วิธีใช้บทบาทผู้ใช้ WordPress เพื่อปรับปรุงความปลอดภัยของ WordPress
เผยแพร่แล้ว: 2020-09-24ในฐานะที่เป็นระบบจัดการเนื้อหา WordPress มีบทบาทผู้ใช้ที่กำหนดไว้ โดยพื้นฐานแล้ว บทบาทผู้ใช้ WordPress เหล่านี้จะกำหนดความสามารถ (สิทธิ์ในการทำงานเว็บไซต์เฉพาะ) ของผู้ใช้แต่ละคนในเว็บไซต์ของคุณ
เมื่อไซต์ของคุณเติบโตขึ้น คุณจำเป็นต้องเข้าใจบทบาทและความสามารถเหล่านั้นเพื่อให้มั่นใจว่าเว็บไซต์ของคุณมีความปลอดภัยอย่างต่อเนื่อง เนื่องจากการกำหนดบทบาทของผู้ใช้ที่ไม่ถูกต้องอาจทำให้เกิดผลร้ายได้
ในบทความนี้ เราจะสรุปว่าบทบาทของผู้ใช้คืออะไร (รวมถึงบทบาทที่กำหนดเอง) ดังนั้นคุณจะรู้วิธีกำหนดบทบาทให้ถูกต้อง นอกจากนี้เรายังจะกล่าวถึงวิธีการใช้ปลั๊กอิน WordPress เพื่อจัดการและตรวจสอบกิจกรรมของผู้ใช้ WordPress ของคุณ
พื้นฐานของบทบาทผู้ใช้ WordPress
ประเภทของการเข้าถึงไซต์ WordPress ที่คุณมีนั้นพิจารณาจากบทบาทที่คุณมี และด้วยเหตุนี้ ความสามารถที่คุณได้รับ
- 'บทบาท' คือกลุ่ม / รายการความสามารถที่กำหนดไว้ล่วงหน้า ในฐานะผู้ใช้ คุณจะได้รับมอบหมายบทบาท ซึ่งจะกำหนดความสามารถที่คุณมี
- 'ความสามารถ' คือสิ่งที่บทบาทของผู้ใช้สามารถทำได้ (เผยแพร่โพสต์ เปลี่ยนการตั้งค่า ฯลฯ)
ตัวอย่างเช่น ผู้แก้ไขคือบทบาทของผู้ใช้ที่มีความสามารถ เช่น การกลั่นกรองความคิดเห็น การเผยแพร่เนื้อหา และการสร้างเนื้อหาใหม่ เป็นต้น ในเว็บไซต์ข่าวหรือบล็อกที่ใหญ่กว่า เป็นเรื่องปกติที่จะมีบรรณาธิการหลายคน ซึ่งแต่ละคนมีหน้าที่รับผิดชอบหัวข้อที่เกี่ยวข้อง
แม้ว่าปลั๊กอินบางตัวจะเพิ่มบทบาทผู้ใช้ WordPress ที่กำหนดเอง (เราจะมาพูดถึงเรื่องนี้ในไม่ช้า) มีบทบาทผู้ใช้เริ่มต้น 6 บทบาทกับทุกไซต์ WordPress มาตรฐาน มีดังนี้
- ผู้ดูแลระบบขั้นสูง
- ผู้ดูแลระบบ
- บรรณาธิการ
- ผู้เขียน
- ผู้ร่วมให้ข้อมูล
- สมาชิก
ทำความเข้าใจลำดับชั้นความสามารถของบทบาทของผู้ใช้ WordPress
สิ่งสำคัญคือต้องเข้าใจว่าโครงสร้างของบทบาทเป็นแบบลำดับชั้น บทบาทของผู้ใช้แต่ละคนมีความสามารถของตำแหน่งที่อยู่ข้างใต้ โดยเพิ่มความสามารถเฉพาะของบทบาทบางอย่าง
ตัวอย่างเช่น ลองดูที่ด้านล่างของปิรามิดบทบาทของผู้ใช้ สมาชิก บทบาทสมาชิกมีเฉพาะความสามารถในการ 'อ่าน' ที่แนบมาด้วย (ซึ่งหมายความว่าพวกเขาสามารถอ่านโพสต์บนไซต์ของคุณได้เท่านั้น)
ก้าวไปสู่ระดับถัดไปของบทบาทผู้ใช้ Contributor บทบาทนี้มีความสามารถในการ 'อ่าน' แต่ยังมีความสามารถ 'edit_posts' และ 'delete_posts' ซึ่งหมายความว่าพวกเขาสามารถแก้ไขและลบโพสต์ของตนเองได้
บทบาทของผู้ใช้ผู้เขียนมีความสามารถของทั้งสมาชิกและผู้ร่วมให้ข้อมูลโดยได้รับสิทธิพิเศษเพิ่มเติมที่ได้รับมอบหมายดังต่อไปนี้:
- Delete_publish_posts
- เผยแพร่_โพสต์
- อัพโหลดไฟล์
- แก้ไข_เผยแพร่_โพสต์
อย่างที่คุณเห็น ความสามารถจะเพิ่มโครงสร้างบทบาทของผู้ใช้ที่คุณย้ายขึ้นไปอีก โดยผู้ดูแลระบบขั้นสูงจะมีชุดสิทธิ์สูงสุด เรามาดูรายละเอียดแต่ละบทบาทกันดีกว่า โดยเรียงลำดับจากมากไปน้อย
บทบาทผู้ดูแลระบบระดับสูงของ WordPress
WordPress Super Administrator เป็นบทบาทผู้ใช้ WordPress ระดับสูงสุด ดังนั้นจึงมีความสามารถทั้งหมด ความแตกต่างระหว่างผู้ดูแลระบบระดับสูงและผู้ดูแลระบบคือความสามารถเหล่านั้นสามารถถ่ายโอนข้ามไซต์ต่างๆ ภายในเครือข่ายหลายไซต์ของ WordPress
เพื่อความชัดเจน นี่คือความแตกต่างระหว่างไซต์/เครือข่าย WordPress ต่างๆ:
เครือข่ายหลายไซต์ของ WordPress – ประเภทของการติดตั้ง WordPress ที่ช่วยให้คุณสามารถสร้างและจัดการเครือข่ายของเว็บไซต์หลายแห่งจากแดชบอร์ด WordPress เดียว
ไซต์ WordPress บนเครือข่ายหลายไซต์ (ไซต์ย่อย) – ไซต์ WordPress ภายในเครือข่ายหลายไซต์ของคุณ ไซต์ย่อยนี้แชร์ปลั๊กอินและธีมของไซต์อื่นๆ ในเครือข่าย แต่สามารถมีธีมย่อยของตัวเองได้
ไซต์ WordPress แบบสแตนด์อโลน – ไซต์แบบสแตนด์อโลนคือการติดตั้ง WordPress ตามปกติของคุณ มีชุดปลั๊กอิน การตั้งค่า และธีมเฉพาะของตัวเอง
ผู้ดูแลระบบขั้นสูง (พบได้เฉพาะในเครือข่ายหลายไซต์) สามารถสร้างและจัดการไซต์ย่อย สร้างและจัดการผู้ใช้เครือข่าย ติดตั้งและลบธีมและปลั๊กอิน และเปิดใช้งานได้ทั่วทั้งเครือข่าย
ตัวอย่างเช่น สมมติว่าคุณดำเนินการเครือข่ายร้านค้าอีคอมเมิร์ซ 3 แห่ง ซึ่งแต่ละร้านเน้นที่กลุ่มผู้บริโภคเฉพาะ – สำหรับผู้ชาย ผู้หญิง และเสื้อผ้าเด็ก ผู้ดูแลระบบขั้นสูงจะทำการเปลี่ยนแปลงที่สะท้อนถึงเว็บไซต์ทั้งสามดังกล่าวได้ เช่น การอัปเดตหรือกำหนดค่าปลั๊กอิน WooCommerce
บทบาทผู้ดูแลระบบ WordPress
เช่นเดียวกับผู้ดูแลระบบระดับสูง ผู้ดูแลระบบมีความสามารถทั้งหมด อย่างไรก็ตาม การอนุญาตเหล่านั้นจะจำกัดอยู่ในขอบเขตของเว็บไซต์เดียว ความสามารถเหล่านั้นรวมถึงแต่ไม่จำกัดเพียงสิ่งต่อไปนี้:
- ติดตั้งและถอนการติดตั้ง เปิดใช้งานและปิดใช้งาน แก้ไขและอัปเดตปลั๊กอิน WordPress ใดๆ
- สร้างเนื้อหาใหม่ อ่าน แก้ไข และลบเนื้อหาที่มีอยู่ ตัวอย่างเช่น หน้า WordPress และบล็อกโพสต์ที่สร้างโดยผู้ใช้รายอื่น ซึ่งรวมถึงเนื้อหาที่ไม่ได้เผยแพร่ ส่วนตัว และป้องกันด้วยรหัสผ่าน
- สร้างผู้ใช้ใหม่ แก้ไข และลบผู้ใช้ที่มีอยู่
- ติดตั้ง เปิดใช้งาน และปิดใช้งานธีม WordPress
- แก้ไขไฟล์ธีม WordPress
- สร้างใหม่ แก้ไข หรือลบหมวดหมู่ที่มีอยู่
- สร้างใหม่ แก้ไข หรือลบเมนู WordPress ที่มีอยู่
- อัปโหลดไฟล์ไปยัง WordPress
- ความสามารถในการโพสต์มาร์กอัป HTML และโค้ด JavaScript ในหน้า โพสต์ และความคิดเห็น (HTML ที่ไม่มีการกรอง)
- ความคิดเห็นปานกลาง
โปรดจำไว้ว่า ความสามารถเหล่านี้เหมือนกับผู้ดูแลระบบขั้นสูง อย่างไรก็ตาม ผู้ดูแลระบบขั้นสูงมีสิทธิ์เหล่านี้กระจายอยู่ทั่วไซต์ต่างๆ ภายในเครือข่าย WordPress
บทบาทบรรณาธิการ WordPress
ระดับของโครงสร้างที่ความสามารถถูกจำกัดคือบทบาทของผู้ใช้ Editor บทบาทบรรณาธิการมุ่งเน้นไปที่เนื้อหา เช่นเดียวกับการตั้งค่าสิ่งพิมพ์แบบดั้งเดิม พวกเขาไม่มีสิทธิ์ที่เกี่ยวข้องกับการกำหนดค่า การตั้งค่า การทำงาน หรือการออกแบบเว็บไซต์ WordPress ของคุณ
ความสามารถของพวกเขารวมถึง:
- ความคิดเห็นปานกลาง
- สร้างเนื้อหาใหม่ เช่น บล็อกโพสต์และหน้า WordPress
- อ่าน แก้ไข และลบเนื้อหาที่มีอยู่ เช่น หน้า WordPress และบล็อกโพสต์ที่สร้างโดยผู้ใช้รายอื่น ซึ่งรวมถึงเนื้อหาที่ไม่ได้เผยแพร่ ส่วนตัว และป้องกันด้วยรหัสผ่าน
บทบาทผู้เขียน WordPress
ตั้งแต่ผู้เขียน บทบาทของผู้ใช้ WordPress จะถูกจำกัดมากขึ้น บุคคลที่กำหนดบทบาทของผู้ใช้ผู้เขียนจะมีสิทธิ์เข้าถึงบล็อกโพสต์และโปรไฟล์เท่านั้น
ดังนั้น พวกเขาจึงสามารถเผยแพร่โพสต์ในบล็อก แก้ไขโพสต์ในบล็อกที่มีอยู่ และแก้ไขโปรไฟล์ผู้ใช้ได้
บทบาทของ WordPress Contributor
เช่นเดียวกับบทบาทของผู้ใช้ผู้เขียน ผู้ร่วมให้ข้อมูลสามารถเขียนโพสต์ในบล็อกได้ อย่างไรก็ตาม ผู้สนับสนุน WordPress ไม่สามารถเผยแพร่โพสต์บล็อกของตนเองได้ โพสต์บล็อกทั้งหมดที่เขียนโดย WordPress Contributor จะต้องได้รับการอนุมัติและเผยแพร่โดย WordPress Editor หรือผู้ดูแลระบบ
บทบาทสมาชิก WordPress
นี่เป็นบทบาทเริ่มต้นที่ออกให้กับทุกคนที่ลงทะเบียนเพื่อลงทะเบียนบัญชีบนเว็บไซต์ WordPress สมาชิกสามารถอ่านได้เฉพาะเนื้อหาและไม่สามารถเข้าถึงเพื่อแก้ไขเนื้อหาประเภทใด ๆ บนไซต์ WordPress พวกเขาสามารถแก้ไขเฉพาะข้อมูลโปรไฟล์ของพวกเขา
บทบาทของผู้ใช้ WordPress ที่กำหนดเอง
บทบาทผู้ใช้ WordPress ที่อธิบายข้างต้นเป็นบทบาท 'นอกกรอบ' เริ่มต้นที่มีให้ในไซต์ WordPress มาตรฐาน ในบางกรณี ปลั๊กอิน WordPress จะติดตั้งบทบาทผู้ใช้ที่ปรับแต่งเอง พร้อมความสามารถเฉพาะที่แนบมาเพื่อทำหน้าที่นั้น
ตัวอย่างเช่น พวกที่คุณใช้ WooCommerce จะสังเกตเห็นบทบาทผู้ใช้ Store Manager ในทำนองเดียวกัน ปลั๊กอิน SEO Yoast จะแนะนำบทบาทผู้ใช้ SEO Editor และ SEO Manager พร้อมด้วยการอนุญาต WordPress ที่แตกต่างกัน
การสร้างบทบาทผู้ใช้ WordPress แบบกำหนดเองอาจเป็นสิ่งที่น่าสนใจสำหรับคุณหากบทบาทที่มีอยู่ก่อนไม่ตรงกับวัตถุประสงค์ที่คุณต้องการ ตัวอย่างเช่น คุณอาจเปิดเว็บไซต์สมาชิกที่ต้องการให้คุณให้สิทธิ์แก่ผู้สมัครสมาชิกมากกว่าความสามารถในการอ่านเพียงอย่างเดียว หากเป็นกรณีนี้ ปลั๊กอิน WordPress เช่น User Role Editor ช่วยให้คุณสามารถปรับแต่งการอนุญาตภายในแต่ละบทบาทเพื่อให้ตรงกับความต้องการทางธุรกิจของคุณได้ดียิ่งขึ้น
วิธีใช้บทบาทผู้ใช้ WordPress เพื่อปรับปรุงความปลอดภัย
บทบาทของผู้ใช้ WordPress มีส่วนสำคัญในการรักษาความปลอดภัยโดยรวมของเว็บไซต์ของคุณ การมอบหมายความสามารถง่ายๆ ให้กับคนที่ไม่ถูกต้องมากเกินไปอาจส่งผลร้ายแรงได้ ด้วยเหตุนี้ คุณต้องได้รับการมอบหมายบทบาทของผู้ใช้อย่างถูกต้อง
มอบหมายบทบาทให้ถูกคน
เช่นเดียวกับในธุรกิจแบบเดิมๆ คุณไม่ได้มอบสิทธิ์และความรับผิดชอบแบบเดียวกันให้กับพนักงานระดับล่างหรือผู้รับเหมาภายนอกของคุณ เช่นเดียวกับที่คุณเป็นเจ้าของธุรกิจ
ตัวอย่างเช่น เมื่อพูดถึงไซต์ WordPress นักพัฒนาเว็บจำเป็นต้องเข้าถึงระดับผู้ดูแลระบบเพื่อทำการเปลี่ยนแปลงที่จำเป็นในฟังก์ชันเว็บไซต์ส่วนหลัง อย่างไรก็ตาม พวกเขาควรมีการเข้าสู่ระบบของผู้ใช้เฉพาะ ซึ่งคุณสามารถควบคุมได้
เช่นเดียวกับ Authors and Contributor หากคุณเปิดบล็อก หรือ Store และ Product Managers หากคุณเปิดร้านอีคอมเมิร์ซ คุณต้องเป็นผู้ควบคุมในฐานะผู้ดูแลเว็บด้วยเหตุผลหลายประการ
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเรื่องนี้ คำแนะนำของเราเกี่ยวกับหลักการของสิทธิพิเศษน้อยที่สุดคือจุดเริ่มต้นที่ดี
การแบ่งปันข้อมูลประจำตัวเป็นภัยคุกคามด้านความปลอดภัย
การให้ยืมข้อมูลผู้ใช้ WordPress ของคุณแก่บุคคลอื่นอาจดูเหมือนไม่เป็นอันตราย แต่ก็ปลอดภัย ข้อมูลประจำตัวที่ส่งผ่านทางอีเมลอาจถูกสกัดกั้น และเวอร์ชันที่พิมพ์ออกมาอาจถูกบุกรุกได้อย่างรวดเร็ว
ผลการศึกษาในปี 2019 พบว่า 74% ของการละเมิดข้อมูลเป็นผลมาจากการละเมิดข้อมูลประจำตัวที่มีสิทธิพิเศษ ที่แย่กว่านั้น รายงานเดียวกันนี้พบว่ามากถึง 65% แชร์รูทหรือสิทธิ์เข้าถึงระบบ (เช่น WordPress) อย่างน้อยก็ค่อนข้างบ่อย*
สาเหตุที่ข้อมูลรั่วไหลมีสูงมากเนื่องจากข้อมูลประจำตัวที่ใช้ร่วมกันมักจะส่งเสริมรหัสผ่านที่อ่อนแอ แม้ว่ารหัสผ่านที่จำง่ายจะช่วยประหยัดเวลาสำหรับเจ้าของไซต์ WordPress แต่ก็ทำให้มีจุดอ่อนในการรักษาความปลอดภัยไซต์ของคุณ ปล่อยให้เปิดกว้างต่อการโจมตีแบบดุร้ายและพจนานุกรม
สุดท้ายนี้ หากคุณอนุญาตให้บุคคลจำนวนมากเข้าถึงบทบาทผู้ใช้ WordPress หนึ่งบทบาทบนไซต์ของคุณ คุณจะไม่สามารถติดตามได้ว่าใครเปลี่ยนแปลงอะไรในเว็บไซต์ของคุณ เมื่อมีหลายคนที่มีสิทธิ์เข้าถึงชื่อผู้ใช้และรหัสผ่านเดียว คุณจะถอดรหัสว่าบุคคลใดรับผิดชอบกิจกรรมที่ดำเนินการภายใต้บทบาทของผู้ใช้นั้นได้อย่างไร
เก็บบันทึกของผู้ใช้ที่มีบทบาทต่างกัน
ด้วยเหตุผลดังที่กล่าวไว้ข้างต้น คุณต้องให้ผู้มีส่วนร่วมแต่ละคนในไซต์ WordPress ของคุณเข้าสู่ระบบและบทบาทผู้ใช้ของตนเอง ควรใช้ปลั๊กอินเพื่อตรวจสอบกิจกรรมของผู้ใช้แต่ละรายเพื่อติดตามงานที่ดำเนินการไปพร้อมกับเพิ่มความปลอดภัยของไซต์
ด้วยปลั๊กอิน WP Activity Log คุณสามารถเก็บบันทึกกิจกรรมของการเปลี่ยนแปลงทุกอย่างที่ทำโดยผู้ใช้ WordPress ของคุณ ด้วยการติดตั้งปลั๊กอินนี้ คุณสามารถจัดเก็บและวิเคราะห์บันทึกกิจกรรมที่ครอบคลุม โดยได้รับการแจ้งเตือนแบบเรียลไทม์เมื่อผู้ใช้ทำการเปลี่ยนแปลงเว็บไซต์ที่สำคัญ คุณยังสามารถตรวจสอบผู้ใช้แบบเรียลไทม์เพื่อให้แน่ใจว่าพวกเขากำลังดำเนินการตามที่ควร
คุณสมบัติเหล่านี้มีประโยชน์อย่างยิ่งหากคุณใช้งานเว็บไซต์ขนาดใหญ่ที่มีหน่วยงานหลายแผนก (ตามปกติในอีคอมเมิร์ซ) หรือคุณเรียกใช้เครือข่ายหลายไซต์ในฐานะผู้ดูแลระบบขั้นสูง ด้วยบุคคลจำนวนมากที่ทำการเปลี่ยนแปลงอย่างต่อเนื่อง คุณสามารถใช้ปลั๊กอิน WP Activity Log เพื่อค้นหาผ่านบันทึกกิจกรรมและระบุเมื่อมีการเปลี่ยนแปลงเฉพาะในไซต์ WordPress (และโดยใคร)
การเพิ่มประสิทธิภาพบทบาทของผู้ใช้ใน WordPress
บทบาทผู้ใช้ WordPress มีส่วนสำคัญในโครงสร้างองค์กรของเว็บไซต์ของคุณ เพื่อลดปัญหาด้านความปลอดภัย ควรกำหนดบทบาทของผู้ใช้แต่ละคนและความสามารถที่เกี่ยวข้องอย่างระมัดระวัง ยิ่งไซต์ของคุณเติบโตมากเท่าไร บทบาทของผู้ใช้ก็จะยิ่งมีความสำคัญมากขึ้นเท่านั้น
ในหลายกรณี ควรหลีกเลี่ยงการแบ่งปันข้อมูลประจำตัวระหว่างบุคคลในทุกกรณี แม้ว่าคุณจะสามารถดูแลผู้ใช้ได้ไม่กี่คน เมื่อมีสมาชิกในทีมหลายคนที่กำหนดให้กับบทบาทของผู้ใช้แต่ละคน คุณต้องใช้ซอฟต์แวร์ เช่น ปลั๊กอิน WP Activity Log เพื่อติดตามการเปลี่ยนแปลงที่ทำในไซต์ของคุณอย่างถูกต้อง
ทำไมไม่เริ่มการทดลองใช้ฟรี 14 วันสำหรับเว็บไซต์ WordPress ของคุณตั้งแต่วันนี้
เคล็ดลับโบนัส
รหัสผ่านที่ไม่รัดกุมเป็นหนึ่งในภัยคุกคามที่ใหญ่ที่สุดต่อไซต์ WordPress ของคุณ ด้วยผู้ใช้จำนวนมากบนเว็บไซต์ของคุณ คุณต้องแน่ใจว่าพวกเขาทั้งหมดใช้รหัสผ่านที่คาดเดายากเพื่อป้องกันแฮกเกอร์
ด้วย WPassword คุณสามารถมั่นใจได้ว่าทุกคนที่เข้าสู่ระบบเว็บไซต์ของคุณใช้รหัสผ่านที่ปลอดภัย คุณยังสามารถลดระดับการจัดเตรียมความปลอดภัยของคุณโดยใช้การตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้ของคุณด้วยปลั๊กอิน WP 2FA
* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4