향상된 WordPress 보안을 위해 WordPress 사용자 역할을 사용하는 방법
게시 됨: 2020-09-24콘텐츠 관리 시스템으로서 WordPress에는 설정된 사용자 역할이 있습니다. 본질적으로 이러한 WordPress 사용자 역할은 웹사이트의 각 개별 사용자의 기능(특정 웹사이트 작업을 수행할 수 있는 권한)을 정의합니다.
사이트가 성장함에 따라 웹 사이트의 지속적인 보안을 보장하기 위해 이러한 역할과 기능을 이해하는 것이 필수적입니다. 잘못된 사용자 역할을 할당하면 비참한 결과를 초래할 수 있기 때문입니다.
이 문서에서는 사용자 역할(사용자 지정 역할 포함)이 무엇인지 간략하게 설명하므로 이를 올바르게 할당하는 방법을 알 수 있습니다. 또한 WordPress 플러그인을 사용하여 WordPress 사용자의 활동을 관리하고 모니터링하는 방법을 다룹니다.
WordPress 사용자 역할의 기본 사항
WordPress 사이트에 대한 액세스 유형은 귀하가 가진 역할과 부여된 기능에 따라 결정됩니다.
- '역할'은 그룹/미리 정의된 기능 목록입니다. 그런 다음 사용자에게 역할이 할당되어 보유하고 있는 기능이 결정됩니다.
- '기능'은 기본적으로 해당 사용자 역할이 수행할 수 있는 것입니다(게시물 게시, 설정 변경 등).
예를 들어 편집자는 댓글 검토, 콘텐츠 게시, 새 콘텐츠 생성 등의 기능을 가진 사용자 역할입니다. 더 큰 뉴스나 블로그 웹사이트에서는 각각의 주제 섹션을 담당하는 여러 편집자가 있는 것이 일반적입니다.
일부 플러그인은 맞춤형 WordPress 사용자 역할을 추가하지만(곧 이에 대해 설명하겠습니다) 모든 표준 WordPress 사이트에는 6개의 기본 사용자 역할이 있습니다. 그것들은 다음과 같습니다:
- 최고 관리자
- 관리자
- 편집자
- 작가
- 기부자
- 구독자
WordPress 사용자 역할 기능 계층 구조 이해
역할 구조가 계층적이라는 것을 이해하는 것이 중요합니다. 각 사용자 역할에는 역할별 기능이 추가되어 그 아래에 있는 직위의 기능이 있습니다.
예를 들어 사용자 역할 피라미드의 맨 아래 구독자인 구독자를 살펴보겠습니다. 구독자 역할에는 '읽기' 기능만 연결되어 있습니다(즉, 귀하의 사이트에 있는 게시물만 읽을 수 있음).
다음 수준의 사용자 역할인 Contributor로 진행해 보겠습니다. 이 역할에는 '읽기' 기능이 있지만 'edit_posts' 및 'delete_posts' 기능도 있습니다. 즉, 자신의 게시물을 편집하고 삭제할 수 있습니다.
작성자 사용자 역할에는 다음과 같이 할당된 추가 권한이 있는 구독자 및 기여자의 기능이 있습니다.
- 삭제_게시_게시물
- 게시_게시물
- 파일 업로드하다
- 편집_게시된_게시물
보시다시피, 기능은 이동하는 사용자 역할 구조로 갈수록 증가하며 최고 관리자는 가장 높은 권한 집합을 갖습니다. 이제 각 역할을 내림차순으로 조금 더 자세히 살펴보겠습니다.
WordPress 최고 관리자 역할
WordPress 최고 관리자는 최고 수준의 WordPress 사용자 역할이므로 사용 가능한 모든 기능이 있습니다. 최고 관리자와 관리자의 차이점은 이러한 기능이 WordPress 다중 사이트 네트워크 내의 사이트 간에 전송될 수 있다는 것입니다.
명확성을 기하기 위해 다양한 WordPress 사이트/네트워크 간의 차이점은 다음과 같습니다.
WordPress 다중 사이트 네트워크 – 단일 WordPress 대시보드에서 여러 웹 사이트의 네트워크를 만들고 관리할 수 있는 WordPress 설치 유형입니다.
다중 사이트 네트워크의 WordPress 사이트(하위 사이트) – 다중 사이트 네트워크 내의 WordPress 사이트. 이 하위 사이트는 네트워크에 있는 다른 사이트의 플러그인과 테마를 공유하지만 자체 하위 테마를 가질 수 있습니다.
독립형 WordPress 사이트 – 독립형 사이트는 일반적인 WordPress 설치입니다. 고유한 플러그인, 설정 및 테마 세트가 있습니다.
최고 관리자(다중 사이트 네트워크에서만 볼 수 있음)는 하위 사이트를 생성 및 관리하고, 네트워크 사용자를 생성 및 관리하고, 테마와 플러그인을 설치 및 제거하고, 네트워크에서 바로 활성화할 수 있습니다.
예를 들어 남성복, 여성복, 아동복 등 특정 소비자 부문에 각각 초점을 맞춘 3개의 전자상거래 매장 네트워크를 운영하고 있다고 가정해 보겠습니다. 최고 관리자는 WooCommerce 플러그인 업데이트 또는 구성과 같이 세 사이트 모두를 반영하는 변경 작업을 수행할 수 있습니다.
워드프레스 관리자 역할
최고 관리자와 마찬가지로 관리자는 모든 기능을 가지고 있습니다. 그러나 이러한 권한은 하나의 웹사이트 범위로 제한됩니다. 이러한 기능에는 다음이 포함되지만 이에 국한되지는 않습니다.
- WordPress 플러그인을 설치 및 제거, 활성화 및 비활성화, 편집 및 업데이트하십시오.
- 새 콘텐츠를 만들고 기존 콘텐츠를 읽고 수정하고 삭제합니다. 예를 들어 다른 사용자가 만든 WordPress 페이지 및 블로그 게시물입니다. 여기에는 미공개, 비공개 및 비밀번호로 보호된 자료가 포함됩니다.
- 새 사용자를 만들고 기존 사용자를 수정 및 삭제합니다.
- WordPress 테마를 설치, 활성화 및 비활성화합니다.
- WordPress 테마 파일을 수정합니다.
- 기존 카테고리를 새로 생성, 수정 또는 삭제합니다.
- 기존 WordPress 메뉴를 새로 생성, 수정 또는 삭제합니다.
- 워드프레스에 파일을 업로드합니다.
- 페이지, 게시물 및 댓글에 HTML 마크업 및 JavaScript 코드를 게시하는 기능(필터링되지 않은 HTML).
- 댓글을 검토합니다.
이러한 기능은 최고 관리자와 동일합니다. 그러나 최고 관리자는 WordPress 네트워크 내의 여러 사이트에 이러한 권한이 분산되어 있습니다.
워드프레스 편집자 역할
기능이 제한되는 구조의 수준은 편집자 사용자 역할입니다. 편집자 역할은 기존 출판 환경에서와 같이 콘텐츠에 중점을 둡니다. 그들은 WordPress 웹 사이트의 구성, 설정, 기능 또는 디자인과 관련된 권한이 없습니다.
기능은 다음과 같습니다.
- 댓글을 검토합니다.
- 블로그 게시물 및 WordPress 페이지와 같은 새로운 콘텐츠를 만듭니다.
- 다른 사용자가 만든 WordPress 페이지 및 블로그 게시물과 같은 기존 콘텐츠를 읽고 수정하고 삭제합니다. 여기에는 미공개, 비공개 및 비밀번호로 보호된 자료도 포함됩니다.
워드프레스 작성자 역할
작성자 아래에서 WordPress 사용자 역할의 기능이 훨씬 더 제한됩니다. 작성자 사용자 역할로 지정된 개인은 자신의 블로그 게시물과 프로필에만 액세스할 수 있습니다.
따라서 블로그 게시물을 게시하고 기존 블로그 게시물을 수정하고 사용자 프로필을 수정할 수 있습니다.
WordPress 기여자 역할
작성자 사용자 역할과 유사하게 기고자는 블로그 게시물을 작성할 수 있습니다. 그러나 WordPress 기고자는 자신의 블로그 게시물을 게시할 수 없습니다. WordPress 기고자가 작성한 모든 블로그 게시물은 WordPress 편집기 또는 관리자가 승인하고 게시해야 합니다.
워드프레스 구독자 역할
이것은 WordPress 웹사이트에서 계정에 등록하기 위해 등록하는 모든 사람에게 부여되는 기본 역할입니다. 구독자는 콘텐츠를 읽을 수만 있고 WordPress 사이트의 콘텐츠 유형을 수정할 수 있는 액세스 권한이 없습니다. 프로필 정보만 수정할 수 있습니다.
WordPress 사용자 정의 사용자 역할
위에 설명된 WordPress 사용자 역할은 표준 WordPress 사이트에서 제공되는 기본 '즉시 사용 가능한' 역할입니다. 경우에 따라 WordPress 플러그인은 해당 역할을 수행하기 위해 연결된 특정 기능과 함께 자체 사용자 지정 사용자 역할을 설치합니다.
예를 들어 WooCommerce를 사용하는 사용자는 Store Manager 사용자 역할을 알 수 있습니다. 마찬가지로, SEO 플러그인 Yoast는 고유한 WordPress 권한이 있는 SEO 편집기 및 SEO 관리자 사용자 역할을 도입합니다.
기존 역할이 원하는 목적에 적합하지 않은 경우 사용자 지정 WordPress 사용자 역할을 만드는 것이 흥미로울 수 있습니다. 예를 들어 구독자에게 단순한 읽기 기능보다 더 많은 권한을 부여해야 하는 회원 사이트를 운영할 수 있습니다. 이 경우 사용자 역할 편집기와 같은 WordPress 플러그인을 사용하면 특정 비즈니스 요구 사항을 더 잘 충족할 수 있도록 각 역할 내에서 권한을 사용자 지정할 수 있습니다.
보안을 개선하기 위해 WordPress 사용자 역할을 사용하는 방법
WordPress 사용자 역할은 웹사이트의 전반적인 보안에서 중요한 역할을 합니다. 잘못된 사람에게 너무 많은 기능을 할당하는 단순한 행위는 잠재적으로 재앙적인 결과를 초래할 수 있습니다. 이를 염두에 두고 사용자 역할 할당을 올바르게 해야 합니다.
적절한 사람에게 적절한 역할 할당
기존의 비즈니스에서와 마찬가지로 하위 직원이나 외부 계약자에게 비즈니스 소유자와 동일한 권리와 책임을 부여하지 않습니다.
예를 들어, WordPress 사이트를 참조할 때 웹 개발자는 백엔드 웹 사이트 기능에 필요한 변경을 수행하기 위해 관리자 수준 액세스 권한이 필요합니다. 그러나 사용자가 계속 제어할 수 있는 고유한 특정 사용자 로그인이 있어야 합니다.
블로그를 운영하는 경우 작성자 및 기고자, 전자 상거래 상점을 운영하는 경우 상점 및 제품 관리자도 마찬가지입니다. 여러 가지 이유로 웹마스터로 제어해야 합니다.
이에 대한 자세한 내용은 최소 권한 원칙에 대한 가이드에서 시작하는 것이 좋습니다.
자격 증명 공유는 보안 위협입니다.
WordPress 사용자 정보를 다른 사람에게 빌려주는 것은 무해해 보일 수 있지만 전혀 안전하지 않습니다. 이메일을 통해 전달된 자격 증명은 가로챌 수 있으며 인쇄된 버전도 마찬가지로 빠르게 손상될 수 있습니다.
2019년 연구에 따르면 데이터 침해의 74%가 권한 있는 액세스 자격 증명 남용의 결과였습니다. 설상가상으로, 동일한 보고서에 따르면 최대 65%가 시스템(예: WordPress)에 대한 루트 또는 권한 있는 액세스를 적어도 다소 자주 공유하고 있습니다.*
데이터 유출이 높은 이유는 공유 자격 증명이 약한 암호를 조장하는 경향이 있기 때문입니다. 기억하기 쉬운 비밀번호는 WordPress 사이트 소유자의 시간을 절약해 주지만 사이트 보안에 약점을 보여 무차별 대입 공격과 사전 공격에 노출될 수 있습니다.
마지막으로, 사이트에서 하나의 WordPress 사용자 역할에 여러 개인에게 액세스 권한을 부여하면 웹사이트에서 누가 무엇을 변경했는지 추적할 수 없습니다. 여러 사람이 하나의 사용자 이름과 암호에 액세스할 수 있는 경우 해당 사용자 역할에 따라 수행되는 활동에 대해 책임이 있는 개인을 어떻게 해독할 수 있습니까?
다른 역할을 가진 사용자의 로그 유지
위에 설명된 이유로 WordPress 사이트의 각 기고자에게 고유한 로그인 및 사용자 역할을 부여해야 합니다. 그런 다음 플러그인을 사용하여 각 사용자의 활동을 모니터링하여 사이트 보안을 강화하면서 수행된 작업을 추적하는 것이 좋습니다.
WP 활동 로그 플러그인을 사용하면 WordPress 사용자가 수행한 모든 단일 변경에 대한 활동 로그를 유지할 수 있습니다. 이 플러그인을 설치하면 포괄적인 활동 로그를 저장 및 분석하여 사용자가 중요한 사이트 변경을 수행할 때 실시간 경고를 수신할 수 있습니다. 또한 사용자를 실시간으로 모니터링하여 사용자가 해야 하는 대로 작업을 수행하고 있는지 확인할 수 있습니다.
이러한 기능은 여러 부서가 있는 대규모 단일 웹사이트를 운영하는 경우 특히 유용합니다(전자 상거래의 경우 자주 발생함). 또는 다중 사이트 네트워크를 최고 관리자로 실행합니다. 많은 개인이 지속적으로 변경하기 때문에 WP 활동 로그 플러그인을 사용하여 활동 로그를 검색하고 WordPress 사이트(누구에 의해)에 특정 변경이 수행되었는지 정확히 파악할 수 있습니다.
WordPress에서 사용자 역할 최적화
WordPress 사용자 역할은 웹사이트의 조직 구조에서 중요한 역할을 합니다. 보안 문제를 최소화하려면 각 사용자 역할과 관련 기능을 신중하게 할당해야 합니다. 사이트가 커질수록 사용자 역할이 더 중요해집니다.
많은 경우에 개인 간의 자격 증명 공유는 어떤 대가를 치르더라도 피해야 합니다. 소수의 사용자를 감독할 수 있지만 각 사용자 역할에 지정된 여러 팀 구성원이 있는 경우 사이트의 변경 사항을 정확하게 추적하려면 WP 활동 로그 플러그인과 같은 소프트웨어가 필요합니다.
지금 WordPress 웹사이트에 대한 14일 무료 평가판을 시작하지 않으시겠습니까?
보너스 팁
약한 암호는 WordPress 사이트에 대한 가장 큰 위협 중 하나입니다. 웹사이트에 많은 사용자가 있으므로 해커로부터 보호하기 위해 모두 강력한 암호를 사용하고 있는지 확인해야 합니다.
WPassword를 사용하면 웹사이트에 로그인한 모든 사람이 보안 암호를 사용하도록 할 수 있습니다. WP 2FA 플러그인을 사용하여 사용자에 대한 이중 인증을 구현하여 보안 조치를 두 배로 늘릴 수도 있습니다.
* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4