Gelişmiş WordPress güvenliği için en az ayrıcalık ilkesini uygulama
Yayınlanan: 2021-07-27WordPress için en az ayrıcalık ilkesi, ihlaller, veri kaybı ve DoS saldırıları meydana geldiğinde büyük manşetleri kaçırır. Yine de, WordPress web siteleri için gözden kaçan en iyi güvenlik uygulamalarından biridir.
Bu blog yazısında, önce en az ayrıcalık ilkesini tanımlıyoruz, ardından bunun ne zaman ve nerede geçerli olduğunu, bunu benimsememenin risklerini ve birçok web sitesi geliştiricisinin neden hala WordPress web sitelerine eklemediğini inceliyoruz. Ayrıca, WordPress web sitelerinizin güvenliğini hemen iyileştirmeye başlayabilmeniz için bazı pratik öneriler de paylaşıyoruz. Bu blog gönderisi, gerçek ortamlarda kullanımını göstermeye yardımcı olacak birkaç küçük vaka çalışması içermektedir.
İçindekiler
- En Az Ayrıcalık İlkesi nedir?
- En Az Ayrıcalık İlkesi ne zaman ve nerede geçerlidir?
- PoLP uygulanmadığında riskler nelerdir?
- Neden birçok web sitesi sahibi WordPress'te en az ayrıcalık ilkesini ihmal ediyor?
- WordPress için PoLP nasıl uygulanır
- WordPress veritabanı kullanıcı ayrıcalıkları
- WordPress kullanıcı rolleri ve ayrıcalıkları
- Özel roller oluşturma
- Dosya ve dizin izinleri
- WordPress eklentileri yapılandırması
- Üçüncü taraf yükleniciler için FTP erişimi
- Mini vaka çalışmaları
- e-ticaret sitesi uygulamaları
- Üniversiteler ve eğitim kurumları
- Haber siteleri ve bloglar
- bankacılık siteleri
- Sağlık ve fitness takipçileri
- WordPress ve ötesi için En Az Ayrıcalık İlkesini Kullanma
En Az Ayrıcalık İlkesi nedir?
Fikir çok basit: Bir kullanıcı hesabına, işleme veya programa, belirlenmiş görevlerini yerine getirmesi için ihtiyaç duyduğundan daha fazla erişim hakkı vermeyin. Bloglu tipik bir WordPress web sitesi açısından editörlerinizi, yazarlarınızı, katkıda bulunanlarınızı ve abonelerinizi düşünün. Her birinin web sitenizin arka ucunun az ya da çok erişimine ihtiyacı vardır.
En az ayrıcalık ilkesi (PoLP) aynı zamanda 'en az yetki ilkesi', 'minimum ayrıcalık ilkesi' veya 'en az ayrıcalıklı kullanıcı hesabı' (LUA) olarak da bilinir.
Bazı basit örnekleri ele alalım. Yeni yürümeye başlayan çocuklarınızın genellikle mutfağa erişmesine gerek yoktur. Böylece, belirli odalar dışında, istedikleri gibi dolaşabilmelerini sağlamak için evinizin çeşitli noktalarına güvenlik kapısı gibi bir erişim kontrol cihazı yerleştirirsiniz. Paylaşılan, halka açık bir ortak çalışma alanında, öğle yemeğine çıkmadan önce dizüstü bilgisayarınızın oturumunu kapatırsınız. Ve lüks restoranınızın otopark görevlisi, arabanızın anahtarlarını geri vermeden önce kimliğinizi veya biletinizi isteyecektir. Erişim kontrolü, ister fiziksel bir öğe isterse dijital teminat olsun, size ve kullanıcılarınızın değerli mülküne zarar gelmesini önler.
En Az Ayrıcalık İlkesi ne zaman ve nerede geçerlidir?
Basit cevap, her yerde geçerli olmasıdır: Merdivenleri tırmanmak isteyen o küçük çocuktan WordPress web sitesi barındırma hesabınızdaki kullanıcılara kadar. Aylık faturaları indirmesi gereken finans serbest çalışanınızın, web sitesi yöneticisiyle aynı düzeyde erişime ihtiyacı yoktur. Aynı şey her türlü ayrıcalıklı şirket hesabı, dosya yönetim sistemi, pazarlama stratejisi belgeleri veya şifre yöneticileri için de geçerlidir.
PoLP uygulanmadığında riskler nelerdir?
Belirli alanlara erişimi kontrol etmek kolay görünüyor. Aksi takdirde, masum ve kasıtsız hatalar yapabilenler ve hatta bu hataları yaptıklarının veya istenmeyen sonuçların farkında bile olmayanlar da dahil olmak üzere, web sitesini tamamen oturum açmış herhangi bir kullanıcının kaprisine göre terk etmiyor musunuz?
Aşağıdaki olası kullanıcıları düşünün:
- Yeni kullanıcı, bir WordPress web sitesindeki hataların işle ilgili etkilerini çok az anlayarak başlar
- WordPress yönetim deneyimi az olanlar
- Yeni WordPress sürümlerini veya eklentilerini istediğiniz zaman indirmenin veya önceden bir yedekleme yapmadan güncellemenin etkileri hakkında hiçbir bilgi sahibi olmadan
- Yeni kullanıcılar oluşturan veya mevcut kullanıcıların izinlerini değiştiren sınırlı güvenlik bilincine sahip olanlar
- Bildirilen hatalar veya diğer sorunlarla nasıl başa çıkacağını bilmeyenler
- Ortaklar, serbest çalışanlar ve müşteriler gibi, belki de biraz WordPress bilgisine sahip, hatta sormadan web sitenizdeki eklentileri 'yardımcı bir şekilde' indirebilecek veya güncelleyebilecek olan harici blog gönderisi katkıda bulunanlar
Ayrıca, tüm WordPress arka ucunuz, uygun olmayan erişim düzeylerine sahip, yeni kullanıcılar ekleyen ve onlara kasıtlı olarak zarar verebilecekleri web sitesinin alanlarına erişim sağlayan biri gibi başka türlü yetkisiz kişilerin riski altında olduğu anlamına gelir.
Örneğin:
- Temaları, özelleştirilmiş özellikleri veya halka açık web sitesi içeriğini değiştirme
- E-ticaret mağazalarında stokları, SKU'ları veya ürün meta verilerini yanlış kullanma
- Yetkisiz indirimler sunmak
- Kod, sayfa şablonları, medya, konfigürasyonlar veya personel, müşteri ve diğer dosya türlerine erişme, değiştirme, indirme veya silme
- Şirket, müşteri, sağlık veya finansal verilere örneğin kötüye kullanmak veya diğer kötü niyetli taraflara satmak için erişme
- Siteyi ve ürünlerini veya hizmetlerini çevrimdışına alma
WordPress kullansanız da kullanmasanız da, bu sorunların herhangi biri veya tümü, WordPress için en az ayrıcalık ilkesi kuruluşunuz genelinde bilinçli ve tutarlı bir şekilde benimsenmediğinde ortaya çıkabilir.
İPUCU: Kullanıcıların WordPress web sitenizde yaptığı tüm değişikliklerin günlüğünü tutmak için WordPress için bir etkinlik günlüğü eklentisi kullanın. Kullanıcı sorumluluğuna yardımcı olur ve sorun gidermeyi kolaylaştırır.
Neden birçok web sitesi sahibi WordPress'te en az ayrıcalık ilkesini ihmal ediyor?
Ana hatlarıyla belirttiğimiz riskler oldukça ikna edici görünüyor, değil mi? Ancak WordPress web sitesi denetimlerinin ardından bildirilen en yaygın sorunlardan biri, WordPress kullanıcılarının tipik bir ortamdaki rollerinin hala aşağıdaki gibi yapılandırılmasıdır:
- WordPress yönetici rolü, kullanıcının başka biri tarafından yazılmış içeriği girmesi gerekse bile, her kullanıcıya verilir.
- Aynısı, tümü en az kısıtlayıcı izinlerle yapılandırılmış dosyalar ve dizin izinleri için de geçerlidir.
Anladık. Hepimizin kariyerimizin bir noktasında sistem ve web sitesi yöneticisi olarak çalışma deneyimimiz olmuştur. İlk günlerde kullanıcılar ve izinler arasında bağlantı kurmak, kullanıcının ne yapması gerektiğini kontrol etmek yerine, yöneticiler genellikle onlara yönetici rolü de atamayı tercih ediyor (başlangıçta daha hızlı görünüyor).
Aynısı dosyalar ve dizin izinleri için de geçerlidir. Örneğin, bazı WordPress eklentileri, önbellek dosyalarını veya diğer verileri dosya sisteminde (yani WordPress dizinlerinde) depolar. 777 izinlerini /wp-content/plugins/ dizininde yapılandırmak daha kolaydır, çünkü tüm eklentiler çalışacaktır ve her yeni eklenti yüklediğinizde sorun giderme ve izinleri değiştirmek için daha fazla zaman harcamanıza gerek yoktur. Ancak, web sitesi uygulamasının veya dizinlerinin belirli alanlarını belirlemek için başlangıçta biraz araştırma yapmak - kullanıcıların çok fazla erişime sahip olmasını önlemek için - yukarıda belirtilen riskleri azaltır. Ayrıca, bir yöneticiden daha fazla girdi almadan herkesin işini yapmak için ihtiyaç duyduğu şeye erişmesini sağlama ek avantajına sahiptir.
Web sitesi sahiplerinin ve yöneticilerinin sorduğu sorular
Kolaylık güvenlik riskine değer mi? Bu soruya vereceğimiz yanıtın ne olacağını biliyorsunuz. En büyük güvenlik riskiniz amatör ve gevşek erişim kontrolleriyle arka kapıyı açık bıraktıysanız, önceden hazırlanmış ve sağlam web uygulaması güvenlik eklentileri, şifre protokolleri ve 2FA gibi diğer önlemleri kurmanın ve sürdürmenin hiçbir anlamı yoktur!
WordPress için en az ayrıcalık ilkesi nasıl uygulanır?
Artık web sitesi uygulamanızı olabildiğince güvenli hale getirmeye odaklandığınıza göre, bu bölüm size en az ayrıcalık ilkesinin bir WordPress web sitesine veya bloguna nerede ve nasıl uygulanabileceğinin bir listesini sunar.
WordPress veritabanı kullanıcı ayrıcalıkları
En temel yerle başlayalım – WordPress kullanıcı veritabanı izinleri veya ayrıcalıkları.
İçerik yazma ve yayınlama gibi normal günlük WordPress işlemleri için, WordPress veritabanı kullanıcısının, verileri veritabanından yönetmesini sağlamak için yalnızca aşağıdaki izinlere ihtiyacı vardır:
- Seçme
- Sokmak
- Güncelleme
- Silmek
Bu izinler, WordPress veritabanı kullanıcısının veritabanı yapısını değiştirmesine izin vermez.
öneriler
İdeal bir ortamda, WordPress web sitenizin veya blogunuzun güvenliğini güçlendirmek için güvenli ve kısıtlayıcı WordPress MySQL veritabanı ayrıcalıkları yapılandırmalısınız. Yalnızca veritabanında yeni tablolar oluşturan yeni bir eklenti yüklemesi gereken kullanıcılara veya WordPress güncellendiğinde ve WordPress veritabanı şemasında değişiklikler olduğunda tüm ayrıcalıkları atamaya geri dönün.
Diğer bir öneri ise, ilgili web sitesi için WordPress dışındaki veritabanlarına erişim vermekten kaçınmaktır.
WordPress veritabanı ayrıcalıkları hakkında daha fazla bilgi için, güvenli olmayan yapılandırmanın yansımalarını açıklayan Neden minimum MySQL kullanıcısı WordPress veritabanı ayrıcalıklarının güvenliği artırdığını da okuyabilirsiniz.
WordPress kullanıcı rolleri ve ayrıcalıkları
WordPress kullanıcıları, hatta yöneticiler bile hata yapar. Ayrıca, kullanıcılar ayarları ve konfigürasyonları keşfetmeyi de sever. Kullanıcılara Süper Yönetici veya Yönetici erişimi atarsanız, aralarında daha meraklı olanlar büyük olasılıkla rastgele eklentiler yükleyecektir. Bu, potansiyel olarak, web sitesinin işlevselliğinde bir değişiklik gibi kullanıcı deneyiminde kasıtsız bir değişikliğe neden olabilir.
WordPress, aşağıda listelendiği gibi (çoğundan en aza doğru) bir dizi yerleşik kullanıcı rolüne ve bağlı yeteneklere sahiptir.
- Süper Yönetici – site ağı yöneticisi
- Yönetici – tek bir site için site ağ yöneticisi
- Editör – diğer kullanıcıların gönderileri de dahil olmak üzere gönderileri yönetin ve yayınlayın
- Yazar - kendi gönderilerini yönet ve yayınla
- Katılımcı – kendi gönderilerinizi yazın ve yönetin, ancak bunları yayınlamayın
- Abone – yalnızca profili yönet
Bunun pratikte nasıl çalıştığına bir örnek, bir Katkıda Bulunan ve Yazar bazı yetenekleri paylaşabilirken (örneğin gönderileri düzenleme ve gönderileri silme), bir Katkıda Bulunan'ın, dosya yüklemek veya kullanılabilir bloklar oluşturmak gibi bir Yazarın yapabileceği her şeyi yapamamasıdır.
Özel roller oluşturma
Ayrıca yeni ve özel WordPress rolleri oluşturmak için kullanabileceğiniz çok sayıda eklenti vardır.
İşte bazı yaygın kullanım durumları:
- Daha büyük kuruluşlarda, pazarlama ekibinizden yorumları denetlemesi, onaylaması ve yanıtlaması için birini atamanız gerekebilir. 'Ortalama yorumlar' yeteneği, Düzenleyici rolü içinde yer alır, ancak bu rol aynı zamanda bir dizi başka güçlü yetenek de atar. Bu nedenle, yapabilmeleri gereken tek şey buysa, o zaman bu tek izinle özel bir rol ayarlamak yeterlidir.
- WordPress siteniz WooCommerce gibi bir e-ticaret eklentisi içeriyorsa, iki başlangıç rolüyle sınırlandırılırsınız: Mağaza Yöneticisi (kullanıcının tüm mağazayı yönetmesine izin verir) ve Müşteri (kullanıcının hesabını ve siparişlerini görüntülemesine izin verir). Yönetici, 'ayarları yönet' ve 'raporları görüntüle' gibi ek izinlere sahiptir. Ancak, kullanıcılarınız - örneğin yönetim dışı personel - stok miktarlarını veya SKU'ları ekleme ve yönetme veya sadece siparişleri işleme gibi arada bir şeye ihtiyaç duyarsa?
- Web sitemizde, bilgi bankası makalelerimiz için bir eklenti kullanıyoruz. Bu, destek ekibimize bilgi bankası makaleleri oluşturma ve değiştirme erişimi sağlar, ancak ana web sitesi sayfalarına ve blog gönderilerine erişim sağlamaz.
öneriler
Çoğu normal kullanıcı için Katkıda Bulunan rolü yeterlidir. Ekip liderleri ve uygulamalı yöneticiler için Editör rolü önerilir. Ancak, Süper Yönetici ve Yönetici rollerini, onlara gerçekten ihtiyacı olan deneyimli, sorumlu kullanıcılarla sınırlandırmalısınız.
Daha fazla bilgi için bkz. Gelişmiş WordPress güvenliği için WordPress kullanıcı rolleri nasıl kullanılır.
Dosya ve dizin izinleri
Dosya ve dizin izinlerini yapılandırmak kolaydır ve WordPress kurulumunuzun izinlerini nasıl sertleştireceğinizi açıklayan çevrimiçi olarak bol miktarda belge bulunmaktadır. WordPress, genellikle Linux olmak üzere PHP çalıştıran herhangi bir işletim sisteminde çalışır. Gruplar açısından Linux'un üç izin grubu vardır:
- Sahip – izinleri diğer kullanıcılar için geçerli olmayan veya onları etkilemeyen dosya/dizin sahibi
- Grup – dosyaya/dizine erişim atanmış, izinleri grup dışındaki kullanıcılar için geçerli olmayan veya bunları etkilemeyen kullanıcı grubu
- Diğer – herkesin aynı dosya/dizin için hangi izin seviyelerine sahip olduğu
Bunların her birine Okuma (içeriği görüntüleme), Yazma (içeriği yazma veya değiştirme) veya Yürütme (komut dosyası gibi içeriği çalıştırma) izni verilir. Bu izinler bir dizi sayı olarak saklanır ve PHP koduna, resimlere ve diğer medyalara, HTML ve javascript dosyalarına ve eklentilere erişim sağlar.
Yanlış izin grubuna yanlış izinler atamanın anlamı, kötü niyetli bir bilgisayar korsanının avantaj elde edebileceği ve düşük seviyeli bir güvenlik açığının kabul edilemez bir riske dönüşmesine neden olabileceği anlamına gelebilir.
öneriler
WordPress'i kurarken, WordPress'in çalışması için mümkün olan en az dosya ve dizin izinlerini yapılandıran PoLP'yi de kullanmalısınız.
Dosya ve dizin izinlerini sertleştirerek bazı WordPress eklentilerinin çalışmasını da kısıtlayabileceğinizi unutmayın. Daha önce açıklandığı gibi, kurulum dizinlerinde veri depolaması gereken eklentiler kuruyor olabilirsiniz. Öyleyse, eklenti dizinine 777 iznini yapılandırmayın (tam okuma, yazma ve kontrol etme izinleri olan herkese yürütme). Kolay çıkış yolu budur. Ancak, ilgili kullanıcıların WordPress'i, temalarını ve eklentilerini web kullanıcı arayüzünden güncellemesini önleyecek şekilde sınırlamaktan da kaçınmalısınız.
Daha fazla bilgi için, WordPress dosya izinlerine bakın: güvenli web sitesi ve web sunucusu izinlerini yapılandırma kılavuzu.
WordPress eklentileri yapılandırması
Tüm yöneticiler eşit değildir. Birçok sistem ve ağ gibi, bir grup WordPress yöneticisi arasında bir lider yöneticiye sahip olmak yaygındır. Tipik olarak, web sitesinin sahibinin diğer kullanıcılara yönetici erişimi atamaktan başka seçeneği yoktur. WordPress güvenlik eklentileri söz konusu olduğunda, genellikle yöneticilerin erişebileceği bir WordPress güvenlik denetim günlüğü gibi hassas verileri depolayabileceklerini unutmayın.
öneriler
WordPress güvenlik eklentileri, genellikle diğer WordPress yöneticilerine erişimi kısıtlamanıza izin verir. Bu tür özelliklerden yararlanmak, kullanıcı erişiminden daha iyi sorumlu olmanıza yardımcı olacak küçük ama bazen gözden kaçan bir kontrol gibi görünüyor.
Bireysel eklentiler hakkında daha fazla bilgi için eklenti desteği ve barındırma sağlayıcısı ile iletişime geçin. Ardından, eklentinin hangi dizinlere yazması gerektiğini sorun, böylece izinleri o dizine özel olarak yapılandırabilirsiniz.
Üçüncü taraf yükleniciler için FTP erişimi
Bir tasarımcıyı işe aldığınızda veya bir eklentinin destek ekibinin web sitenize FTP erişimine ihtiyacı olduğunda, onlara web sitenizin köküne tam erişim izni verebilirsiniz, değil mi? Bu gereksiz.
öneriler
Bir tasarımcı söz konusu olduğunda, erişmeleri gereken tek şey temanın dizinidir, bu nedenle bu dizine erişimi kısıtlayın. Aynısı eklenti destek ekipleri için de geçerlidir. Günlük dosyalarını kontrol etmek için erişime ihtiyaçları varsa, onlara eklentinin dizinine veya eklentinin günlük dosyalarını depoladığı konuma FTP erişimi verin. Sizin için güvenlik durum tespitini yapmak için harici taraflara bağımlı olmaktan kaçının.
Mini vaka çalışmaları
Bunun pratikte nasıl çalıştığına ve erişim kontrolü sorularının ve kararlarının, doğru ekipler ve bireyler için doğru erişimi sağlamak için PoLP uygulamasını nasıl yönlendirebileceğine dair bazı ilişkilendirilebilir örneklere bakalım.
e-ticaret sitesi uygulamaları
Tüketicilerin buzdolabı-dondurucular, elektrikli süpürgeler, kameralar veya dizüstü bilgisayarlar gibi büyük bilet ürünlerini satın aldıkları e-ticaret web sitesi uygulamaları, PoLP'nin nerelerde benimsenebileceğine dair çeşitli örnekler sunar.
E-ticaret web sitesi uygulama geliştiricileri için erişim kontrolü kararlarından bazıları açıktır:
- İK departmanlarının muhtemelen müşteri verilerine veya eklentileri depolayan dosya dizinlerine erişmeleri gerekmeyecek, ancak personel kayıtlarının çoğuna erişmeleri gerekecek (belki de çoğu veri koruma uyum mevzuatı kapsamında özel statüye sahip olan sağlık verileri, daha çok bilme ihtiyacıyla sınırlı olmak)
- Pazarlama departmanlarının mutlaka SKU tablolarına veya ürün kodlarına erişmesi gerekmez. Ancak, ürün veritabanındaki ürün adlarını, özelliklerini ve açıklamalarını listeleyen tablolara erişmek isteyeceklerdir.
Bazıları daha az belirgindir:
- Tüketicilerin her zaman tüm verilerine erişmesi gerekiyor mu?
- PCI-DSS uyumluluk görevlilerinin tüm tüketici verilerine erişmesi gerekiyor mu?
Üniversiteler ve eğitim kurumları
Web uygulaması güvenliğinin ve PoLP'nin başlangıçta daha az belirgin olduğu daha geleneksel ve uzun süredir devam eden kurumlara ne dersiniz?
Üniversite ve kolej portalları için erişim kontrol kararlarından bazıları açıktır:
- Bordro departmanının, iş günlerini takip etmek ve ödeme yapmak için web sitesi uygulamasındaki personel ve yüklenici kayıtlarına erişmesi gerekir.
- Çeşitli türlerdeki idari departmanların öğrenci kayıtlarına, kimlikleri, konaklama başvurularını, faturaları veya hibeleri işlemek için erişmesi gerekebilir.
Bazıları daha az belirgindir:
- Kaydırmalı kart sağlayıcıları oluşturmak gibi hangi üçüncü taraf tedarikçilerin bazı öğrenci veri tablolarına aralıklı erişime ihtiyacı olabilir?
Haber siteleri ve bloglar
Web, haber siteleri, podcast'ler ve bloglarla dolu. Birçok web sitesi sahibi, birden fazla yöneticiye, katkıda bulunanlara, editörlere, düzeltmenlere ve yayıncılara bağımlıdır. Ayrıca, dikkate alınması gereken aboneler ve izleyiciler var.
Haber ve blog web sitesi uygulamaları için erişim kontrol kararlarından bazıları açıktır:
- İş sorumluluk alanlarına bağlı olarak, editörlerin herkesin sayfalarına, makalelerine ve blog gönderilerine erişmesi gerekebilir.
- Katkıda bulunanların yalnızca kendi blog gönderilerine erişmesi gerekir
Bazıları daha az belirgindir:
- Tüm üçüncü tarafların WordPress veritabanındaki her tabloya erişmesi gerekiyor mu? Bu, özelleştirilmiş kontrollerin kendi başına geldiği yerdir.
bankacılık siteleri
Son örneğimiz, çoğumuzun günlük olarak kullandığı bankacılık web sitesi hizmetleridir. Sağlık bilgilerinin yanı sıra, kişisel finansal veriler de doğal olarak var olan en gizli türlerden biridir.
Web sitesi uygulamaları yapmak için erişim kontrolü kararlarından bazıları açıktır:
- Hiçbir bankacılık hizmeti kullanıcısı, açık (muhtemelen kullanıcı tarafından kontrol edilen) onay dışında başka bir kullanıcının hesabına erişemez.
- Personel kullanıcı hesaplarının birçok hizmet kullanıcı hesabına erişimi olmalıdır, ancak yalnızca işlerinin bir parçası olarak gerçekleştirmeleri gereken görevlerle sınırlı olmalıdır.
Bazıları daha az belirgindir:
- Teknik destek departmanlarının ne kadar erişimi olmalıdır? Hata durumunda her şeyi görüntüleyebilmeli ve değiştirebilmeli mi?
Her senaryo için iş kullanım senaryosunu düşünmenizi ve planlamanızı öneririz. Benzersiz iş tanımlarına sahip kullanıcı gruplarınız ve bireyleriniz ile birlikte. Önce bunları haritalayın. Ancak o zaman WordPress web sitenizde size sunulan erişim kontrol protokollerini incelemeye başlayabilirsiniz.
Sağlık ve fitness takipçileri
Sağlık veya fitness takip cihazları ve bunlara bağlı çevrimiçi gösterge panoları, kullanıcılar ve sağlık verileri, etkinlikleri, hedefleri ve başarıları hakkında etkileyici istatistikleri toplar, depolar ve paylaşır.
Sağlık ve fitness takipçisi markaları için erişim kontrolü kararlarından bazıları açıktır:
- Kuruluş içindeki hangi ekiplerin hangi verilere erişmesi gerekiyor? Uygulamanın uyku izleme bölümünün tasarımından ve geliştirilmesinden bir takımın sorumlu olması durumunda, antrenman istatistikleri tablolarına mutlaka erişmeleri gerekmediği mantıklıdır.
- Çoğu kullanıcı PoLP'nin (bunu bilseler de bilmeseler de) çok kısıtlayıcı olmasını ister, bu nedenle sağlık bilgileri diğer her kullanıcıyla paylaşılmaz. Öyleyse, normal kullanıcı rolüne hangi erişim ayrıcalıkları verilmelidir ve bu nedenle genel bir profilde hangi veriler paylaşılacaktır (yalnızca ad, profil resmi ve ortalama günlük adımlar?).
Bazıları daha az belirgindir:
- Bu tür araçların ortak oyunlaştırma özelliklerini kolaylaştırmak için diğer kullanıcılar tarafından ne kadar ve ne kadar bilginin erişilebilir olması gerekiyor?
- Geliştiriciler tüm erişim izinlerini belirlemeli mi, yoksa bu karar verme sürecinin bir kısmı kullanıcılara mı verilmeli?
WordPress ve ötesi için En Az Ayrıcalık İlkesini Kullanma
Yukarıdakiler, WordPress için en az ayrıcalık ilkesinin genellikle gözden kaçırıldığı ancak kolayca uygulanabileceği en yaygın senaryolardan yalnızca bir seçkidir.
PoLP'yi benimsemeye başlamak için, aşağıdaki öğeler hakkında ne yapmak istediğinizi düşünerek başlayın:
- web sunucusu
- Veritabanı
- özelleştirmeler
İşler hemen yürümediği için en az ayrıcalık ilkesini uygulamaktan çekinmeyin. Evet, çoğu zaman özelleştirilmiş kullanıcı rollerini ve sorun giderme eklentilerini yapılandırmak için birkaç saat harcamanız gerekir. Bunu, WordPress web sitelerinizin güvenliğine uzun vadeli bir yatırım olarak yeniden paketleyin.