Cómo usar los roles de usuario de WordPress para mejorar la seguridad de WordPress
Publicado: 2020-09-24Como sistema de gestión de contenido, WordPress tiene roles de usuario establecidos. En esencia, estos roles de usuario de WordPress definen las capacidades (permisos para realizar tareas específicas del sitio web) de cada usuario individual en su sitio web.
A medida que su sitio crece, es esencial comprender esos roles y capacidades para garantizar la seguridad continua de su sitio web. Dado que la asignación de roles de usuario incorrectos podría tener consecuencias desastrosas.
En este artículo, describiremos qué son los roles de usuario (incluidos los roles personalizados), para que sepa cómo asignarlos correctamente. También cubriremos cómo usar los complementos de WordPress para administrar y monitorear la actividad de sus usuarios de WordPress.
Los conceptos básicos de los roles de usuario de WordPress
El tipo de acceso que tiene a un sitio de WordPress está determinado por el rol que tiene y, por lo tanto, las capacidades que tiene.
- Un 'rol' es un grupo/lista predefinida de capacidades. Como usuario, se le asigna un rol, que determina qué capacidades tiene.
- Las "capacidades" son esencialmente lo que puede hacer ese rol de usuario (publicar publicaciones, cambiar configuraciones, etc.)
Por ejemplo, un Editor es un rol de usuario que tiene capacidades como moderar comentarios, publicar contenido y crear contenido nuevo, por nombrar algunos. En un sitio web de blogs o noticias más grande, es normal tener varios editores, cada uno a cargo de sus respectivas secciones temáticas.
Si bien algunos complementos agregan funciones de usuario de WordPress personalizadas (lo abordaremos en breve), hay seis funciones de usuario predeterminadas con cada sitio estándar de WordPress. Son los siguientes:
- Superadministrador
- Administrador
- Editor
- Autor
- Contribuyente
- Abonado
Comprensión de la jerarquía de capacidades de roles de usuario de WordPress
Es importante entender que la estructura de roles es jerárquica. Cada rol de usuario tiene las capacidades de las posiciones debajo de él, con la adición de algunas capacidades específicas del rol.
Por ejemplo, echemos un vistazo a la parte inferior de la pirámide de roles de usuario, el Suscriptor. Un rol de Suscriptor solo tiene la capacidad de 'lectura' adjunta (lo que significa que solo pueden leer publicaciones en su sitio).
Pasemos al siguiente nivel de rol de usuario, Colaborador. Este rol tiene la capacidad de 'leer' pero también tiene las capacidades de 'editar_mensajes' y 'eliminar_mensajes'. Esto significa que pueden editar y eliminar sus propias publicaciones.
El rol de usuario Autor tiene las capacidades tanto de Suscriptor como de Colaborador con los siguientes privilegios adicionales asignados:
- Eliminar_publicar_publicaciones
- Publicar_publicaciones
- Subir archivos
- Editar_publicaciones_publicadas
Como puede ver, las capacidades aumentan a medida que avanza en la estructura de roles de usuario, y el superadministrador tiene el conjunto más alto de privilegios. Así que veamos cada rol con un poco más de detalle, en orden descendente.
Rol de superadministrador de WordPress
El superadministrador de WordPress es el rol de usuario de WordPress de más alto nivel, por lo tanto, tienen todas las capacidades disponibles. La diferencia entre un superadministrador y un administrador es que esas capacidades se pueden transferir entre sitios dentro de una red multisitio de WordPress.
Para mayor claridad, aquí está la diferencia entre diferentes sitios/redes de WordPress:
Red multisitio de WordPress : un tipo de instalación de WordPress que le permite crear y administrar una red de múltiples sitios web desde un único panel de WordPress.
Un sitio de WordPress en una red multisitio (sitio secundario) : un sitio de WordPress dentro de su red multisitio. Este sitio secundario comparte los complementos y el tema de otros sitios en la red, pero puede tener su propio tema secundario.
Un sitio de WordPress independiente : un sitio independiente es su instalación normal de WordPress. Tiene su propio conjunto único de complementos, configuraciones y temas.
Un superadministrador (que solo se encuentra en redes multisitio) puede crear y administrar subsitios, crear y administrar usuarios de red, instalar y eliminar temas y complementos, y habilitarlos en toda la red.
Por ejemplo, supongamos que opera una red de tres tiendas de comercio electrónico, cada una de las cuales se enfoca en un segmento de consumidores específico: ropa para hombres, mujeres y niños. Un superadministrador podría realizar cambios que se reflejen en esos tres sitios, como actualizar o configurar el complemento WooCommerce.
Rol de administrador de WordPress
Al igual que los superadministradores, los administradores tienen todas las capacidades. Sin embargo, esos permisos están limitados al alcance de un sitio web. Esas capacidades incluyen, entre otras, las siguientes:
- Instala y desinstala, activa y desactiva, edita y actualiza cualquier complemento de WordPress.
- Cree contenido nuevo, lea, modifique y elimine contenido existente. Por ejemplo, páginas de WordPress y publicaciones de blog creadas por cualquier otro usuario. Esto incluye materiales no publicados, privados y protegidos con contraseña.
- Crear nuevos usuarios, modificar y eliminar usuarios existentes.
- Instalar, activar y desactivar temas de WordPress.
- Modificar archivos de temas de WordPress.
- Cree nuevas categorías, modifique o elimine categorías existentes.
- Cree nuevos menús de WordPress, modifique o elimine los existentes.
- Subir archivos a WordPress.
- Capacidad para publicar marcado HTML y código JavaScript en páginas, publicaciones y comentarios (HTML sin filtrar).
- Comentarios moderados.
Recuerde, estas capacidades son las mismas que las del superadministrador. Sin embargo, un superadministrador tiene estos privilegios distribuidos en múltiples sitios dentro de una red de WordPress.
Rol de editor de WordPress
El nivel de la estructura en el que se restringen las capacidades es el rol de usuario Editor. El rol de editor se centra en el contenido, como en un entorno de publicación tradicional. No tienen permisos que involucren la configuración, configuración, funcionalidad o diseño de su sitio web de WordPress.
Sus capacidades incluyen:
- Comentarios moderados.
- Cree contenido nuevo, como publicaciones de blog y páginas de WordPress.
- Lea, modifique y elimine contenido existente, como páginas de WordPress y publicaciones de blog creadas por cualquier otro usuario. Esto también incluye materiales no publicados, privados y protegidos con contraseña.
Rol de autor de WordPress
Desde Autor hacia abajo, las capacidades de los roles de usuario de WordPress se vuelven mucho más restringidas. Una persona designada con la función de usuario Autor solo tiene acceso a sus publicaciones de blog y perfil.
Por lo tanto, pueden publicar sus publicaciones de blog, modificar sus propias publicaciones de blog existentes y modificar su perfil de usuario.
Rol de colaborador de WordPress
Similar al rol de usuario Autor, los Colaboradores pueden escribir publicaciones de blog. Sin embargo, los colaboradores de WordPress no pueden publicar sus propias publicaciones de blog. Todas las publicaciones de blog escritas por un colaborador de WordPress deben ser aprobadas y publicadas por un editor o administrador de WordPress.
Rol de suscriptor de WordPress
Este es el rol predeterminado que se otorga a cualquier persona que se registre para obtener una cuenta en un sitio web de WordPress. Un Suscriptor solo puede leer contenido y no tiene acceso para modificar ningún tipo de contenido en un sitio de WordPress. Solo pueden modificar la información de su perfil.
Roles de usuario personalizados de WordPress
Los roles de usuario de WordPress descritos anteriormente son los roles 'listos para usar' predeterminados proporcionados en un sitio estándar de WordPress. En algunos casos, los complementos de WordPress instalan sus propios roles de usuario personalizados, con capacidades específicas adjuntas para desempeñar ese rol.
Por ejemplo, aquellos de ustedes que usan WooCommerce notarán un rol de usuario de Store Manager. Del mismo modo, el complemento SEO Yoast presenta los roles de usuario de SEO Editor y SEO Manager completos con sus propios permisos distintos de WordPress.
La creación de roles de usuario de WordPress personalizados puede ser algo de su interés si los roles preexistentes no se ajustan a los propósitos deseados. Por ejemplo, puede ejecutar un sitio de membresía que requiera que otorgue a los Suscriptores muchos más privilegios que las meras capacidades de lectura. Si ese es el caso, los complementos de WordPress, como el Editor de roles de usuario, le permiten personalizar los permisos dentro de cada rol para satisfacer mejor sus necesidades comerciales específicas.
Cómo usar los roles de usuario de WordPress para mejorar la seguridad
Los roles de usuario de WordPress tienen un papel importante que desempeñar en la seguridad general de su sitio web. El simple acto de asignar demasiadas capacidades a la persona equivocada puede tener consecuencias potencialmente desastrosas. Con eso en mente, debe obtener las asignaciones correctas de roles de usuario.
Asignar el rol correcto a la persona correcta
Al igual que en cualquier negocio tradicional, no otorga los mismos derechos y responsabilidades a sus empleados de nivel inferior o contratistas externos que al propietario del negocio.
Por ejemplo, al referirse a un sitio de WordPress, los desarrolladores web necesitan acceso de nivel de administrador para realizar los cambios necesarios en las funciones del sitio web de back-end. Sin embargo, deben tener su propio inicio de sesión de usuario específico, del cual usted puede mantener el control.
Lo mismo se aplica a los autores y colaboradores si tiene un blog, o a los gerentes de tienda y productos si tiene una tienda de comercio electrónico. Debe tener el control como webmaster por varias razones.
Para obtener más información sobre esto, nuestra guía sobre el principio de privilegios mínimos es un buen lugar para comenzar.
Compartir credenciales es una amenaza para la seguridad
Prestar su información de usuario de WordPress a otra persona puede parecer inofensivo, pero es cualquier cosa menos seguro. Las credenciales enviadas por correo electrónico pueden interceptarse y las versiones impresas pueden verse comprometidas con la misma rapidez.
Un estudio de 2019 descubrió que el 74 % de las violaciones de datos se debieron al abuso de credenciales de acceso privilegiado. Peor aún, el mismo informe encontró que hasta el 65 % comparte acceso raíz o privilegiado a sistemas (como WordPress) al menos con cierta frecuencia.*
Una de las razones por las que las violaciones de datos son tan altas es que las credenciales compartidas tienden a fomentar contraseñas débiles. Si bien las contraseñas fáciles de recordar ahorran tiempo a los propietarios de sitios de WordPress, presentan una debilidad en la seguridad de su sitio, dejándolo abierto a ataques de fuerza bruta y de diccionario.
Por último, si otorga acceso a muchas personas a un rol de usuario de WordPress en su sitio, no podrá rastrear quién ha cambiado qué en su sitio web. Con varias personas que tienen acceso a un nombre de usuario y contraseña, ¿cómo descifrará qué individuo es responsable de las actividades realizadas bajo ese rol de usuario?
Mantenga registros de usuarios con diferentes roles
Por las razones descritas anteriormente, debe otorgar a cada colaborador de su sitio de WordPress su propio inicio de sesión y función de usuario. Entonces es una buena idea usar un complemento para monitorear la actividad de cada usuario para rastrear los trabajos realizados mientras aumenta la seguridad del sitio.
Con el complemento WP Activity Log, puede mantener un registro de actividad de cada cambio realizado por sus usuarios de WordPress. Al instalar este complemento, puede almacenar y analizar un registro de actividad completo y recibir alertas en tiempo real cuando un usuario realiza cambios críticos en el sitio. También puede monitorear a los usuarios en tiempo real para asegurarse de que estén realizando sus tareas como deben.
Estas características son especialmente beneficiosas si opera sitios web grandes y singulares con varios departamentos (como suele ser el caso en el comercio electrónico). O ejecuta una red multisitio como superadministrador. Con tantas personas haciendo cambios constantes, puede usar el complemento de registro de actividad de WP para buscar en los registros de actividad y señalar cuándo se realizaron cambios específicos en un sitio de WordPress (y por quién).
Optimización de roles de usuario en WordPress
Los roles de usuario de WordPress tienen un papel vital que desempeñar en la estructura organizativa de su sitio web. Para minimizar los problemas de seguridad, cada rol de usuario y sus capacidades asociadas deben asignarse cuidadosamente. Cuanto más crece su sitio, más importantes se vuelven los roles de los usuarios.
En muchos casos, se debe evitar a toda costa compartir credenciales entre individuos. Si bien es posible que pueda supervisar a algunos usuarios, cuando hay varios miembros del equipo designados para cada rol de usuario, necesita un software como el complemento WP Activity Log para realizar un seguimiento preciso de los cambios realizados en su sitio.
¿Por qué no comienza hoy su prueba gratuita de 14 días para su sitio web de WordPress?
Consejo de bonificación
Las contraseñas débiles son una de las mayores amenazas para su sitio de WordPress. Con tantos usuarios en su sitio web, debe asegurarse de que todos usen contraseñas seguras para protegerse contra los piratas informáticos.
Con WPassword, puede asegurarse de que todos los que inicien sesión en su sitio web usen una contraseña segura. También puede duplicar sus arreglos de seguridad implementando la autenticación de dos factores para sus usuarios con el complemento WP 2FA.
* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4