如何使用 WordPress 用户角色来提高 WordPress 安全性
已发表: 2020-09-24作为一个内容管理系统,WordPress 有一套用户角色。 本质上,这些 WordPress 用户角色定义了您网站上每个用户的能力(执行特定网站任务的权限)。
随着您网站的发展,了解这些角色和功能对于确保您网站的持续安全至关重要。 因为分配错误的用户角色可能会导致灾难性的后果。
在本文中,我们将概述什么是用户角色(包括自定义角色),以便您了解如何正确分配它们。 我们还将介绍如何使用 WordPress 插件来管理和监控 WordPress 用户的活动。
WordPress 用户角色的基础知识
您对 WordPress 站点的访问类型取决于您拥有的角色,因此也取决于您获得的能力。
- “角色”是一组/预定义的能力列表。 作为用户,您将被分配一个角色,该角色决定了您拥有的能力。
- “能力”本质上是用户角色可以做的事情(发布帖子、更改设置等)
例如,编辑者是具有审核评论、发布内容和创建新内容等功能的用户角色,仅举几例。 在较大的新闻或博客网站上,通常有多个编辑,每个编辑负责各自的主题部分。
虽然一些插件添加了自定义的 WordPress 用户角色(我们稍后会介绍),但每个标准 WordPress 站点都有六个默认用户角色。 它们如下:
- 超级管理员
- 行政人员
- 编辑
- 作者
- 贡献者
- 订户
了解 WordPress 用户角色能力层次结构
重要的是要了解角色的结构是分层的。 每个用户角色都具有其下方职位的功能,并添加了一些特定于角色的功能。
例如,让我们看一下用户角色金字塔的底部,订阅者。 订阅者角色只有附加的“阅读”功能(这意味着他们只能阅读您网站上的帖子)。
让我们进入下一个级别的用户角色,贡献者。 此角色具有“读取”功能,但也具有“编辑帖子”和“删除帖子”功能。 这意味着他们可以编辑和删除自己的帖子。
作者用户角色具有订阅者和贡献者的能力,并具有以下分配的附加权限:
- 删除_publish_posts
- Publish_posts
- 上传文件
- Edit_published_posts
如您所见,这些功能会随着您移动的用户角色结构的进一步增加而增加,超级管理员拥有最高权限集。 因此,让我们按降序更详细地了解每个角色。
WordPress 超级管理员角色
WordPress 超级管理员是最高级别的 WordPress 用户角色,因此,他们拥有所有可用的功能。 超级管理员和管理员之间的区别在于,这些功能可以在 WordPress 多站点网络中跨站点传输。
为清楚起见,以下是不同 WordPress 站点/网络之间的区别:
WordPress 多站点网络——一种 WordPress 安装类型,允许您从单个 WordPress 仪表板创建和管理多个网站的网络。
多站点网络(子站点)上的 WordPress 站点 – 多站点网络中的 WordPress 站点。 该子站点共享网络上其他站点的插件和主题,但可以有自己的子主题。
一个独立的 WordPress 站点——一个独立的站点是你正常的 WordPress 安装。 它有自己独特的插件、设置和主题集。
超级管理员(仅在多站点网络上可用)可以创建和管理子站点、创建和管理网络用户、安装和删除主题和插件,并在整个网络中启用它们。
例如,假设您经营一个由三个电子商务商店组成的网络,每个商店都专注于特定的消费群体——男装、女装和童装。 超级管理员将能够做出反映所有这三个网站的更改,例如更新或配置 WooCommerce 插件。
WordPress 管理员角色
就像超级管理员一样,管理员拥有所有能力。 但是,这些权限仅限于一个网站的范围。 这些能力包括但不限于以下内容:
- 安装和卸载、激活和停用、编辑和更新任何 WordPress 插件。
- 创建新内容、阅读、修改和删除现有内容。 例如,任何其他用户创建的 WordPress 页面和博客文章。 这包括未发表的、私人的和受密码保护的材料。
- 创建新用户,修改和删除现有用户。
- 安装、激活和停用 WordPress 主题。
- 修改 WordPress 主题文件。
- 创建新的、修改或删除现有的类别。
- 创建新的、修改或删除现有的 WordPress 菜单。
- 将文件上传到 WordPress。
- 能够在页面、帖子和评论(未过滤的 HTML)中发布 HTML 标记和 JavaScript 代码。
- 适度的评论。
请记住,这些功能与超级管理员相同。 但是,超级管理员拥有分布在 WordPress 网络中多个站点的这些权限。
WordPress 编辑角色
功能受到限制的结构级别是编辑用户角色。 编辑角色专注于内容,就像在传统的出版环境中一样。 他们没有涉及您的 WordPress 网站的配置、设置、功能或设计的权限。
他们的能力包括:
- 适度的评论。
- 创建新内容,例如博客文章和 WordPress 页面。
- 阅读、修改和删除现有内容,例如任何其他用户创建的 WordPress 页面和博客文章。 这还包括未发表的、私人的和受密码保护的材料。
WordPress 作者角色
从作者开始,WordPress 用户角色的功能变得更加受限。 指定为作者用户角色的个人只能访问他们的博客文章和个人资料。
因此,他们可以发布他们的博客文章、修改他们自己现有的博客文章以及修改他们的用户配置文件。
WordPress 贡献者角色
与作者用户角色类似,贡献者可以撰写博客文章。 但是,WordPress 贡献者不能发布他们自己的博客文章。 由 WordPress 贡献者撰写的所有博客文章都需要由 WordPress 编辑器或管理员批准和发布。
WordPress 订阅者角色
这是发给在 WordPress 网站上注册帐户的任何人的默认角色。 订阅者只能阅读内容,无权修改 WordPress 网站上的任何类型的内容。 他们只能修改他们的个人资料信息。
WordPress 自定义用户角色
上述 WordPress 用户角色是标准 WordPress 站点中提供的默认“开箱即用”角色。 在某些情况下,WordPress 插件会安装自己的自定义用户角色,并附加特定功能来执行该角色。
例如,那些使用 WooCommerce 的人会注意到商店经理用户角色。 同样,SEO 插件 Yoast 引入了 SEO Editor 和 SEO Manager 用户角色,并具有自己独特的 WordPress 权限。
如果预先存在的角色不太符合您的预期目的,您可能会对创建自定义 WordPress 用户角色感兴趣。 例如,您可能运行一个会员站点,该站点要求您为订阅者提供比仅仅阅读能力更多的特权。 如果是这种情况,用户角色编辑器等 WordPress 插件允许您自定义每个角色中的权限,以更好地满足您的特定业务需求。
如何使用 WordPress 用户角色来提高安全性
WordPress 用户角色在您网站的整体安全性中发挥着重要作用。 将太多能力分配给错误的人的简单行为可能会产生潜在的灾难性后果。 考虑到这一点,您必须正确分配用户角色。
将正确的角色分配给正确的人
就像在任何传统企业中一样,您不会像对待企业主那样向底层员工或外部承包商分配相同的权利和责任。
例如,当引用 WordPress 网站时,Web 开发人员需要管理员级别的访问权限才能对后端网站功能进行必要的更改。 但是,他们应该有自己的特定用户登录名,您可以控制这些登录名。
如果您经营博客,作者和贡献者也是如此,如果您经营电子商务商店,商店和产品经理也是如此。 出于多种原因,您需要作为网站管理员进行控制。
有关这方面的更多信息,我们的最低权限原则指南是一个不错的起点。
共享凭据是一种安全威胁
将您的 WordPress 用户信息借给其他人看似无害,但绝不安全。 通过电子邮件传递的凭证可能会被截获,打印版本也可能很快被泄露。
2019 年的一项研究发现,74% 的数据泄露是特权访问凭证滥用的结果。 更糟糕的是,同一份报告发现,多达 65% 的人至少在一定程度上经常共享对系统(如 WordPress)的 root 或特权访问。*
数据泄露如此之多的一个原因是共享凭据往往会导致密码较弱。 虽然易于记忆的密码为 WordPress 网站所有者节省了时间,但它们在您的网站安全方面存在弱点,使其容易受到暴力破解和字典攻击。
最后,如果您让许多人访问您网站上的一个 WordPress 用户角色,您将无法跟踪谁更改了您网站的内容。 有几个人可以访问一个用户名和密码,您将如何破译哪个人负责在该用户角色下进行的活动?
保留具有不同角色的用户的日志
出于上述原因,您需要为您的 WordPress 站点的每个贡献者提供自己的登录名和用户角色。 那么使用插件来监控每个用户的活动以跟踪所进行的工作,同时提高站点安全性是一个好主意。
使用 WP 活动日志插件,您可以保留 WordPress 用户所做的每一个更改的活动日志。 通过安装此插件,您可以存储和分析全面的活动日志,在用户进行关键站点更改时接收实时警报。 您还可以实时监控用户,以确保他们按照应有的方式执行任务。
如果您运营具有多个部门的大型单一网站(电子商务中经常出现这种情况),这些功能尤其有用。 或者,您以超级管理员身份运行多站点网络。 由于有如此多的人不断进行更改,您可以使用 WP 活动日志插件来搜索活动日志并查明何时对 WordPress 网站进行了特定更改(以及由谁进行了更改)。
优化 WordPress 中的用户角色
WordPress 用户角色在您网站的组织结构中起着至关重要的作用。 为了最大限度地减少安全问题,应仔细分配每个用户角色及其相关功能。 您的网站发展得越多,用户角色就越重要。
在许多情况下,应不惜一切代价避免个人之间共享凭证。 虽然您可能能够监督少数用户,但当为每个用户角色指定多个团队成员时,您需要诸如 WP Activity Log 插件之类的软件来准确跟踪对您的站点所做的更改。
为什么不立即开始 WordPress 网站的 14 天免费试用呢?
奖金提示
弱密码是对您的 WordPress 网站的最大威胁之一。 您的网站上有这么多用户,您需要确保他们都使用强密码来防止黑客入侵。
使用 WPassword,您可以确保登录您网站的每个人都使用安全密码。 您还可以通过使用 WP 2FA 插件为您的用户实施双因素身份验证来加倍安全安排。
* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4