Come utilizzare i ruoli utente di WordPress per migliorare la sicurezza di WordPress
Pubblicato: 2020-09-24Come sistema di gestione dei contenuti, WordPress ha un set di ruoli utente. In sostanza, questi ruoli utente di WordPress definiscono le capacità (autorizzazioni per eseguire attività specifiche del sito Web) di ogni singolo utente sul tuo sito Web.
Man mano che il tuo sito cresce, è essenziale comprendere quei ruoli e capacità per garantire la continua sicurezza del tuo sito web. Poiché l'assegnazione di ruoli utente errati potrebbe portare a conseguenze disastrose.
In questo articolo, illustreremo quali sono i ruoli utente (inclusi i ruoli personalizzati), così saprai come assegnarli correttamente. Tratteremo anche come utilizzare i plugin di WordPress per gestire e monitorare l'attività dei tuoi utenti WordPress.
Le basi dei ruoli utente di WordPress
Il tipo di accesso che hai a un sito WordPress è determinato dal ruolo che hai e, quindi, dalle capacità che ti vengono assegnate.
- Un 'ruolo' è un gruppo/elenco predefinito di capacità. Come utente ti viene quindi assegnato un ruolo, che determina quali capacità hai.
- Le "capacità" sono essenzialmente ciò che il ruolo utente può fare (pubblicare post, modificare le impostazioni, ecc.)
Ad esempio, un Editor è un ruolo utente che dispone di funzionalità come la moderazione dei commenti, la pubblicazione di contenuti e la creazione di nuovi contenuti, solo per citarne alcuni. In un sito Web di notizie o blog più grandi, è normale avere diversi Editor, ciascuno responsabile delle rispettive sezioni tematiche.
Mentre alcuni plugin aggiungono ruoli utente WordPress personalizzati (ne parleremo a breve), ci sono sei ruoli utente predefiniti con ogni sito WordPress standard. Sono i seguenti:
- Super amministratore
- Amministratore
- Editore
- Autore
- Collaboratore
- Abbonato
Comprendere la gerarchia delle capacità dei ruoli utente di WordPress
È importante capire che la struttura dei ruoli è gerarchica. Ogni ruolo utente ha le capacità delle posizioni sottostanti, con l'aggiunta di alcune capacità specifiche del ruolo.
Ad esempio, diamo un'occhiata alla parte inferiore della piramide dei ruoli utente, l'Abbonato. Un ruolo di abbonato ha solo la capacità di "lettura" allegata (il che significa che possono solo leggere i post sul tuo sito).
Passiamo al livello successivo del ruolo utente, Collaboratore. Questo ruolo ha la capacità di 'lettura' ma ha anche le capacità di 'edit_posts' e 'delete_posts'. Ciò significa che sono in grado di modificare ed eliminare i propri post.
Il ruolo utente Autore ha le capacità sia di Sottoscrittore che di Collaboratore con i seguenti privilegi aggiuntivi assegnati:
- Elimina_pubblica_post
- Pubblica_post
- Caricare files
- Modifica post_pubblicati
Come puoi vedere, le capacità aumentano più in alto si sposta la struttura del ruolo utente, con il Super amministratore che ha il set più alto di privilegi. Quindi diamo un'occhiata a ciascun ruolo in modo leggermente più dettagliato, in ordine decrescente.
Ruolo di Super amministratore di WordPress
WordPress Super Administrator è il ruolo utente di WordPress di più alto livello, quindi hanno tutte le capacità disponibili. La differenza tra un Super amministratore e un amministratore è che queste capacità possono essere trasferite tra i siti all'interno di una rete multisito WordPress.
Per chiarezza, ecco la differenza tra diversi siti/reti WordPress:
Rete multisito di WordPress : un tipo di installazione di WordPress che consente di creare e gestire una rete di più siti Web da un'unica dashboard di WordPress.
Un sito WordPress su una rete multisito (sito figlio) : un sito WordPress all'interno della rete multisito. Questo sito figlio condivide i plugin e il tema di altri siti sulla rete ma può avere un proprio tema figlio.
Un sito WordPress autonomo : un sito autonomo è la normale installazione di WordPress. Ha il suo set unico di plugin, impostazioni e temi.
Un Super amministratore (che si trova solo su reti multisito) può creare e gestire siti secondari, creare e gestire utenti di rete, installare e rimuovere temi e plug-in e abilitarli direttamente attraverso la rete.
Ad esempio, supponiamo che tu gestisca una rete di tre negozi di e-commerce che si concentrano ciascuno su uno specifico segmento di consumatori: abbigliamento uomo, donna e bambino. Un Super amministratore sarebbe in grado di apportare modifiche che si riflettono su tutti e tre questi siti, come l'aggiornamento o la configurazione del plug-in WooCommerce.
Ruolo di amministratore di WordPress
Proprio come i super amministratori, gli amministratori hanno tutte le capacità. Tuttavia, tali autorizzazioni sono limitate all'ambito di un sito Web. Tali capacità includono, ma non sono limitate a, quanto segue:
- Installa e disinstalla, attiva e disattiva, modifica e aggiorna qualsiasi plugin di WordPress.
- Crea nuovo contenuto, leggi, modifica ed elimina contenuto esistente. Ad esempio, pagine WordPress e post di blog creati da qualsiasi altro utente. Ciò include materiali non pubblicati, privati e protetti da password.
- Crea nuovi utenti, modifica ed elimina utenti esistenti.
- Installa, attiva e disattiva i temi di WordPress.
- Modifica i file dei temi di WordPress.
- Crea nuove, modifica o elimina le categorie esistenti.
- Crea nuovi, modifica o elimina menu WordPress esistenti.
- Carica file su WordPress.
- Possibilità di pubblicare codice HTML e codice JavaScript in pagine, post e commenti (HTML non filtrato).
- Commenti moderati.
Ricorda, queste funzionalità sono le stesse del Super amministratore. Tuttavia, un Super amministratore ha questi privilegi distribuiti su più siti all'interno di una rete WordPress.
Ruolo di editore di WordPress
Il livello della struttura in cui le capacità vengono limitate è il ruolo utente Editor. Il ruolo di Editor è focalizzato sul contenuto, come in un ambiente di pubblicazione tradizionale. Non hanno autorizzazioni che coinvolgono la configurazione, l'installazione, la funzionalità o il design del tuo sito Web WordPress.
Le loro capacità includono:
- Commenti moderati.
- Crea nuovi contenuti come post di blog e pagine WordPress.
- Leggi, modifica ed elimina contenuti esistenti come pagine WordPress e post di blog creati da qualsiasi altro utente. Ciò include anche materiali non pubblicati, privati e protetti da password.
Ruolo dell'autore di WordPress
Dall'autore in giù, le capacità dei ruoli utente di WordPress diventano molto più limitate. Una persona designata con un ruolo utente Autore ha accesso solo ai post e al profilo del proprio blog.
Quindi, possono pubblicare i propri post sul blog, modificare i propri post del blog esistenti e modificare il proprio profilo utente.
Ruolo di collaboratore di WordPress
Simile al ruolo utente Autore, i collaboratori possono scrivere post sul blog. Tuttavia, i contributori di WordPress non possono pubblicare i propri post sul blog. Tutti i post del blog scritti da un collaboratore di WordPress devono essere approvati e pubblicati da un editor o amministratore di WordPress.
Ruolo di abbonato WordPress
Questo è il ruolo predefinito assegnato a chiunque si iscriva per registrare un account su un sito Web WordPress. Un abbonato può solo leggere il contenuto e non ha accesso per modificare alcun tipo di contenuto su un sito WordPress. Possono modificare solo le informazioni del loro profilo.
Ruoli utente personalizzati di WordPress
I ruoli utente di WordPress descritti sopra sono i ruoli predefiniti "pronti all'uso" forniti in un sito WordPress standard. In alcuni casi, i plugin di WordPress installano i propri ruoli utente personalizzati, con funzionalità specifiche collegate per svolgere quel ruolo.
Ad esempio, quelli di voi che utilizzano WooCommerce noteranno un ruolo utente Store Manager. Allo stesso modo, il plug-in SEO Yoast introduce i ruoli utente di SEO Editor e SEO Manager completi di autorizzazioni WordPress distinte.
La creazione di ruoli utente WordPress personalizzati potrebbe interessarti se i ruoli preesistenti non si adattano perfettamente agli scopi desiderati. Ad esempio, puoi gestire un sito di appartenenza che richiede di concedere agli abbonati molti più privilegi rispetto alle semplici capacità di lettura. In tal caso, i plug-in di WordPress come User Role Editor ti consentono di personalizzare le autorizzazioni all'interno di ciascun ruolo per soddisfare meglio le tue esigenze aziendali specifiche.
Come utilizzare i ruoli utente di WordPress per migliorare la sicurezza
I ruoli utente di WordPress hanno un ruolo significativo da svolgere nella sicurezza generale del tuo sito web. Il semplice atto di assegnare troppe capacità alla persona sbagliata può avere conseguenze potenzialmente disastrose. Con questo in mente, è necessario eseguire correttamente le assegnazioni dei ruoli utente.
Assegna il ruolo giusto alla persona giusta
Proprio come in qualsiasi attività tradizionale, non distribuisci gli stessi diritti e responsabilità ai tuoi dipendenti di basso rango o appaltatori esterni come fai al proprietario dell'azienda.
Ad esempio, quando si fa riferimento a un sito WordPress, gli sviluppatori Web necessitano dell'accesso a livello di amministratore per apportare le modifiche necessarie alle funzioni del sito Web di back-end. Tuttavia, dovrebbero avere il proprio accesso utente specifico, di cui puoi mantenere il controllo.
Lo stesso vale per Autori e Collaboratori se gestisci un blog, o Store e Product Manager se gestisci un negozio di e-commerce. Devi avere il controllo come webmaster per diversi motivi.
Per ulteriori informazioni al riguardo, la nostra guida sul principio dei privilegi minimi è un buon punto di partenza.
La condivisione delle credenziali è una minaccia alla sicurezza
Prestare le informazioni utente di WordPress a qualcun altro può sembrare innocuo, ma è tutt'altro che sicuro. Le credenziali trasferite tramite e-mail possono essere intercettate e le versioni stampate possono essere compromesse altrettanto rapidamente.
Uno studio del 2019 ha scoperto che il 74% delle violazioni dei dati era il risultato di un abuso delle credenziali di accesso privilegiato. Peggio ancora, lo stesso rapporto ha rilevato che fino al 65% condivide almeno un po' spesso l'accesso root o privilegiato ai sistemi (come WordPress).*
Un motivo per cui le violazioni dei dati sono così elevate è che le credenziali condivise tendono a favorire password deboli. Sebbene le password facili da ricordare facciano risparmiare tempo ai proprietari di siti WordPress, rappresentano un punto debole nella sicurezza del tuo sito, lasciandolo aperto alla forza bruta e agli attacchi dei dizionari.
Infine, se dai a molte persone l'accesso a un ruolo utente WordPress sul tuo sito, non sarai in grado di tracciare chi ha cambiato cosa al tuo sito web. Con più persone che hanno accesso a un nome utente e una password, come decifrare quale individuo è responsabile delle attività svolte con quel ruolo utente?
Conserva i registri degli utenti con ruoli diversi
Per i motivi sopra descritti, devi assegnare a ciascun collaboratore del tuo sito WordPress il proprio login e il proprio ruolo utente. È quindi una buona idea utilizzare un plug-in per monitorare l'attività di ciascun utente per tenere traccia dei lavori intrapresi aumentando la sicurezza del sito.
Con il plug-in WP Activity Log, puoi tenere un registro delle attività di ogni singola modifica apportata dai tuoi utenti WordPress. Installando questo plug-in, puoi archiviare e analizzare un registro attività completo, ricevendo avvisi in tempo reale quando un utente sta apportando modifiche critiche al sito. Puoi anche monitorare gli utenti in tempo reale per assicurarti che svolgano le loro attività come dovrebbero.
Queste funzionalità sono particolarmente vantaggiose se gestisci siti Web singoli di grandi dimensioni con più dipartimenti (come spesso accade nell'e-commerce). Oppure gestisci una rete multisito come Super amministratore. Con così tante persone che apportano modifiche costanti, puoi utilizzare il plug-in WP Activity Log per cercare nei registri delle attività e individuare quando sono state apportate modifiche specifiche a un sito WordPress (e da chi).
Ottimizzazione dei ruoli utente in WordPress
I ruoli utente di WordPress hanno un ruolo vitale da svolgere nella struttura organizzativa del tuo sito web. Per ridurre al minimo i problemi di sicurezza, è necessario assegnare con attenzione ogni ruolo utente e le relative capacità. Più il tuo sito cresce, più importanti diventano i ruoli utente.
In molti casi, la condivisione delle credenziali tra individui dovrebbe essere evitata a tutti i costi. Sebbene tu possa essere in grado di supervisionare alcuni utenti, quando ci sono più membri del team designati per ciascun ruolo utente, hai bisogno di un software come il plug-in WP Activity Log per tracciare accuratamente le modifiche apportate al tuo sito.
Perché non iniziare oggi la tua prova gratuita di 14 giorni per il tuo sito Web WordPress?
Suggerimento bonus
Le password deboli sono una delle maggiori minacce per il tuo sito WordPress. Con così tanti utenti sul tuo sito web, devi assicurarti che utilizzino password complesse per proteggersi dagli hacker.
Con WPassword, puoi assicurarti che tutti coloro che hanno un accesso al tuo sito Web utilizzino una password sicura. Puoi anche raddoppiare le tue disposizioni di sicurezza implementando l'autenticazione a due fattori per i tuoi utenti con il plug-in WP 2FA.
* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4