Как использовать роли пользователей WordPress для повышения безопасности WordPress
Опубликовано: 2020-09-24Как система управления контентом, WordPress имеет набор пользовательских ролей. По сути, эти роли пользователей WordPress определяют возможности (разрешения на выполнение определенных задач веб-сайта) каждого отдельного пользователя на вашем веб-сайте.
По мере роста вашего сайта важно понимать эти роли и возможности, чтобы обеспечить постоянную безопасность вашего сайта. Так как присвоение неправильных ролей пользователям может привести к плачевным последствиям.
В этой статье мы расскажем, что такое роли пользователей (включая пользовательские роли), чтобы вы знали, как их правильно назначать. Мы также расскажем, как использовать плагины WordPress для управления и мониторинга активности ваших пользователей WordPress.
Основы ролей пользователей WordPress
Тип вашего доступа к сайту WordPress определяется вашей ролью и, следовательно, предоставленными вам возможностями.
- «Роль» — это группа/предопределенный список возможностей. Как пользователю вам назначается роль, которая определяет, какие у вас есть возможности.
- «Возможности» — это, по сути, то, что может делать эта роль пользователя (публикация сообщений, изменение настроек и т. д.).
Например, редактор — это роль пользователя, которая имеет такие возможности, как модерация комментариев, публикация контента и создание нового контента, и это лишь некоторые из них. На более крупном новостном или блоговом веб-сайте нормально иметь несколько редакторов, каждый из которых отвечает за соответствующие тематические разделы.
В то время как некоторые плагины добавляют настраиваемые роли пользователей WordPress (мы скоро вернемся к этому), существует шесть пользовательских ролей по умолчанию для каждого стандартного сайта WordPress. Они следующие:
- Супер администратор
- Администратор
- редактор
- Автор
- Автор
- Подписчик
Понимание иерархии возможностей ролей пользователей WordPress
Важно понимать, что структура ролей иерархична. Каждая роль пользователя имеет возможности нижестоящей должности с добавлением некоторых возможностей, специфичных для роли.
Например, давайте посмотрим на нижнюю часть пирамиды ролей пользователей, подписчика. Роль подписчика имеет только прикрепленную к ней возможность «чтения» (что означает, что они могут только читать сообщения на вашем сайте).
Давайте перейдем к следующему уровню роли пользователя, Участнику. Эта роль имеет возможность «чтения», но также имеет возможности «edit_posts» и «delete_posts». Это означает, что они могут редактировать и удалять свои собственные сообщения.
Пользовательская роль автора имеет возможности как подписчика, так и участника со следующими назначенными дополнительными привилегиями:
- Delete_publish_posts
- Publish_posts
- Загрузить файлы
- Edit_published_posts
Как вы можете видеть, возможности расширяются по мере того, как вы продвигаетесь вверх по структуре ролей пользователей, при этом суперадминистратор имеет самый высокий набор привилегий. Итак, давайте рассмотрим каждую роль чуть подробнее, в порядке убывания.
Роль суперадминистратора WordPress
Суперадминистратор WordPress — это роль пользователя WordPress самого высокого уровня, поэтому у него есть все доступные возможности. Разница между суперадминистратором и администратором заключается в том, что эти возможности могут быть переданы между сайтами в многосайтовой сети WordPress.
Для ясности, вот разница между разными сайтами/сетями WordPress:
Многосайтовая сеть WordPress — тип установки WordPress, который позволяет создавать сеть из нескольких веб-сайтов и управлять ею с одной панели управления WordPress.
Сайт WordPress в многосайтовой сети (дочерний сайт) — сайт WordPress в вашей многосайтовой сети. Этот дочерний сайт использует плагины и тему других сайтов в сети, но может иметь свою собственную дочернюю тему.
Автономный сайт WordPress — автономный сайт — это ваша обычная установка WordPress. Он имеет свой уникальный набор плагинов, настроек и тем.
Суперадминистратор (доступен только в многосайтовых сетях) может создавать и управлять дочерними сайтами, создавать пользователей сети и управлять ими, устанавливать и удалять темы и плагины, а также включать их прямо в сети.
Например, допустим, вы управляете сетью из трех магазинов электронной коммерции, каждый из которых ориентирован на определенный потребительский сегмент — мужскую, женскую и детскую одежду. Суперадминистратор сможет вносить изменения, отражающиеся на всех трех этих сайтах, например, обновлять или настраивать плагин WooCommerce.
Роль администратора WordPress
Как и у суперадминистраторов, у администраторов есть все возможности. Однако эти разрешения ограничены рамками одного веб-сайта. Эти возможности включают, но не ограничиваются следующим:
- Устанавливайте и удаляйте, активируйте и деактивируйте, редактируйте и обновляйте любой плагин WordPress.
- Создавайте новый контент, читайте, изменяйте и удаляйте существующий контент. Например, страницы WordPress и сообщения в блогах, созданные любым другим пользователем. Сюда входят неопубликованные, частные и защищенные паролем материалы.
- Создавайте новых пользователей, изменяйте и удаляйте существующих пользователей.
- Устанавливайте, активируйте и деактивируйте темы WordPress.
- Измените файлы темы WordPress.
- Создавайте новые, изменяйте или удаляйте существующие категории.
- Создавайте новые, изменяйте или удаляйте существующие меню WordPress.
- Загрузить файлы в WordPress.
- Возможность размещать HTML-разметку и код JavaScript на страницах, в сообщениях и комментариях (нефильтрованный HTML).
- Умеренные комментарии.
Помните, что эти возможности такие же, как и у суперадминистратора. Однако у суперадминистратора эти привилегии распределены по нескольким сайтам в сети WordPress.
Роль редактора WordPress
Уровень структуры, на котором возможности становятся ограниченными, — это роль пользователя «Редактор». Роль редактора сосредоточена на содержании, как и в традиционной настройке публикации. У них нет разрешений, связанных с конфигурацией, настройкой, функциональностью или дизайном вашего веб-сайта WordPress.
Их возможности включают в себя:
- Умеренные комментарии.
- Создавайте новый контент, такой как сообщения в блогах и страницы WordPress.
- Читайте, изменяйте и удаляйте существующий контент, такой как страницы WordPress и сообщения в блогах, созданные любым другим пользователем. Сюда также входят неопубликованные, частные и защищенные паролем материалы.
Роль автора WordPress
Начиная с Автора, возможности ролей пользователей WordPress становятся намного более ограниченными. Лицо, которому назначена роль пользователя «Автор», имеет доступ только к своим сообщениям в блоге и профилю.
Таким образом, они могут публиковать свои сообщения в блогах, изменять свои собственные существующие сообщения в блогах и изменять свой профиль пользователя.
Роль участника WordPress
Как и в случае с ролью пользователя «Автор», участники могут писать сообщения в блогах. Однако участники WordPress не могут публиковать свои собственные записи в блогах. Все сообщения в блоге, написанные участником WordPress, должны быть одобрены и опубликованы либо редактором WordPress, либо администратором.
Роль подписчика WordPress
Эта роль по умолчанию выдается любому, кто регистрируется для регистрации учетной записи на веб-сайте WordPress. Подписчик может только читать контент и не имеет доступа к изменению любого типа контента на сайте WordPress. Они могут изменять только информацию своего профиля.
Пользовательские роли WordPress
Роли пользователей WordPress, описанные выше, являются стандартными ролями по умолчанию, предоставляемыми на стандартном сайте WordPress. В некоторых случаях плагины WordPress устанавливают свои собственные настраиваемые роли пользователей с определенными возможностями для выполнения этой роли.
Например, те из вас, кто использует WooCommerce, заметят роль пользователя Store Manager. Аналогичным образом, SEO-плагин Yoast представляет пользовательские роли SEO-редактора и SEO-менеджера со своими собственными разрешениями WordPress.
Создание пользовательских ролей пользователей WordPress может вас заинтересовать, если ранее существовавшие роли не совсем соответствуют вашим желаемым целям. Например, вы можете запустить сайт членства, который требует, чтобы вы предоставили подписчикам гораздо больше привилегий, чем просто возможности чтения. Если это так, плагины WordPress, такие как Редактор ролей пользователей, позволяют вам настраивать разрешения в каждой роли, чтобы лучше соответствовать вашим конкретным бизнес-потребностям.
Как использовать роли пользователей WordPress для повышения безопасности
Роли пользователей WordPress играют важную роль в общей безопасности вашего сайта. Простое действие по назначению слишком многих способностей не тому человеку может иметь потенциально катастрофические последствия. Имея это в виду, вы должны правильно назначать роли пользователей.
Назначьте правильную роль правильному человеку
Как и в любом традиционном бизнесе, вы не передаете своим подчиненным или внешним подрядчикам те же права и обязанности, что и владельцу бизнеса.
Например, при обращении к сайту WordPress веб-разработчикам требуется доступ на уровне администратора, чтобы вносить необходимые изменения в внутренние функции веб-сайта. Однако у них должен быть свой собственный пользовательский логин, который вы можете контролировать.
То же самое относится к авторам и участникам, если вы ведете блог, или к магазинам и менеджерам по продуктам, если вы управляете магазином электронной коммерции. Вы должны контролировать ситуацию как веб-мастер по нескольким причинам.
Для получения дополнительной информации об этом, наше руководство по принципу наименьших привилегий — хорошее место для начала.
Совместное использование учетных данных представляет угрозу безопасности
Предоставление вашей информации о пользователе WordPress кому-либо может показаться безобидным, но это совсем не безопасно. Учетные данные, передаваемые по электронной почте, могут быть перехвачены, а печатные версии могут так же быстро стать скомпрометированными.
Исследование 2019 года показало, что 74% утечек данных были результатом злоупотребления учетными данными привилегированного доступа. Хуже того, тот же отчет показал, что до 65% используют root или привилегированный доступ к системам (таким как WordPress), по крайней мере, несколько раз.*
Причина, по которой утечки данных настолько высоки, заключается в том, что общие учетные данные, как правило, способствуют использованию слабых паролей. В то время как легко запоминающиеся пароли экономят время владельцев сайтов WordPress, они представляют собой уязвимость в безопасности вашего сайта, оставляя его открытым для грубой силы и атак по словарю.
Наконец, если вы предоставите нескольким пользователям доступ к одной роли пользователя WordPress на вашем сайте, вы не сможете отследить, кто что изменил на вашем сайте. Когда несколько человек имеют доступ к одному имени пользователя и паролю, как вы расшифруете, кто несет ответственность за действия, выполняемые под этой ролью пользователя?
Ведите журналы пользователей с разными ролями
По причинам, изложенным выше, вам необходимо предоставить каждому участнику вашего сайта WordPress собственный логин и роль пользователя. Тогда рекомендуется использовать плагин для мониторинга активности каждого пользователя, чтобы отслеживать работу, выполняемую при одновременном повышении безопасности сайта.
С помощью плагина WP Activity Log вы можете вести журнал активности каждого отдельного изменения, сделанного вашими пользователями WordPress. Установив этот плагин, вы сможете хранить и анализировать подробный журнал активности, получая оповещения в режиме реального времени, когда пользователь вносит важные изменения на сайт. Вы также можете отслеживать пользователей в режиме реального времени, чтобы убедиться, что они выполняют свои задачи должным образом.
Эти функции особенно полезны, если вы управляете крупными отдельными веб-сайтами с несколькими отделами (как это часто бывает в электронной коммерции). Или вы запускаете многосайтовую сеть в качестве суперадминистратора. Поскольку так много людей вносят постоянные изменения, вы можете использовать плагин WP Activity Log для поиска в журналах активности и точного определения того, когда определенные изменения были внесены в сайт WordPress (и кем).
Оптимизация ролей пользователей в WordPress
Роли пользователей WordPress играют жизненно важную роль в организационной структуре вашего сайта. Чтобы свести к минимуму проблемы безопасности, каждая роль пользователя и связанные с ней возможности должны быть тщательно назначены. Чем больше растет ваш сайт, тем более значимыми становятся роли пользователей.
Во многих случаях обмена учетными данными между отдельными лицами следует избегать любой ценой. Хотя вы можете контролировать нескольких пользователей, когда на каждую роль пользователя назначено несколько членов команды, вам необходимо программное обеспечение, такое как плагин WP Activity Log, для точного отслеживания изменений, внесенных на ваш сайт.
Почему бы не начать 14-дневную бесплатную пробную версию вашего сайта WordPress сегодня?
Бонусный совет
Слабые пароли — одна из самых больших угроз для вашего сайта WordPress. С таким количеством пользователей на вашем веб-сайте вам необходимо убедиться, что все они используют надежные пароли для защиты от хакеров.
С помощью WPassword вы можете гарантировать, что каждый, кто входит на ваш сайт, использует безопасный пароль. Вы также можете удвоить свои меры безопасности, внедрив двухфакторную аутентификацию для своих пользователей с помощью плагина WP 2FA.
* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privived-credential-abuse/#6c25c92b3ce4