• Anasayfa
  • Nesne
  • Güvenlik
  • Gelişmiş WordPress güvenliği için WordPress kullanıcı rolleri nasıl kullanılır?

Gelişmiş WordPress güvenliği için WordPress kullanıcı rolleri nasıl kullanılır?

Yayınlanan: 2020-09-24

Bir içerik yönetim sistemi olarak WordPress'in belirli bir kullanıcı rolü vardır. Özünde, bu WordPress kullanıcı rolleri, web sitenizdeki her bir kullanıcının yeteneklerini (belirli web sitesi görevlerini gerçekleştirme izinlerini) tanımlar.

Siteniz büyüdükçe, web sitenizin sürekli güvenliğini sağlamak için bu rolleri ve yetenekleri anlamak önemlidir. Yanlış kullanıcı rolleri atamak feci sonuçlara yol açabileceğinden.

Bu makalede, kullanıcı rollerinin (özel roller dahil) neler olduğunu açıklayacağız, böylece bunları nasıl doğru şekilde atayacağınızı bileceksiniz. WordPress kullanıcılarınızın etkinliğini yönetmek ve izlemek için WordPress eklentilerinin nasıl kullanılacağını da ele alacağız.

WordPress kullanıcı rollerinin temelleri

Bir WordPress sitesine erişiminizin türü, sahip olduğunuz role ve dolayısıyla size verilen yeteneklere göre belirlenir.

  • Bir 'rol', bir grup / önceden tanımlanmış yetenekler listesidir. Bir kullanıcı olarak size hangi yeteneklere sahip olduğunuzu belirleyen bir rol atanır.
  • 'Yetenekler' esasen bu kullanıcı rolünün yapabilecekleridir (gönderileri yayınlama, ayarları değiştirme vb.)

Örneğin, Editör, yorumları denetleme, içerik yayınlama ve yeni içerik oluşturma gibi yeteneklere sahip bir kullanıcı rolüdür. Daha büyük bir haber veya blog web sitesinde, her biri kendi konu bölümlerinden sorumlu birkaç Editörün olması normaldir.

Bazı eklentiler özelleştirilmiş WordPress kullanıcı rolleri eklerken (bu konuya birazdan değineceğiz), her standart WordPress sitesinde altı varsayılan kullanıcı rolü vardır. Bunlar aşağıdaki gibidir:

  • Süper Yönetici
  • yönetici
  • Editör
  • Yazar
  • katkıda bulunan
  • Abone

WordPress kullanıcı rolü yetenek hiyerarşisini anlama

Rollerin yapısının hiyerarşik olduğunu anlamak önemlidir. Her kullanıcı rolü, bazı role özgü yeteneklerin eklenmesiyle, altındaki konumların yeteneklerine sahiptir.

Örneğin, kullanıcı rolü piramidinin en altındaki Abone'ye bakalım. Bir Abone rolüne yalnızca 'okuma' özelliği eklenir (bu, yalnızca sitenizdeki gönderileri okuyabilecekleri anlamına gelir).

Kullanıcı rolünün bir sonraki düzeyi olan Contributor'a geçelim. Bu rolün 'okuma' özelliği vardır, ancak aynı zamanda 'edit_posts' ve 'delete_posts' yeteneklerine de sahiptir. Bu, kendi gönderilerini düzenleyebilecekleri ve silebilecekleri anlamına gelir.

Yazar kullanıcı rolü, aşağıdaki atanan ek ayrıcalıklarla hem Abone hem de Katkıda Bulunan yeteneklerine sahiptir:

  • Delete_publish_posts
  • Publish_posts
  • Dosyaları yükle
  • Edit_published_posts

Gördüğünüz gibi, yetenekler, en yüksek ayrıcalıklar kümesine sahip olan Süper Yöneticiyle birlikte, kullanıcı rolü yapısını ne kadar yukarıya taşırsanız o kadar artar. Öyleyse, her bir role, azalan sırayla biraz daha ayrıntılı olarak bakalım.

WordPress Süper Yönetici rolü

WordPress Süper Yöneticisi, en üst düzey WordPress kullanıcı rolüdür, bu nedenle mevcut tüm yeteneklere sahiptirler. Süper Yönetici ve Yönetici arasındaki fark, bu yeteneklerin bir WordPress çoklu site ağı içindeki siteler arasında aktarılabilmesidir.

Anlaşılır olması açısından, farklı WordPress siteleri/ağları arasındaki fark şu şekildedir:

WordPress çoklu site ağı – tek bir WordPress panosundan birden çok web sitesi ağı oluşturmanıza ve yönetmenize olanak tanıyan bir tür WordPress kurulumu.
Çoklu site ağındaki (alt site) bir WordPress sitesi – çoklu site ağınız içindeki bir WordPress sitesi. Bu alt site, ağdaki diğer sitelerin eklentilerini ve temasını paylaşır ancak kendi alt temasına sahip olabilir.
Bağımsız bir WordPress sitesi – bağımsız bir site, normal WordPress kurulumunuzdur. Kendine özgü eklentileri, ayarları ve temaları vardır.

Bir Süper Yönetici (yalnızca çok siteli ağlarda bulunur) alt siteler oluşturabilir ve yönetebilir, ağ kullanıcıları oluşturabilir ve yönetebilir, temaları ve eklentileri yükleyebilir ve kaldırabilir ve bunları ağ genelinde etkinleştirebilir.

Örneğin, her biri belirli bir tüketici segmentine (erkek, kadın ve çocuk giyimine) odaklanan üç e-ticaret mağazasından oluşan bir ağ işlettiğinizi varsayalım. Bir Süper Yönetici, WooCommerce eklentisini güncelleme veya yapılandırma gibi bu sitelerin üçüne de yansıyan değişiklikler yapabilir.

WordPress Yönetici rolü

Süper Yöneticiler gibi, Yöneticiler de tüm yeteneklere sahiptir. Ancak, bu izinler bir web sitesinin kapsamı ile sınırlıdır. Bu yetenekler aşağıdakileri içerir, ancak bunlarla sınırlı değildir:

  • Herhangi bir WordPress eklentisini kurun ve kaldırın, etkinleştirin ve devre dışı bırakın, düzenleyin ve güncelleyin.
  • Yeni içerik oluşturun, mevcut içeriği okuyun, değiştirin ve silin. Örneğin, başka herhangi bir kullanıcı tarafından oluşturulan WordPress sayfaları ve blog gönderileri. Bu, yayınlanmamış, özel ve parola korumalı malzemeleri içerir.
  • Yeni kullanıcılar oluşturun, mevcut kullanıcıları değiştirin ve silin.
  • WordPress temalarını yükleyin, etkinleştirin ve devre dışı bırakın.
  • WordPress tema dosyalarını değiştirin.
  • Yeni Kategoriler oluşturun, değiştirin veya mevcut Kategorileri silin.
  • Yeni WordPress menüleri oluşturun, değiştirin veya mevcut WordPress menülerini silin.
  • Dosyaları WordPress'e yükleyin.
  • Sayfalarda, gönderilerde ve yorumlarda HTML işaretlemesi ve JavaScript kodu gönderebilme (filtrelenmemiş HTML).
  • Orta dereceli yorumlar.

Unutmayın, bu yetenekler Süper Yönetici ile aynıdır. Ancak, bir Süper Yönetici, bir WordPress ağı içindeki birden çok siteye yayılmış bu ayrıcalıklara sahiptir.

WordPress Düzenleyici rolü

Yeteneklerin kısıtlandığı yapının düzeyi, Düzenleyici kullanıcı rolüdür. Editör rolü, geleneksel bir yayın ortamında olduğu gibi içeriğe odaklanır. WordPress web sitenizin yapılandırmasını, kurulumunu, işlevselliğini veya tasarımını içeren hiçbir izinleri yoktur.

Yetenekleri şunları içerir:

  • Orta dereceli yorumlar.
  • Blog gönderileri ve WordPress sayfaları gibi yeni içerikler oluşturun.
  • Başka herhangi bir kullanıcı tarafından oluşturulan WordPress sayfaları ve blog gönderileri gibi mevcut içeriği okuyun, değiştirin ve silin. Bu aynı zamanda yayınlanmamış, özel ve parola korumalı malzemeleri de içerir.

WordPress Yazar rolü

Yazardan başlayarak, WordPress kullanıcı rollerinin yetenekleri çok daha kısıtlı hale gelir. Yazar kullanıcı rolüne atanan bir kişi yalnızca blog gönderilerine ve profiline erişebilir.

Böylece blog yazılarını yayınlayabilir, kendi mevcut blog yazılarını değiştirebilir ve kullanıcı profillerini değiştirebilirler.

WordPress Katılımcı rolü

Yazar kullanıcı rolüne benzer şekilde, Katkıda Bulunanlar blog gönderileri yazabilir. Ancak, WordPress katkıda bulunanlar kendi blog gönderilerini yayınlayamazlar. Bir WordPress Katılımcısı tarafından yazılan tüm blog gönderilerinin bir WordPress Editörü veya Yöneticisi tarafından onaylanması ve yayınlanması gerekir.

WordPress Abone rolü

Bu, bir WordPress web sitesinde bir hesaba kaydolmak için kaydolan herkese verilen varsayılan rol. Bir Abone yalnızca içeriği okuyabilir ve bir WordPress sitesindeki herhangi bir içerik türünü değiştirme erişimine sahip değildir. Yalnızca profil bilgilerini değiştirebilirler.

WordPress özel kullanıcı rolleri

Yukarıda açıklanan WordPress kullanıcı rolleri, standart bir WordPress sitesinde sağlanan varsayılan 'kullanıma hazır' rollerdir. Bazı durumlarda, WordPress eklentileri, bu rolü gerçekleştirmek için belirli yetenekler eklenmiş olarak kendi özelleştirilmiş kullanıcı rollerini yükler.

Örneğin, WooCommerce kullananlarınız bir Mağaza Yöneticisi kullanıcı rolü fark edecek. Aynı şekilde, SEO eklentisi Yoast, kendi farklı WordPress izinleriyle tamamlanmış SEO Düzenleyici ve SEO Yöneticisi kullanıcı rollerini sunar.

Önceden var olan roller istediğiniz amaçlara tam olarak uymuyorsa, özel WordPress kullanıcı rolleri oluşturmak ilginizi çekebilir. Örneğin, Abonelere salt okuma yeteneklerinden çok daha fazla ayrıcalık vermenizi gerektiren bir üyelik sitesi çalıştırabilirsiniz. Bu durumda, Kullanıcı Rol Düzenleyicisi gibi WordPress eklentileri, belirli iş ihtiyaçlarınızı daha iyi karşılamak için her bir rol içindeki izinleri özelleştirmenize olanak tanır.

Güvenliği artırmak için WordPress kullanıcı rolleri nasıl kullanılır?

WordPress kullanıcı rolleri, web sitenizin genel güvenliğinde önemli bir rol oynar. Yanlış kişiye çok fazla yetenek atamak gibi basit bir eylem, potansiyel olarak feci sonuçlara yol açabilir. Bunu akılda tutarak, kullanıcı rolü atamalarınızı doğru yapmalısınız.

Doğru rolü doğru kişiye atayın

Herhangi bir geleneksel işte olduğu gibi, alt basamaktaki çalışanlarınıza veya dış yüklenicilere, işletme sahibiyle aynı hak ve sorumlulukları dağıtmazsınız.

Örneğin, bir WordPress sitesine atıfta bulunurken, web geliştiricilerinin arka uç web sitesi işlevlerinde gerekli değişiklikleri yapmak için Yönetici düzeyinde erişime ihtiyaçları vardır. Ancak, kontrol altında kalabileceğiniz kendi özel kullanıcı oturum açma bilgilerine sahip olmaları gerekir.

Aynı durum, bir blog işletiyorsanız Yazarlar ve Katkıda Bulunanlar için veya bir e-ticaret mağazası işletiyorsanız Mağaza ve Ürün Yöneticileri için de geçerlidir. Birkaç nedenden dolayı web yöneticisi olarak kontrolün sizde olması gerekir.

Bununla ilgili daha fazla bilgi için, en az ayrıcalık ilkesine ilişkin kılavuzumuz başlamak için iyi bir yerdir.

Kimlik bilgilerini paylaşmak bir güvenlik tehdididir

WordPress kullanıcı bilgilerinizi başka birine ödünç vermek zararsız görünebilir, ancak güvenli olmaktan başka bir şey değildir. E-posta üzerinden iletilen kimlik bilgileri ele geçirilebilir ve basılı sürümler de aynı hızla tehlikeye girebilir.

2019'da yapılan bir araştırma, veri ihlallerinin %74'ünün ayrıcalıklı erişim kimlik bilgilerinin kötüye kullanılmasının bir sonucu olduğunu ortaya çıkardı. Daha da kötüsü, aynı rapor, %65'e kadarının sistemlere (WordPress gibi) kök veya ayrıcalıklı erişimi en azından bir şekilde paylaştığını buldu.*

Veri ihlallerinin bu kadar yüksek olmasının bir nedeni, paylaşılan kimlik bilgilerinin zayıf parolaları teşvik etme eğiliminde olmasıdır. Hatırlanması kolay parolalar WordPress site sahipleri için zaman kazandırırken, site güvenliğinizde bir zayıflık oluşturarak onu kaba kuvvet ve sözlük saldırılarına açık bırakır.

Son olarak, sitenizdeki bir WordPress kullanıcı rolüne çok sayıda kişiye erişim izni verirseniz, web sitenizde kimin neyi değiştirdiğini izleyemezsiniz. Birkaç kişinin tek bir kullanıcı adı ve parolaya erişimi varken, o kullanıcı rolü altında gerçekleştirilen faaliyetlerden hangi kişinin sorumlu olduğunu nasıl çözeceksiniz?

Farklı rollere sahip kullanıcıların günlüklerini tutun

Yukarıda özetlenen nedenlerden dolayı, WordPress sitenize katkıda bulunan her birine kendi oturum açma ve kullanıcı rolünü vermeniz gerekir. O zaman, site güvenliğini arttırırken üstlenilen işleri izlemek için her kullanıcının etkinliğini izlemek için bir eklenti kullanmak iyi bir fikirdir.

WP Activity Log eklentisi ile WordPress kullanıcılarınız tarafından yapılan her değişikliğin bir aktivite kaydını tutabilirsiniz. Bu eklentiyi yükleyerek, bir kullanıcı kritik site değişiklikleri yaptığında gerçek zamanlı uyarılar alarak kapsamlı bir etkinlik günlüğünü saklayabilir ve analiz edebilirsiniz. Ayrıca, görevlerini gerektiği gibi yerine getirdiklerinden emin olmak için kullanıcıları gerçek zamanlı olarak izleyebilirsiniz.

Bu özellikler, özellikle birkaç departmana sahip büyük tekil web siteleri işletiyorsanız (e-ticarette sıklıkla olduğu gibi) faydalıdır. Veya çok siteli bir ağı Süper Yönetici olarak çalıştırırsınız. Sürekli değişiklik yapan çok sayıda kişi varken, etkinlik günlüklerinde arama yapmak ve bir WordPress sitesinde belirli değişikliklerin ne zaman (ve kim tarafından) yapıldığını belirlemek için WP Etkinlik Günlüğü eklentisini kullanabilirsiniz.

WordPress'te kullanıcı rollerini optimize etme

WordPress kullanıcı rolleri, web sitenizin organizasyon yapısında oynayacak hayati bir role sahiptir. Güvenlik sorunlarını en aza indirmek için her kullanıcı rolü ve bunlarla ilişkili yetenekler dikkatli bir şekilde atanmalıdır. Siteniz büyüdükçe, daha önemli kullanıcı rolleri olur.

Çoğu durumda, kişiler arasında kimlik bilgilerinin paylaşılmasından ne pahasına olursa olsun kaçınılmalıdır. Birkaç kullanıcıyı denetleyebilecek olsanız da, her kullanıcı rolüne atanmış birden fazla ekip üyesi olduğunda, sitenizde yapılan değişiklikleri doğru bir şekilde izlemek için WP Activity Log eklentisi gibi bir yazılıma ihtiyacınız vardır.

WordPress web siteniz için 14 günlük ücretsiz deneme sürümünüzü neden bugün başlatmıyorsunuz?

Bonus ipucu

Zayıf şifreler, WordPress siteniz için en büyük tehditlerden biridir. Web sitenizde bu kadar çok kullanıcı varken, bilgisayar korsanlarına karşı korunmak için hepsinin güçlü parolalar kullandığından emin olmanız gerekir.

WPassword ile web sitenize giriş yapan herkesin güvenli bir şifre kullanmasını sağlayabilirsiniz. Ayrıca, WP 2FA eklentisi ile kullanıcılarınız için iki faktörlü kimlik doğrulama uygulayarak güvenlik düzenlemelerinizi ikiye katlayabilirsiniz.

* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4