ومراقبة نشاط مستخدمي WordPress.
أساسيات أدوار مستخدم WordPress
يتم تحديد نوع الوصول إلى موقع WordPress من خلال الدور الذي لديك ، وبالتالي ، القدرات التي تمنحها لك.
- "الدور" هو مجموعة / قائمة محددة مسبقًا من القدرات. بصفتك مستخدمًا ، يتم تعيين دور لك ، والذي يحدد القدرات التي لديك.
- "القدرات" هي في الأساس ما يمكن أن يفعله دور المستخدم (نشر المنشورات وتغيير الإعدادات وما إلى ذلك)
على سبيل المثال ، المحرر هو دور مستخدم له إمكانيات مثل الإشراف على التعليقات ونشر المحتوى وإنشاء محتوى جديد ، على سبيل المثال لا الحصر. على موقع إخباري أو مدونة أكبر ، من الطبيعي أن يكون لديك العديد من المحررين ، كل منهم مسؤول عن أقسام الموضوعات الخاصة به.
بينما تضيف بعض المكونات الإضافية أدوار مستخدم WordPress مخصصة (سننتقل إلى هذا قريبًا) ، هناك ستة أدوار افتراضية للمستخدم مع كل موقع WordPress قياسي. وهم على النحو التالي:
- مشرف متميز
- مدير
- محرر
- مؤلف
- مساهم
- مشترك
فهم التسلسل الهرمي لقدرات دور مستخدم WordPress
من المهم أن نفهم أن هيكل الأدوار هرمي. يتمتع كل دور مستخدم بإمكانيات الوظيفة (الوظائف) الموجودة تحته ، مع إضافة بعض القدرات الخاصة بالأدوار.
على سبيل المثال ، لنلقي نظرة على الجزء السفلي من هرم دور المستخدم ، المشترك. دور المشترك له فقط إمكانية "القراءة" المرفقة به (مما يعني أنه يمكنهم قراءة المنشورات على موقعك فقط).
دعنا نتقدم إلى المستوى التالي من دور المستخدم ، مساهم. هذا الدور لديه القدرة على "القراءة" ولكن لديه أيضًا إمكانيات "edit_posts" و "delete_posts". هذا يعني أنهم قادرون على تعديل وحذف مشاركاتهم الخاصة.
يتمتع دور المستخدم المؤلف بإمكانيات كل من المشترك والمساهم مع الامتيازات الإضافية المعينة التالية:
- Delete_publish_posts
- Publish_posts
- تحميل الملفات
- Edit_published_posts
كما ترى ، تزداد الإمكانيات مع زيادة هيكل دور المستخدم الذي تنقله ، مع حصول المسؤول المتميز على أعلى مجموعة من الامتيازات. لذلك دعونا ننظر إلى كل دور بمزيد من التفصيل قليلاً ، بترتيب تنازلي.
دور المسؤول المتميز في WordPress
يعد WordPress Super Administrator هو أعلى مستوى لدور مستخدم WordPress ، وبالتالي ، فإن لديهم جميع الإمكانات المتاحة. يتمثل الاختلاف بين المسؤول المتميز والمسؤول في أنه يمكن نقل هذه الإمكانات عبر المواقع داخل شبكة WordPress متعددة المواقع.
للتوضيح ، إليك الفرق بين مواقع / شبكات WordPress المختلفة:
شبكة WordPress متعددة المواقع - نوع من تثبيت WordPress يسمح لك بإنشاء وإدارة شبكة من مواقع ويب متعددة من لوحة تحكم WordPress واحدة.
موقع WordPress على شبكة متعددة المواقع (موقع تابع) - موقع WordPress داخل شبكتك متعددة المواقع. يشارك موقع الطفل هذا المكونات الإضافية والموضوعات الخاصة بالمواقع الأخرى على الشبكة ولكن يمكن أن يكون له سمة فرعية خاصة به.
موقع WordPress مستقل - موقع مستقل هو تثبيت WordPress العادي الخاص بك. يحتوي على مجموعة فريدة من المكونات الإضافية والإعدادات والسمات.
يمكن للمسؤول المتميز (الموجود فقط في الشبكات متعددة المواقع) إنشاء مواقع فرعية وإدارتها ، وإنشاء مستخدمي الشبكة وإدارتها ، وتثبيت السمات والمكونات الإضافية وإزالتها ، وتمكينها عبر الشبكة مباشرةً.
على سبيل المثال ، لنفترض أنك تدير شبكة من ثلاثة متاجر للتجارة الإلكترونية يركز كل منها على شريحة معينة من المستهلكين - ملابس الرجال والنساء والأطفال. يمكن للمسؤول المتميز إجراء تغييرات تنعكس على جميع هذه المواقع الثلاثة ، مثل تحديث أو تكوين المكون الإضافي WooCommerce.
دور مسؤول WordPress
يتمتع المسؤولون بجميع الإمكانات ، مثلهم مثل المشرفين المتميزين. ومع ذلك ، فإن هذه الأذونات تقتصر على نطاق موقع ويب واحد. وتشمل هذه القدرات ، على سبيل المثال لا الحصر ، ما يلي:
- قم بتثبيت وإلغاء تثبيت وتنشيط وإلغاء تنشيط وتعديل وتحديث أي مكون إضافي لبرنامج WordPress.
- إنشاء محتوى جديد وقراءة وتعديل وحذف المحتوى الحالي. على سبيل المثال ، صفحات WordPress ومنشورات المدونات التي أنشأها أي مستخدم آخر. يتضمن ذلك المواد غير المنشورة والخاصة والمحمية بكلمة مرور.
- إنشاء مستخدمين جدد وتعديل وحذف المستخدمين الحاليين.
- تثبيت وتفعيل وإلغاء تنشيط سمات WordPress.
- تعديل ملفات سمات WordPress.
- إنشاء فئات جديدة أو تعديلها أو حذفها.
- إنشاء قوائم جديدة أو تعديل أو حذف قوائم WordPress الحالية.
- تحميل الملفات إلى ووردبريس.
- القدرة على نشر ترميز HTML وكود JavaScript في الصفحات والمشاركات والتعليقات (HTML غير المصفاة).
- تعليقات معتدلة.
تذكر أن هذه الإمكانات هي نفس قدرات المشرف المتميز. ومع ذلك ، يمتلك المسؤول المتميز هذه الامتيازات المنتشرة عبر مواقع متعددة داخل شبكة WordPress.
دور محرر WordPress
دور مستخدم المحرر هو مستوى الهيكل الذي يتم فيه تقييد الإمكانات. يركز دور المحرر على المحتوى ، كما هو الحال في إعداد النشر التقليدي. ليس لديهم أذونات تتضمن تكوين موقع WordPress الخاص بك أو إعداده أو وظائفه أو تصميمه.
تشمل قدراتهم:
- تعليقات معتدلة.
- قم بإنشاء محتوى جديد مثل منشورات المدونة وصفحات WordPress.
- قراءة وتعديل وحذف المحتوى الحالي مثل صفحات WordPress ومنشورات المدونة التي أنشأها أي مستخدم آخر. يتضمن هذا أيضًا المواد غير المنشورة والخاصة والمحمية بكلمة مرور.
دور مؤلف ووردبريس
بدءًا من المؤلف إلى أسفل ، أصبحت إمكانيات أدوار مستخدم WordPress أكثر تقييدًا. الفرد المعين دور مستخدم المؤلف لديه حق الوصول فقط إلى منشورات المدونة والملف الشخصي.
لذلك ، يمكنهم نشر منشورات المدونة الخاصة بهم وتعديل منشورات المدونة الحالية الخاصة بهم وتعديل ملف تعريف المستخدم الخاص بهم.
دور مساهم ووردبريس
على غرار دور المستخدم المؤلف ، يمكن للمساهمين كتابة منشورات مدونة. ومع ذلك ، لا يمكن للمساهمين في WordPress نشر منشورات المدونة الخاصة بهم. يجب الموافقة على جميع منشورات المدونة التي كتبها أحد المساهمين في WordPress ونشرها إما بواسطة محرر WordPress أو المسؤول.
دور مشترك ووردبريس
هذا هو الدور الافتراضي الذي يتم إصداره لأي شخص يقوم بالتسجيل للحصول على حساب على موقع WordPress. يمكن للمشترك قراءة المحتوى فقط وليس لديه حق الوصول لتعديل أي نوع من المحتوى على موقع WordPress. يمكنهم تعديل معلومات ملفهم الشخصي فقط.
أدوار مستخدم مخصصة لـ WordPress
أدوار مستخدم WordPress الموضحة أعلاه هي الأدوار الافتراضية "خارج الصندوق" المتوفرة في موقع WordPress قياسي. في بعض الحالات ، تقوم مكونات WordPress الإضافية بتثبيت أدوار المستخدم المخصصة الخاصة بها ، مع إرفاق إمكانات محددة لأداء هذا الدور.
على سبيل المثال ، سيلاحظ أولئك الذين يستخدمون WooCommerce دور مستخدم Store Manager. وبالمثل ، يقدم المكون الإضافي Yoast لتحسين محركات البحث (SEO) أدوار مستخدم SEO Editor و SEO Manager كاملة مع أذونات WordPress المميزة الخاصة بهم.
قد يكون إنشاء أدوار مستخدم WordPress مخصصة أمرًا يثير اهتمامك إذا كانت الأدوار الموجودة مسبقًا لا تناسب تمامًا الأغراض التي تريدها. على سبيل المثال ، يمكنك تشغيل موقع عضوية يتطلب منك منح المشتركين امتيازات أكثر من مجرد إمكانيات القراءة. إذا كان الأمر كذلك ، فإن مكونات WordPress الإضافية مثل محرر دور المستخدم تسمح لك بتخصيص الأذونات داخل كل دور لتلبية احتياجات عملك المحددة بشكل أفضل.
كيفية استخدام أدوار مستخدم WordPress لتحسين الأمان
تلعب أدوار مستخدم WordPress دورًا مهمًا في الأمان العام لموقع الويب الخاص بك. يمكن أن يكون للفعل البسيط المتمثل في تخصيص الكثير من القدرات إلى الشخص الخطأ عواقب وخيمة. مع وضع ذلك في الاعتبار ، يجب أن تحصل على تعيينات دور المستخدم الخاصة بك بشكل صحيح.
قم بتعيين الدور المناسب للشخص المناسب
تمامًا كما هو الحال في أي عمل تجاري تقليدي ، لا تمنح نفس الحقوق والمسؤوليات لموظفيك الأدنى أو المتعاقدين الخارجيين كما تفعل مع صاحب العمل.
على سبيل المثال ، عند الإشارة إلى موقع WordPress ، يحتاج مطورو الويب إلى وصول على مستوى المسؤول لإجراء التغييرات اللازمة على وظائف موقع الويب الخلفي. ومع ذلك ، يجب أن يكون لديهم معلومات تسجيل دخول المستخدم الخاصة بهم ، والتي يمكنك أن تظل متحكمًا فيها.
وينطبق الشيء نفسه على المؤلفين والمساهمين إذا كنت تدير مدونة ، أو مديري المتجر والمنتج إذا كنت تدير متجرًا للتجارة الإلكترونية. يجب أن تكون مسيطرًا بصفتك مشرف الموقع لعدة أسباب.
لمزيد من المعلومات حول هذا الأمر ، يعد دليلنا حول مبدأ الامتيازات الأقل مكانًا جيدًا للبدء.
تُعد مشاركة بيانات الاعتماد تهديدًا أمنيًا
قد يبدو إعارة معلومات مستخدم WordPress الخاصة بك إلى شخص آخر غير ضار ، لكنها ليست آمنة. يمكن اعتراض بيانات الاعتماد التي يتم تمريرها عبر البريد الإلكتروني ، ويمكن أن يتم اختراق النسخ المطبوعة بالسرعة نفسها.
كشفت دراسة أجريت عام 2019 أن 74٪ من خروقات البيانات كانت نتيجة إساءة استخدام بيانات الاعتماد ذات الوصول المتميز. والأسوأ من ذلك ، وجد نفس التقرير أن ما يصل إلى 65٪ يشاركون في الوصول إلى الجذر أو الوصول المميز إلى الأنظمة (مثل WordPress) على الأقل في كثير من الأحيان. *
أحد أسباب ارتفاع عدد خروقات البيانات هو أن بيانات الاعتماد المشتركة تميل إلى تعزيز كلمات المرور الضعيفة. بينما توفر كلمات المرور سهلة التذكر الوقت لمالكي مواقع WordPress ، فإنها تمثل نقطة ضعف في أمان موقعك ، مما يجعلها مفتوحة أمام القوة الغاشمة وهجمات القاموس.
أخيرًا ، إذا منحت العديد من الأفراد الوصول إلى دور مستخدم WordPress واحد على موقعك ، فلن تتمكن من تتبع من قام بتغيير ما إلى موقع الويب الخاص بك. مع وجود العديد من الأشخاص الذين لديهم إمكانية الوصول إلى اسم مستخدم وكلمة مرور واحدة ، كيف يمكنك فك تشفير الشخص المسؤول عن الأنشطة التي يتم تنفيذها في إطار دور المستخدم هذا؟
احتفظ بسجلات المستخدمين بأدوار مختلفة
للأسباب الموضحة أعلاه ، تحتاج إلى منح كل مساهم في موقع WordPress الخاص بك تسجيل الدخول ودور المستخدم. من الجيد بعد ذلك استخدام مكون إضافي لمراقبة نشاط كل مستخدم لتتبع الأعمال التي يتم إجراؤها مع زيادة أمان الموقع.
باستخدام ملحق WP Activity Log الإضافي ، يمكنك الاحتفاظ بسجل نشاط لكل تغيير يقوم به مستخدمو WordPress لديك. من خلال تثبيت هذا المكون الإضافي ، يمكنك تخزين سجل نشاط شامل وتحليله ، وتلقي تنبيهات في الوقت الفعلي عندما يقوم المستخدم بإجراء تغييرات مهمة في الموقع. يمكنك أيضًا مراقبة المستخدمين في الوقت الفعلي للتأكد من قيامهم بمهامهم كما ينبغي.
هذه الميزات مفيدة بشكل خاص إذا كنت تدير مواقع ويب فردية كبيرة مع عدة أقسام (كما هو الحال في كثير من الأحيان في التجارة الإلكترونية). أو تقوم بتشغيل شبكة متعددة المواقع كمسؤول متميز. مع قيام العديد من الأفراد بإجراء تغييرات مستمرة ، يمكنك استخدام المكون الإضافي WP Activity Log للبحث في سجلات النشاط وتحديد وقت إجراء تغييرات معينة على موقع WordPress (ومن قبل من).
تحسين أدوار المستخدم في WordPress
تلعب أدوار مستخدم WordPress دورًا حيويًا في الهيكل التنظيمي لموقعك على الويب. لتقليل مشكلات الأمان ، يجب تعيين دور كل مستخدم والقدرات المرتبطة به بعناية. كلما زاد نمو موقعك ، زادت أهمية أدوار المستخدم.
في كثير من الحالات ، ينبغي تجنب تقاسم أوراق الاعتماد بين الأفراد بأي ثمن. بينما قد تكون قادرًا على الإشراف على عدد قليل من المستخدمين ، عندما يكون هناك العديد من أعضاء الفريق المعينين لكل دور مستخدم ، فأنت بحاجة إلى برنامج مثل المكون الإضافي WP Activity Log لتتبع التغييرات التي تم إجراؤها على موقعك بدقة.
لماذا لا تبدأ الإصدار التجريبي المجاني لمدة 14 يومًا لموقع الويب الخاص بك على WordPress اليوم؟
نصيحة إضافية
تعد كلمات المرور الضعيفة واحدة من أكبر التهديدات لموقع WordPress الخاص بك. مع وجود العديد من المستخدمين على موقع الويب الخاص بك ، تحتاج إلى التأكد من أنهم جميعًا يستخدمون كلمات مرور قوية للحماية من المتسللين.
باستخدام WPassword ، يمكنك التأكد من أن كل شخص لديه تسجيل دخول إلى موقع الويب الخاص بك يستخدم كلمة مرور آمنة. يمكنك أيضًا مضاعفة ترتيبات الأمان الخاصة بك عن طريق تنفيذ مصادقة ثنائية لمستخدميك باستخدام المكون الإضافي WP 2FA.
* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4