Cara menggunakan peran pengguna WordPress untuk meningkatkan keamanan WordPress

Sebagai sistem manajemen konten, WordPress memiliki peran pengguna yang ditetapkan. Intinya, peran pengguna WordPress ini menentukan kemampuan (izin untuk melakukan tugas situs web tertentu) dari setiap pengguna individu di situs web Anda.

Seiring pertumbuhan situs Anda, penting untuk memahami peran dan kemampuan tersebut untuk memastikan keamanan situs web Anda yang berkelanjutan. Karena menetapkan peran pengguna yang salah dapat menyebabkan konsekuensi bencana.

Dalam artikel ini, kami akan menjelaskan apa itu peran pengguna (termasuk peran khusus), jadi Anda akan tahu cara menetapkannya dengan benar. Kami juga akan membahas cara menggunakan plugin WordPress untuk mengelola dan memantau aktivitas pengguna WordPress Anda.

Dasar-dasar peran pengguna WordPress

Jenis akses yang Anda miliki ke situs WordPress ditentukan oleh peran apa yang Anda miliki dan oleh karena itu, kemampuan yang diberikan kepada Anda.

• 'Peran' adalah grup/daftar kemampuan yang telah ditentukan sebelumnya. Sebagai pengguna, Anda kemudian diberi peran, yang menentukan kemampuan apa yang Anda miliki.
• 'Kemampuan' pada dasarnya adalah apa yang dapat dilakukan oleh peran pengguna (memublikasikan posting, mengubah pengaturan, dll)

Misalnya, Editor adalah peran pengguna yang memiliki kemampuan seperti memoderasi komentar, menerbitkan konten, dan membuat konten baru, untuk beberapa nama. Di situs web berita atau blog yang lebih besar, biasanya memiliki beberapa Editor, masing-masing bertanggung jawab atas bagian topiknya masing-masing.

Sementara beberapa plugin menambahkan peran pengguna WordPress yang disesuaikan (kita akan segera membahas ini), ada enam peran pengguna default dengan setiap situs WordPress standar. Mereka adalah sebagai berikut:

• Administrator super
• Administrator
• Editor
• Pengarang
• Penyumbang
• pelanggan

Memahami hierarki kemampuan peran pengguna WordPress

Penting untuk dipahami bahwa struktur peran bersifat hierarkis. Setiap peran pengguna memiliki kemampuan posisi di bawahnya, dengan tambahan beberapa kemampuan khusus peran.

Misalnya, mari kita lihat bagian bawah piramida peran pengguna, Pelanggan. Peran Pelanggan hanya memiliki kemampuan 'baca' yang melekat padanya (yang berarti mereka hanya dapat membaca posting di situs Anda).

Mari maju ke tingkat peran pengguna berikutnya, Kontributor. Peran ini memiliki kemampuan 'read' tetapi juga memiliki kemampuan 'edit_posts' dan 'delete_posts'. Ini berarti bahwa mereka dapat mengedit dan menghapus posting mereka sendiri.

Peran pengguna Penulis memiliki kemampuan Pelanggan dan Kontributor dengan hak istimewa tambahan yang ditetapkan sebagai berikut:

• Hapus_publish_posts
• publish_posts
• Unggah berkas
• Edit_published_posts

Seperti yang Anda lihat, kemampuan semakin meningkat seiring dengan struktur peran pengguna yang Anda pindahkan, dengan Administrator Super yang memiliki hak istimewa tertinggi. Jadi mari kita lihat masing-masing peran dengan sedikit lebih detail, dalam urutan menurun.

Peran Administrator Super WordPress

WordPress Super Administrator adalah peran pengguna WordPress tingkat tertinggi, jadi karena itu, mereka memiliki semua kemampuan yang tersedia. Perbedaan antara Administrator Super dan Administrator adalah bahwa kemampuan tersebut dapat ditransfer ke seluruh situs dalam jaringan multisitus WordPress.

Untuk kejelasan, inilah perbedaan antara situs/jaringan WordPress yang berbeda:

Jaringan multisitus WordPress – jenis instalasi WordPress yang memungkinkan Anda membuat dan mengelola jaringan beberapa situs web dari satu dasbor WordPress.
Situs WordPress di jaringan multisitus (situs anak) – situs WordPress dalam jaringan multisitus Anda. Situs anak ini berbagi plugin dan tema situs lain di jaringan tetapi dapat memiliki tema anak sendiri.
Situs WordPress mandiri – situs mandiri adalah instalasi WordPress normal Anda. Ini memiliki set plugin, pengaturan, dan tema yang unik.

Administrator Super (hanya ditemukan di jaringan multisitus) dapat membuat dan mengelola subsitus, membuat dan mengelola pengguna jaringan, menginstal dan menghapus tema dan plugin, dan mengaktifkannya langsung di seluruh jaringan.

Misalnya, katakanlah Anda mengoperasikan jaringan tiga toko e-niaga yang masing-masing berfokus pada segmen konsumen tertentu – pakaian pria, wanita, dan anak-anak. Administrator Super akan dapat membuat perubahan yang mencerminkan ketiga situs tersebut, seperti memperbarui atau mengonfigurasi plugin WooCommerce.

Peran Administrator WordPress

Sama seperti Administrator Super, Administrator memiliki semua kemampuan. Namun, izin tersebut terbatas pada cakupan satu situs web. Kemampuan tersebut termasuk, namun tidak terbatas pada, sebagai berikut:

• Instal dan hapus instalan, aktifkan dan nonaktifkan, edit dan perbarui plugin WordPress apa pun.
• Buat konten baru, baca, ubah, dan hapus konten yang ada. Misalnya, halaman WordPress dan posting blog yang dibuat oleh pengguna lain. Ini termasuk materi yang tidak dipublikasikan, pribadi, dan dilindungi kata sandi.
• Buat pengguna baru, ubah dan hapus pengguna yang ada.
• Instal, aktifkan, dan nonaktifkan tema WordPress.
• Ubah file tema WordPress.
• Buat baru, ubah, atau hapus Kategori yang ada.
• Buat baru, ubah, atau hapus menu WordPress yang ada.
• Unggah file ke WordPress.
• Kemampuan untuk memposting markup HTML dan kode JavaScript di halaman, posting, dan komentar (HTML tanpa filter).
• Komentar moderat.

Ingat, kemampuan ini sama dengan Super Administrator. Namun, Administrator Super memiliki hak istimewa ini yang tersebar di beberapa situs dalam jaringan WordPress.

Peran Editor WordPress

Tingkat struktur di mana kemampuan menjadi terbatas adalah peran pengguna Editor. Peran Editor difokuskan pada konten, seperti dalam pengaturan publikasi tradisional. Mereka tidak memiliki izin yang melibatkan konfigurasi, pengaturan, fungsionalitas, atau desain situs web WordPress Anda.

Kemampuan mereka meliputi:

• Komentar moderat.
• Buat konten baru seperti posting blog dan halaman WordPress.
• Baca, ubah, dan hapus konten yang ada seperti halaman WordPress dan posting blog yang dibuat oleh pengguna lain. Ini juga termasuk materi yang tidak dipublikasikan, pribadi, dan dilindungi kata sandi.

Peran Penulis WordPress

Dari Penulis ke bawah, kemampuan peran pengguna WordPress menjadi jauh lebih terbatas. Seorang individu yang ditunjuk sebagai peran pengguna Penulis hanya memiliki akses ke posting blog dan profil mereka.

Jadi, mereka dapat mempublikasikan posting blog mereka, memodifikasi posting blog mereka yang sudah ada, dan memodifikasi profil pengguna mereka.

Peran Kontributor WordPress

Mirip dengan peran pengguna Penulis, Kontributor dapat menulis posting blog. Namun, kontributor WordPress tidak dapat mempublikasikan posting blog mereka sendiri. Semua posting blog yang ditulis oleh Kontributor WordPress harus disetujui dan diterbitkan oleh Editor atau Administrator WordPress.

Peran Pelanggan WordPress

Ini adalah peran default yang diberikan kepada siapa pun yang mendaftar untuk mendaftar akun di situs web WordPress. Pelanggan hanya dapat membaca konten dan tidak memiliki akses untuk mengubah jenis konten apa pun di situs WordPress. Mereka hanya dapat mengubah informasi profil mereka.

Peran pengguna kustom WordPress

Peran pengguna WordPress yang dijelaskan di atas adalah peran default 'di luar kotak' yang disediakan di situs WordPress standar. Dalam beberapa kasus, plugin WordPress menginstal peran pengguna khusus mereka sendiri, dengan kemampuan khusus yang dilampirkan untuk melakukan peran itu.

Misalnya, Anda yang menggunakan WooCommerce akan melihat peran pengguna Manajer Toko. Demikian juga, plugin SEO Yoast memperkenalkan peran pengguna Editor SEO dan Manajer SEO lengkap dengan izin WordPress mereka sendiri yang berbeda.

Membuat peran pengguna WordPress khusus mungkin menarik bagi Anda jika peran yang sudah ada sebelumnya tidak sesuai dengan tujuan yang Anda inginkan. Misalnya, Anda dapat menjalankan situs keanggotaan yang mengharuskan Anda memberi Pelanggan lebih banyak hak istimewa daripada sekadar kemampuan membaca. Jika demikian, plugin WordPress seperti Editor Peran Pengguna memungkinkan Anda untuk menyesuaikan izin dalam setiap peran untuk memenuhi kebutuhan bisnis spesifik Anda dengan lebih baik.

Cara menggunakan peran pengguna WordPress untuk meningkatkan keamanan

Peran pengguna WordPress memiliki peran penting dalam keamanan keseluruhan situs web Anda. Tindakan sederhana yang memberikan terlalu banyak kemampuan kepada orang yang salah dapat memiliki konsekuensi yang berpotensi membawa bencana. Dengan mengingat hal itu, Anda harus mendapatkan penetapan peran pengguna dengan benar.

Tetapkan peran yang tepat untuk orang yang tepat

Seperti halnya dalam bisnis tradisional mana pun, Anda tidak memberikan hak dan tanggung jawab yang sama kepada karyawan kelas bawah atau kontraktor luar seperti yang Anda lakukan kepada pemilik bisnis.

Misalnya, ketika merujuk ke situs WordPress, pengembang web memerlukan akses tingkat Administrator untuk membuat perubahan yang diperlukan pada fungsi situs web back-end. Namun, mereka harus memiliki login pengguna khusus mereka sendiri, yang dapat Anda kendalikan.

Hal yang sama berlaku untuk Penulis dan Kontributor jika Anda menjalankan blog, atau Manajer Toko dan Produk jika Anda menjalankan toko e-niaga. Anda harus memegang kendali sebagai webmaster karena beberapa alasan.

Untuk informasi lebih lanjut tentang ini, panduan kami tentang prinsip hak istimewa paling rendah adalah tempat yang baik untuk memulai.

Berbagi kredensial adalah ancaman keamanan

Meminjamkan informasi pengguna WordPress Anda kepada orang lain mungkin tampak tidak berbahaya, tetapi sama sekali tidak aman. Kredensial yang dikirimkan melalui email dapat disadap, dan versi cetak dapat dengan cepat disusupi.

Sebuah studi tahun 2019 menemukan bahwa 74% pelanggaran data adalah akibat dari penyalahgunaan kredensial akses istimewa. Lebih buruk lagi, laporan yang sama menemukan bahwa hingga 65% berbagi root atau akses istimewa ke sistem (seperti WordPress) setidaknya agak sering.*

Alasan pelanggaran data sangat tinggi adalah karena kredensial bersama cenderung mendorong kata sandi yang lemah. Meskipun kata sandi yang mudah diingat menghemat waktu bagi pemilik situs WordPress, kata sandi tersebut menghadirkan kelemahan dalam keamanan situs Anda, membiarkannya terbuka terhadap serangan brute force dan kamus.

Terakhir, jika Anda memberi banyak individu akses ke satu peran pengguna WordPress di situs Anda, Anda tidak akan dapat melacak siapa yang telah mengubah apa ke situs web Anda. Dengan beberapa orang yang memiliki akses ke satu nama pengguna dan kata sandi, bagaimana Anda akan menguraikan individu mana yang bertanggung jawab atas aktivitas yang dilakukan di bawah peran pengguna tersebut?

Simpan log pengguna dengan peran berbeda

Untuk alasan yang diuraikan di atas, Anda perlu memberi setiap kontributor ke situs WordPress Anda login dan peran pengguna mereka sendiri. Sebaiknya gunakan plugin untuk memantau aktivitas setiap pengguna untuk melacak pekerjaan yang dilakukan sambil meningkatkan keamanan situs.

Dengan plugin WP Activity Log, Anda dapat menyimpan log aktivitas dari setiap perubahan yang dilakukan oleh pengguna WordPress Anda. Dengan menginstal plugin ini, Anda dapat menyimpan dan menganalisis log aktivitas yang komprehensif, menerima peringatan waktu nyata ketika pengguna melakukan perubahan situs yang penting. Anda juga dapat memantau pengguna secara real-time untuk memastikan bahwa mereka menjalankan tugas mereka sebagaimana mestinya.

Fitur-fitur ini sangat bermanfaat jika Anda mengoperasikan situs web tunggal yang besar dengan beberapa departemen (seperti yang sering terjadi di e-niaga). Atau, Anda menjalankan jaringan multisitus sebagai Administrator Super. Dengan begitu banyak orang yang membuat perubahan konstan, Anda dapat menggunakan plugin WP Activity Log untuk mencari melalui log aktivitas dan menunjukkan dengan tepat kapan perubahan tertentu dibuat pada situs WordPress (dan oleh siapa).

Mengoptimalkan peran pengguna di WordPress

Peran pengguna WordPress memiliki peran penting dalam struktur organisasi situs web Anda. Untuk meminimalkan masalah keamanan, setiap peran pengguna dan kemampuan terkaitnya harus ditetapkan dengan hati-hati. Semakin banyak situs Anda tumbuh, semakin signifikan peran pengguna.

Dalam banyak kasus, berbagi kredensial antar individu harus dihindari dengan cara apa pun. Meskipun Anda mungkin dapat mengawasi beberapa pengguna, ketika ada beberapa anggota tim yang ditunjuk untuk setiap peran pengguna, Anda memerlukan perangkat lunak seperti plugin WP Activity Log untuk melacak perubahan yang dibuat pada situs Anda secara akurat.

Mengapa tidak memulai uji coba gratis 14 hari untuk situs web WordPress Anda hari ini?

tip bonus

Kata sandi yang lemah adalah salah satu ancaman terbesar bagi situs WordPress Anda. Dengan begitu banyak pengguna di situs web Anda, Anda perlu memastikan bahwa mereka semua menggunakan kata sandi yang kuat untuk melindungi dari peretas.

Dengan WPassword, Anda dapat memastikan setiap orang yang memiliki login ke situs web Anda menggunakan kata sandi yang aman. Anda juga dapat menggandakan pengaturan keamanan Anda dengan menerapkan otentikasi dua faktor untuk pengguna Anda dengan plugin WP 2FA.

* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4