Stosowanie zasady najmniejszych uprawnień w celu poprawy bezpieczeństwa WordPress

Opublikowany: 2021-07-27

Zasada najmniejszych uprawnień dla WordPressa nie trafia na pierwsze strony gazet, gdy dochodzi do włamań, utraty danych i ataków DoS. Jest to jednak jedna z najskuteczniejszych, jeśli przeoczona, najlepszych praktyk bezpieczeństwa dla witryn WordPress.

W tym poście na blogu najpierw definiujemy zasadę najmniejszych uprawnień, a następnie badamy, kiedy i gdzie ma ona zastosowanie, jakie jest ryzyko jej nieprzyjęcia i dlaczego wielu twórców witryn internetowych nadal nie wbudowuje jej w swoje witryny WordPress. Udostępniamy również kilka praktycznych zaleceń, dzięki którym możesz od razu zacząć poprawiać bezpieczeństwo swoich witryn WordPress. Ten wpis na blogu zawiera kilka ministudiów przypadków, które pomogą zilustrować jego zastosowanie w rzeczywistych warunkach.

Spis treści

  • Jaka jest zasada najmniejszych przywilejów?
  • Kiedy i gdzie ma zastosowanie zasada najmniejszych uprawnień?
  • Jakie są zagrożenia, jeśli PoLP nie jest stosowany?
  • Dlaczego wielu właścicieli stron internetowych zaniedbuje zasadę najmniejszych uprawnień w WordPressie?
  • Jak zastosować PoLP dla WordPress
    • Uprawnienia użytkownika bazy danych WordPress
    • Role i uprawnienia użytkowników WordPress
      • Tworzenie niestandardowych ról
    • Uprawnienia do plików i katalogów
    • Konfiguracja wtyczek WordPress
    • Dostęp FTP dla zewnętrznych wykonawców
  • Mini studia przypadków
    • Aplikacje internetowe e-commerce
    • Uniwersytety i instytucje edukacyjne
    • Serwisy informacyjne i blogi
    • Serwisy bankowe
    • Monitory zdrowia i kondycji
  • Korzystanie z zasady najmniejszych uprawnień dla WordPressa i nie tylko

Jaka jest zasada najmniejszych przywilejów?

Pomysł jest bardzo prosty: nie nadawać kontu użytkownika, procesowi lub programowi więcej praw dostępu, niż jest to potrzebne do realizacji wyznaczonych zadań. Jeśli chodzi o typową witrynę WordPress z blogiem, pomyśl o swoich redaktorach, autorach, współtwórcach i subskrybentach. Każdy z nich potrzebuje dostępu do mniej więcej zaplecza Twojej witryny.

Zasada najmniejszych uprawnień (PoLP) jest również znana jako „zasada najmniejszego uprawnienia”, „zasada minimalnych uprawnień” lub „konto najmniej uprzywilejowanego użytkownika” (LUA).

Rozważmy kilka prostych przykładów. Twoje maluchy często nie potrzebują dostępu do kuchni. Tak więc montujesz urządzenie kontroli dostępu, takie jak bramka bezpieczeństwa, w różnych punktach domu, aby umożliwić im wędrowanie do woli – z wyjątkiem niektórych pomieszczeń. We wspólnej, publicznej przestrzeni coworkingowej wylogowałbyś się z laptopa przed wyjściem na lunch. A pracownik parkingu Twojej eleganckiej restauracji będzie wymagał Twojego dowodu tożsamości lub biletu przed oddaniem kluczyków do Twojego samochodu. Kontrola dostępu zapobiega uszkodzeniom mienia Ciebie i Twoich użytkowników — niezależnie od tego, czy jest to przedmiot fizyczny, czy cyfrowy.

Kiedy i gdzie ma zastosowanie zasada najmniejszych uprawnień?

Prosta odpowiedź jest taka, że ​​ma to zastosowanie wszędzie: od malucha, który chce wspiąć się po schodach, po użytkowników na Twoim koncie hostingowym WordPress. Twój freelancer finansowy, który musi pobierać miesięczne faktury, nie potrzebuje takiego samego poziomu dostępu jak administrator strony. To samo dotyczy wszelkiego rodzaju uprzywilejowanych kont firmowych, systemów zarządzania plikami, dokumentacji strategii marketingowej lub menedżerów haseł.

Jakie są zagrożenia, jeśli PoLP nie jest stosowany?

Kontrolowanie dostępu do pewnych obszarów wydaje się oczywiste. W przeciwnym razie, czy nie opuszczasz witryny całkowicie z powodu kaprysu zalogowanego użytkownika – w tym tych, którzy mogą popełniać niewinne i nieumyślne błędy, a nawet nie są świadomi, że je popełnili, ani niezamierzonych wyników?

Pomyśl o następujących możliwych użytkownikach:

  • Nowy użytkownik zaczyna z niewielkim zrozumieniem konsekwencji biznesowych błędów w witrynie WordPress
  • Osoby z niewielkim doświadczeniem w administrowaniu WordPressem
  • Bez wiedzy o konsekwencjach pobierania nowych wersji WordPress lub wtyczek do woli lub aktualizacji ich bez uprzedniego wykonania kopii zapasowej
  • Osoby o ograniczonej świadomości bezpieczeństwa, tworzące nowych użytkowników lub zmieniające uprawnienia istniejących użytkowników
  • Ci, którzy nie wiedzą, jak radzić sobie ze zgłoszonymi błędami lub innymi problemami
  • Zewnętrzni współtwórcy wpisów na blogu, tacy jak partnerzy, freelancerzy i klienci, być może z odrobiną wiedzy na temat WordPressa, którzy mogą nawet „pomocnie” pobierać lub aktualizować wtyczki w Twojej witrynie — bez pytania

Oznacza to również, że cały backend WordPressa jest zagrożony przez inną nieuprawnioną osobę, na przykład osobę o niewłaściwym poziomie dostępu, która dodaje nowych użytkowników i daje im dostęp do obszarów witryny, w których mogą wyrządzić umyślne szkody.

Jak na przykład:

  • Zmienianie motywów, niestandardowych funkcji lub treści witryny internetowej dostępnej publicznie
  • Niewłaściwe obchodzenie się z zapasami, kodami SKU lub metadanymi produktów w sklepach e-commerce
  • Oferowanie nieautoryzowanych rabatów
  • Uzyskiwanie dostępu, zmienianie, pobieranie lub usuwanie kodu, szablonów stron, multimediów, konfiguracji lub personelu, klientów i innych typów plików
  • Uzyskiwanie dostępu do danych firmy, klientów, zdrowia lub danych finansowych, na przykład w celu nadużycia lub sprzedaży innym nikczemnym stronom
  • Przenoszenie witryny i jej produktów lub usług w trybie offline

Niezależnie od tego, czy korzystasz z WordPressa, czy nie, niektóre lub wszystkie z tych problemów mogą wystąpić, gdy zasada najmniejszych uprawnień dla WordPressa nie zostanie celowo i konsekwentnie przyjęta w całej Twojej organizacji.

WSKAZÓWKA: Użyj wtyczki dziennika aktywności dla WordPress, aby prowadzić dziennik wszystkich zmian, które użytkownicy wprowadzają w Twojej witrynie WordPress. Pomaga w odpowiedzialności użytkownika i ułatwia rozwiązywanie problemów.

Dlaczego wielu właścicieli stron internetowych zaniedbuje zasadę najmniejszych uprawnień w WordPressie?

Przedstawione przez nas ryzyko wydaje się dość przekonujące, prawda? Ale jednym z najczęstszych problemów zgłaszanych po audytach witryn WordPress jest to, że role użytkowników WordPress w typowym środowisku są nadal skonfigurowane w następujący sposób:

  • Rola administratora WordPress jest przyznawana każdemu użytkownikowi, nawet jeśli użytkownik musi tylko wprowadzić treść napisaną przez kogoś innego
  • To samo dotyczy uprawnień do plików i katalogów, z których wszystkie są skonfigurowane z najmniej restrykcyjnymi uprawnieniami

Rozumiemy. Wszyscy mieliśmy doświadczenie w pracy jako administratorzy systemów i stron internetowych na pewnym etapie naszej kariery. Zamiast komunikować się między użytkownikami i uprawnieniami na początku, sprawdzając, co użytkownik musi zrobić, administratorzy często wolą po prostu przypisać im również rolę administratora (na początku wydaje się to szybsze).

To samo dotyczy plików i uprawnień do katalogów. Na przykład niektóre wtyczki WordPress przechowują pliki pamięci podręcznej lub inne dane w systemie plików (tj. w katalogach WordPress). Łatwiej jest po prostu skonfigurować uprawnienia 777 w katalogu /wp-content/plugins/, ponieważ wszystkie wtyczki będą działać i nie trzeba poświęcać więcej czasu na rozwiązywanie problemów i dostosowywanie uprawnień za każdym razem, gdy instalujesz nową wtyczkę. Jednak przeprowadzenie na początku pewnych badań w celu określenia konkretnych obszarów aplikacji lub katalogów witryny – aby uniemożliwić użytkownikom zbyt duży dostęp – zmniejsza wspomniane już ryzyko. Dodatkową zaletą jest to, że każdy może uzyskać dostęp do tego, czego potrzebuje do wykonywania swojej pracy – bez dodatkowego wkładu ze strony administratora.

Pytania, które zadają właściciele i administratorzy stron internetowych

Czy wygoda jest warta ryzyka związanego z bezpieczeństwem? Wiesz, jaka byłaby nasza odpowiedź na to pytanie. Po prostu nie ma sensu instalowanie i utrzymywanie zaawansowanych i solidnych wtyczek zabezpieczających aplikacje internetowe, protokołów haseł i innych środków, takich jak 2FA, jeśli największym zagrożeniem dla bezpieczeństwa jest to, że pozostawiłeś już otwarte tylne drzwi za pomocą amatorskiej i luźnej kontroli dostępu!

Jak zastosować zasadę najmniejszych uprawnień dla WordPressa

Teraz, gdy koncentrujesz się na tym, aby Twoja aplikacja internetowa była jak najbardziej bezpieczna, w tej sekcji znajdziesz listę miejsc i sposobów zastosowania zasady najmniejszych uprawnień do witryny lub bloga WordPress.

Uprawnienia użytkownika bazy danych WordPress

Zacznijmy od najbardziej podstawowego miejsca – uprawnień lub uprawnień do bazy danych użytkowników WordPress.

W przypadku zwykłych codziennych operacji WordPress, takich jak pisanie i publikowanie treści, użytkownik bazy danych WordPress potrzebuje tylko następujących uprawnień, aby umożliwić mu zarządzanie danymi z bazy danych:

  • Wybierać
  • Wstawić
  • Aktualizacja
  • Kasować

Te uprawnienia nie pozwalają użytkownikowi bazy danych WordPress na modyfikowanie struktury bazy danych.

Zalecenia

W idealnym środowisku, aby wzmocnić bezpieczeństwo swojej witryny lub bloga WordPress, powinieneś skonfigurować bezpieczne i restrykcyjne uprawnienia do bazy danych MySQL WordPress. Powróć do przypisywania wszystkich uprawnień użytkownikom, którzy muszą zainstalować nową wtyczkę tworzącą nowe tabele w bazie danych lub gdy WordPress został zaktualizowany i nastąpiły zmiany w schemacie bazy danych WordPress.

Inną rekomendacją jest unikanie przyznawania dostępu do baz danych innych niż WordPress dla danej witryny.

Aby uzyskać więcej informacji na temat uprawnień do bazy danych WordPress, możesz również przeczytać Dlaczego minimalne uprawnienia do bazy danych WordPress użytkownika MySQL poprawiają bezpieczeństwo, co wyjaśnia konsekwencje niezabezpieczonej konfiguracji.

Role i uprawnienia użytkowników WordPress

Użytkownicy WordPressa popełniają błędy – nawet administratorzy. Użytkownicy lubią też poznawać ustawienia i konfiguracje. Jeśli przydzielisz użytkownikom dostęp superadministratora lub administratora, ciekawsi z nich najprawdopodobniej zainstalują losowe wtyczki. Może to potencjalnie spowodować niezamierzoną zmianę doświadczenia użytkownika, taką jak zmiana funkcjonalności witryny.

WordPress ma wiele wbudowanych ról użytkowników i powiązanych możliwości, jak wymieniono poniżej (od większości do najmniej).

  • Super Admin – administrator sieci witryny
  • Administrator – administrator sieci witryny dla jednej witryny
  • Redaktor – zarządzaj i publikuj posty, w tym posty innych użytkowników
  • Autor – zarządzaj i publikuj własne posty
  • Współtwórca – pisz i zarządzaj własnymi postami, ale nie publikuj ich
  • Subskrybent – ​​zarządzaj tylko profilem

Przykładem tego, jak to działa w praktyce, jest to, że chociaż współtwórca i autor mogą dzielić pewne możliwości (np. edytować posty i usuwać posty), współtwórca nie jest w stanie zrobić wszystkiego, co może autor, na przykład przesyłać pliki lub tworzyć użyteczne bloki.

Tworzenie niestandardowych ról

Istnieje również duża liczba wtyczek, których możesz użyć do tworzenia nowych i niestandardowych ról WordPress.

Oto kilka typowych przypadków użycia:

  • W większych organizacjach może być konieczne przydzielenie kogoś z zespołu marketingowego do moderowania, zatwierdzania komentarzy i odpowiadania na nie. Funkcja „umiarkowanych komentarzy” mieści się w roli edytującego, ale ta rola przypisuje również cały szereg innych potężnych możliwości. Tak więc, jeśli to wszystko, co muszą być w stanie zrobić, wystarczy skonfigurować niestandardową rolę z tym pojedynczym uprawnieniem.
  • Jeśli Twoja witryna WordPress zawiera wtyczkę e-commerce, taką jak WooCommerce, jesteś ograniczony do dwóch początkowych ról: Menedżer sklepu (pozwala użytkownikowi zarządzać całym sklepem) i Klient (pozwala użytkownikowi przeglądać swoje konto i zamówienia). Administrator posiada dodatkowe uprawnienia, takie jak „zarządzanie ustawieniami” i „przeglądanie raportów”. Ale co, jeśli Twoi użytkownicy – ​​na przykład personel niekierowniczy – wymagają czegoś pośredniego, na przykład możliwości dodawania ilości zapasów lub jednostek SKU i zarządzania nimi albo po prostu przetwarzania zamówień?
  • Na naszej stronie internetowej używamy wtyczki do artykułów z naszej bazy wiedzy. Daje to naszemu zespołowi pomocy dostęp do tworzenia i modyfikowania artykułów z bazy wiedzy, ale bez dostępu do głównych stron internetowych i postów na blogu.

Zalecenia

W przypadku większości zwykłych użytkowników rola Contributor jest wystarczająca. Liderom zespołów i menedżerom zajmującym się praktyką zalecana jest rola Redaktora. Jednak role superadministratora i administratora należy ograniczyć do doświadczonych, odpowiedzialnych użytkowników, którzy naprawdę ich potrzebują.

Aby uzyskać więcej informacji, zobacz Jak korzystać z ról użytkownika WordPress w celu poprawy bezpieczeństwa WordPress.

Uprawnienia do plików i katalogów

Konfiguracja uprawnień do plików i katalogów jest łatwa, a w Internecie dostępna jest obszerna dokumentacja wyjaśniająca, jak wzmocnić uprawnienia instalacji WordPress. WordPress działa na dowolnym systemie operacyjnym, który obsługuje PHP, zwykle Linux. Jeśli chodzi o grupy, Linux ma trzy grupy uprawnień:

  • Właściciel – właściciel pliku/katalogu, którego uprawnienia nie dotyczą ani nie mają wpływu na innych użytkowników
  • Grupa – grupa użytkowników, którym przypisano dostęp do pliku/katalogu, której uprawnienia nie dotyczą ani nie wpływają na użytkowników spoza grupy
  • Inne – jakie poziomy uprawnień mają wszyscy inni do tego samego pliku/katalogu

Każdemu z nich przypisane jest uprawnienie Odczyt (przeglądanie zawartości), Zapis (zapisywanie lub modyfikowanie zawartości) lub Wykonywanie (uruchamianie zawartości, np. skryptu). Te uprawnienia są przechowywane jako ciąg liczb i zapewniają dostęp do kodu PHP, obrazów i innych multimediów, plików HTML i javascript oraz wtyczek.

Konsekwencje przypisania niewłaściwych uprawnień do niewłaściwej grupy uprawnień może oznaczać, że złośliwy haker może skorzystać i spowodować, że podatność na niskim poziomie będzie niedopuszczalna.

Zalecenia

Instalując WordPress, powinieneś również użyć PoLP, konfigurując możliwie najmniejsze uprawnienia do plików i katalogów, aby WordPress działał.

Pamiętaj, że usztywniając uprawnienia do plików i katalogów, możesz również ograniczyć działanie niektórych wtyczek WordPress. Jak wyjaśniono wcześniej, możesz instalować wtyczki, które muszą przechowywać dane w katalogu instalacyjnym. Jeśli tak, nie konfiguruj po prostu uprawnień 777 do katalogu wtyczek (pełny odczyt, zapis i wykonywanie dla każdego, kto ma uprawnienia do kontrolowania tego). To jest najłatwiejsze wyjście. Ale powinieneś również unikać ograniczania go do tego stopnia, aby uniemożliwić odpowiednim użytkownikom aktualizację WordPressa, jego motywów i wtyczek z internetowego interfejsu użytkownika.

Aby uzyskać więcej informacji, zobacz Uprawnienia do plików WordPress: przewodnik dotyczący konfigurowania bezpiecznych uprawnień witryny i serwera WWW.

Konfiguracja wtyczek WordPress

Nie wszyscy administratorzy są równi. Podobnie jak w przypadku wielu systemów i sieci, często zdarza się, że główny administrator ma w grupie administratorów WordPressa. Zazwyczaj właściciel witryny nie ma innej możliwości niż przypisanie innym użytkownikom dostępu administracyjnego. Pamiętaj, że w przypadku wtyczek zabezpieczających WordPress często mogą one przechowywać wrażliwe dane, takie jak dziennik audytu bezpieczeństwa WordPress, do którego dostęp mieliby administratorzy.

Zalecenia

Wtyczki zabezpieczające WordPress zwykle pozwalają ograniczyć dostęp do innych administratorów WordPressa. Korzystanie z takich funkcji wydaje się niewielką, ale czasami pomijaną kontrolą, która pomoże Ci lepiej kontrolować dostęp użytkowników.

Aby uzyskać więcej informacji na temat poszczególnych wtyczek, skontaktuj się z obsługą wtyczek i dostawcą usług hostingowych. Następnie zapytaj, w których katalogach wtyczka musi pisać, aby móc skonfigurować uprawnienia specjalnie dla tego katalogu.

Dostęp FTP dla zewnętrznych wykonawców

Kiedy zatrudniasz projektanta lub zespół wsparcia wtyczki potrzebuje dostępu FTP do Twojej witryny, możesz przyznać im pełny dostęp do katalogu głównego Twojej witryny, prawda? To jest niepotrzebne.

Zalecenia

W przypadku projektanta wszystko, do czego potrzebują dostępu, to katalog motywu, więc ogranicz dostęp do tego katalogu. To samo dotyczy zespołów wsparcia wtyczek. Jeśli potrzebują dostępu do sprawdzania plików dziennika, daj im dostęp FTP do katalogu wtyczki lub do lokalizacji, w której wtyczka przechowuje pliki dziennika. Unikaj polegania na zewnętrznych podmiotach, które wykonają dla Ciebie należytą staranność w zakresie bezpieczeństwa.

Mini studia przypadków

Przyjrzyjmy się kilku powiązanym przykładom, jak to działa w praktyce i jak pytania i decyzje dotyczące kontroli dostępu mogą napędzać stosowanie PoLP, aby umożliwić właściwy dostęp właściwym zespołom i osobom.

Aplikacje internetowe e-commerce

Aplikacje internetowe e-commerce, takie jak te, w których konsumenci kupują duże bilety, takie jak lodówko-zamrażarki, odkurzacze, aparaty fotograficzne lub laptopy, oferują różne przykłady zastosowań PoLP.

Niektóre decyzje dotyczące kontroli dostępu podejmowane przez twórców aplikacji witryn handlu elektronicznego są oczywiste:

  • Działy HR prawdopodobnie nie będą potrzebowały dostępu do danych klientów ani katalogów plików zawierających wtyczki, ale będą potrzebować dostępu do większości akt personelu (choć być może dane dotyczące zdrowia, które często mają specjalny status w ramach wielu przepisów dotyczących zgodności z przepisami o ochronie danych, mogą być bardziej ograniczonym do potrzeby poznania podstaw)
  • Działy marketingu niekoniecznie muszą mieć dostęp do tabel SKU lub kodów produktów. Jednak będą chcieli mieć dostęp do tabel w bazie danych produktów, które zawierają nazwy produktów, specyfikacje i opisy

Niektóre są mniej oczywiste:

  • Czy konsumenci potrzebują przez cały czas dostępu do wszystkich swoich danych?
  • Czy specjaliści ds. zgodności PCI-DSS potrzebują dostępu do wszystkich danych konsumenckich?

Uniwersytety i instytucje edukacyjne

A co z bardziej tradycyjnymi i długoletnimi instytucjami, gdzie bezpieczeństwo aplikacji internetowych i PoLP są początkowo mniej widoczne?

Niektóre decyzje dotyczące kontroli dostępu do portali uniwersyteckich i uczelni są oczywiste:

  • Dział płacowy potrzebuje dostępu do danych pracowników i kontrahentów w aplikacji internetowej, aby śledzić dni robocze i dokonywać płatności
  • Różnego rodzaju departamenty administracyjne mogą potrzebować dostępu do akt uczniów, przetwarzania dokumentów tożsamości, wniosków o zakwaterowanie, rachunków lub dotacji

Niektóre są mniej oczywiste:

  • Którzy dostawcy zewnętrzni, tacy jak dostawcy kart do przesuwania budynków, mogą potrzebować przerywanego dostępu do niektórych tabel danych uczniów?

Serwisy informacyjne i blogi

Sieć jest pełna serwisów informacyjnych, podcastów i blogów. Wielu właścicieli witryn zależy od wielu administratorów, współtwórców, redaktorów, korektorów i wydawców. Ponadto należy wziąć pod uwagę subskrybentów i widzów.

Niektóre decyzje dotyczące kontroli dostępu do aplikacji z serwisami informacyjnymi i blogami są oczywiste:

  • W zależności od obszarów odpowiedzialności biznesowej, redaktorzy mogą potrzebować dostępu do kombinacji wszystkich stron, artykułów i postów na blogu
  • Współtwórcy będą potrzebować dostępu tylko do swoich własnych postów na blogu

Niektóre są mniej oczywiste:

  • Czy wszystkie strony trzecie potrzebują dostępu do każdej tabeli w bazie danych WordPress? W tym miejscu pojawiają się niestandardowe elementy sterujące.

Serwisy bankowe

Naszym ostatnim przykładem jest coś, z czego wielu z nas korzysta na co dzień, serwisy bankowe. Oprócz informacji dotyczących zdrowia, osobiste dane finansowe są oczywiście jednym z najbardziej poufnych rodzajów.

Niektóre decyzje dotyczące kontroli dostępu do tworzenia aplikacji internetowych są oczywiste:

  • Żaden użytkownik usług bankowych nie powinien mieć dostępu do konta innego użytkownika, chyba że za wyraźną (prawdopodobnie kontrolowaną przez użytkownika) zgodą
  • Konta użytkowników personelu powinny mieć dostęp do wielu kont użytkowników usług, ale ograniczony tylko do tych zadań, które muszą wykonać w ramach swojej pracy

Niektóre są mniej oczywiste:

  • Jaki dostęp powinny mieć działy wsparcia technicznego? Czy powinni mieć możliwość przeglądania i poprawiania wszystkiego, w przypadku błędów?

Zalecamy przemyślenie i zaplanowanie biznesowego przypadku użycia dla każdego scenariusza. W połączeniu z Twoimi grupami użytkowników i osobami z unikalnymi opisami stanowisk. Najpierw zaplanuj je. Dopiero wtedy możesz zacząć badać protokoły kontroli dostępu dostępne w Twojej witrynie WordPress.

Monitory zdrowia i kondycji

Urządzenia monitorujące stan zdrowia lub kondycję oraz połączone z nimi internetowe pulpity nawigacyjne gromadzą, przechowują i udostępniają fascynujące statystyki dotyczące użytkowników oraz ich danych dotyczących zdrowia, aktywności, celów i osiągnięć.

Niektóre decyzje dotyczące kontroli dostępu dla marek monitorujących zdrowie i kondycję są oczywiste:

  • Które zespoły w organizacji potrzebują dostępu do jakich danych? Ma sens, że jeśli jeden zespół jest odpowiedzialny za projektowanie i rozwój części aplikacji do śledzenia snu, niekoniecznie potrzebuje dostępu do tabel statystyk treningu.
  • Większość użytkowników będzie chciała, aby PoLP (czy wiedzą o tym, czy nie) było bardzo restrykcyjne, aby ich informacje zdrowotne nie były udostępniane wszystkim innym użytkownikom. A zatem, jakie przywileje dostępu należy nadać normalnej roli użytkownika i jakie dane będą w związku z tym udostępniane w profilu publicznym (tylko nazwa, obraz profilu i średnie dzienne kroki?).

Niektóre są mniej oczywiste:

  • Jakie i ile informacji muszą być dostępne dla innych użytkowników, aby ułatwić wspólne funkcje grywalizacji takich narzędzi?
  • Czy programiści powinni ustawić wszystkie uprawnienia dostępu, czy też część z tych decyzji należy przerzucić na użytkowników?

Korzystanie z zasady najmniejszych uprawnień dla WordPressa i nie tylko

Powyższe to tylko wybór najczęstszych scenariuszy, w których zasada najmniejszych uprawnień dla WordPressa jest często pomijana, ale można ją łatwo zastosować.

Aby rozpocząć przyjmowanie PoLP, zacznij od rozważenia, co chcesz zrobić z następującymi elementami:

  • Serwer WWW
  • Baza danych
  • Modyfikacje

Nie wahaj się stosować zasady najmniejszych przywilejów tylko dlatego, że sprawy nie wychodzą od razu. Tak, przez większość czasu musisz poświęcić kilka godzin na konfigurowanie niestandardowych ról użytkowników i rozwiązywanie problemów z wtyczkami. Zastanów się nad tym jako długoterminową inwestycję w bezpieczeństwo Twoich witryn WordPress.