如何使用 WordPress 用戶角色來提高 WordPress 安全性
已發表: 2020-09-24作為一個內容管理系統,WordPress 有一套用戶角色。 本質上,這些 WordPress 用戶角色定義了您網站上每個用戶的能力(執行特定網站任務的權限)。
隨著您網站的發展,了解這些角色和功能對於確保您網站的持續安全至關重要。 因為分配錯誤的用戶角色可能會導致災難性的後果。
在本文中,我們將概述什麼是用戶角色(包括自定義角色),以便您了解如何正確分配它們。 我們還將介紹如何使用 WordPress 插件來管理和監控 WordPress 用戶的活動。
WordPress 用戶角色的基礎知識
您對 WordPress 站點的訪問類型取決於您擁有的角色,因此也取決於您獲得的能力。
- “角色”是一組/預定義的能力列表。 作為用戶,您將被分配一個角色,該角色決定了您擁有的能力。
- “能力”本質上是用戶角色可以做的事情(發布帖子、更改設置等)
例如,編輯者是具有審核評論、發佈內容和創建新內容等功能的用戶角色,僅舉幾例。 在較大的新聞或博客網站上,通常有多個編輯,每個編輯負責各自的主題部分。
雖然一些插件添加了自定義的 WordPress 用戶角色(我們稍後會介紹),但每個標準 WordPress 站點都有六個默認用戶角色。 它們如下:
- 超級管理員
- 行政人員
- 編輯
- 作者
- 貢獻者
- 訂戶
了解 WordPress 用戶角色能力層次結構
重要的是要了解角色的結構是分層的。 每個用戶角色都具有其下方職位的功能,並添加了一些特定於角色的功能。
例如,讓我們看一下用戶角色金字塔的底部,訂閱者。 訂閱者角色只有附加的“閱讀”功能(這意味著他們只能閱讀您網站上的帖子)。
讓我們進入下一個級別的用戶角色,貢獻者。 此角色具有“讀取”功能,但也具有“編輯帖子”和“刪除帖子”功能。 這意味著他們可以編輯和刪除自己的帖子。
作者用戶角色具有訂閱者和貢獻者的能力,並具有以下分配的附加權限:
- 刪除_publish_posts
- Publish_posts
- 上傳文件
- Edit_published_posts
如您所見,這些功能會隨著您移動的用戶角色結構的進一步增加而增加,超級管理員擁有最高權限集。 因此,讓我們按降序更詳細地了解每個角色。
WordPress 超級管理員角色
WordPress 超級管理員是最高級別的 WordPress 用戶角色,因此,他們擁有所有可用的功能。 超級管理員和管理員之間的區別在於,這些功能可以在 WordPress 多站點網絡中跨站點傳輸。
為清楚起見,以下是不同 WordPress 站點/網絡之間的區別:
WordPress 多站點網絡——一種 WordPress 安裝類型,允許您從單個 WordPress 儀表板創建和管理多個網站的網絡。
多站點網絡(子站點)上的 WordPress 站點 – 多站點網絡中的 WordPress 站點。 該子站點共享網絡上其他站點的插件和主題,但可以有自己的子主題。
一個獨立的 WordPress 站點——一個獨立的站點是你正常的 WordPress 安裝。 它有自己獨特的插件、設置和主題集。
超級管理員(僅在多站點網絡上可用)可以創建和管理子站點、創建和管理網絡用戶、安裝和刪除主題和插件,並在整個網絡中啟用它們。
例如,假設您經營一個由三個電子商務商店組成的網絡,每個商店都專注於特定的消費群體——男裝、女裝和童裝。 超級管理員將能夠做出反映所有這三個網站的更改,例如更新或配置 WooCommerce 插件。
WordPress 管理員角色
就像超級管理員一樣,管理員擁有所有能力。 但是,這些權限僅限於一個網站的範圍。 這些能力包括但不限於以下內容:
- 安裝和卸載、激活和停用、編輯和更新任何 WordPress 插件。
- 創建新內容、閱讀、修改和刪除現有內容。 例如,任何其他用戶創建的 WordPress 頁面和博客文章。 這包括未發表的、私人的和受密碼保護的材料。
- 創建新用戶,修改和刪除現有用戶。
- 安裝、激活和停用 WordPress 主題。
- 修改 WordPress 主題文件。
- 創建新的、修改或刪除現有的類別。
- 創建新的、修改或刪除現有的 WordPress 菜單。
- 將文件上傳到 WordPress。
- 能夠在頁面、帖子和評論(未過濾的 HTML)中發布 HTML 標記和 JavaScript 代碼。
- 適度的評論。
請記住,這些功能與超級管理員相同。 但是,超級管理員擁有分佈在 WordPress 網絡中多個站點的這些權限。
WordPress 編輯角色
功能受到限制的結構級別是編輯用戶角色。 編輯角色專注於內容,就像在傳統的出版環境中一樣。 他們沒有涉及您的 WordPress 網站的配置、設置、功能或設計的權限。
他們的能力包括:
- 適度的評論。
- 創建新內容,例如博客文章和 WordPress 頁面。
- 閱讀、修改和刪除現有內容,例如任何其他用戶創建的 WordPress 頁面和博客文章。 這還包括未發表的、私人的和受密碼保護的材料。
WordPress 作者角色
從作者開始,WordPress 用戶角色的功能變得更加受限。 指定為作者用戶角色的個人只能訪問他們的博客文章和個人資料。
因此,他們可以發布他們的博客文章、修改他們自己現有的博客文章以及修改他們的用戶配置文件。
WordPress 貢獻者角色
與作者用戶角色類似,貢獻者可以撰寫博客文章。 但是,WordPress 貢獻者不能發布他們自己的博客文章。 由 WordPress 貢獻者撰寫的所有博客文章都需要由 WordPress 編輯器或管理員批准和發布。
WordPress 訂閱者角色
這是發給在 WordPress 網站上註冊帳戶的任何人的默認角色。 訂閱者只能閱讀內容,無權修改 WordPress 網站上的任何類型的內容。 他們只能修改他們的個人資料信息。
WordPress 自定義用戶角色
上述 WordPress 用戶角色是標準 WordPress 站點中提供的默認“開箱即用”角色。 在某些情況下,WordPress 插件會安裝自己的自定義用戶角色,並附加特定功能來執行該角色。
例如,那些使用 WooCommerce 的人會注意到商店經理用戶角色。 同樣,SEO 插件 Yoast 引入了 SEO Editor 和 SEO Manager 用戶角色,並具有自己獨特的 WordPress 權限。
如果預先存在的角色不太符合您的預期目的,您可能會對創建自定義 WordPress 用戶角色感興趣。 例如,您可能運行一個會員站點,該站點要求您為訂閱者提供比僅僅閱讀能力更多的特權。 如果是這種情況,用戶角色編輯器等 WordPress 插件允許您自定義每個角色中的權限,以更好地滿足您的特定業務需求。
如何使用 WordPress 用戶角色來提高安全性
WordPress 用戶角色在您網站的整體安全性中發揮著重要作用。 將太多能力分配給錯誤的人的簡單行為可能會產生潛在的災難性後果。 考慮到這一點,您必須正確分配用戶角色。
將正確的角色分配給正確的人
就像在任何傳統企業中一樣,您不會像對待企業主那樣向底層員工或外部承包商分配相同的權利和責任。
例如,當引用 WordPress 網站時,Web 開發人員需要管理員級別的訪問權限才能對後端網站功能進行必要的更改。 但是,他們應該有自己的特定用戶登錄名,您可以控制這些登錄名。
如果您經營博客,作者和貢獻者也是如此,如果您經營電子商務商店,商店和產品經理也是如此。 出於多種原因,您需要作為網站管理員進行控制。
有關這方面的更多信息,我們的最低權限原則指南是一個不錯的起點。
共享憑據是一種安全威脅
將您的 WordPress 用戶信息借給其他人看似無害,但絕不安全。 通過電子郵件傳遞的憑證可能會被截獲,打印版本也可能很快被洩露。
2019 年的一項研究發現,74% 的數據洩露是特權訪問憑證濫用的結果。 更糟糕的是,同一份報告發現,多達 65% 的人至少在一定程度上經常共享對系統(如 WordPress)的 root 或特權訪問。*
數據洩露如此之多的一個原因是共享憑據往往會導緻密碼較弱。 雖然易於記憶的密碼為 WordPress 網站所有者節省了時間,但它們在您的網站安全方面存在弱點,使其容易受到暴力破解和字典攻擊。
最後,如果您讓許多人訪問您網站上的一個 WordPress 用戶角色,您將無法跟踪誰更改了您網站的內容。 有幾個人可以訪問一個用戶名和密碼,您將如何破譯哪個人負責在該用戶角色下進行的活動?
保留具有不同角色的用戶的日誌
出於上述原因,您需要為您的 WordPress 站點的每個貢獻者提供自己的登錄名和用戶角色。 那麼使用插件來監控每個用戶的活動以跟踪所進行的工作,同時提高站點安全性是一個好主意。
使用 WP 活動日誌插件,您可以保留 WordPress 用戶所做的每一個更改的活動日誌。 通過安裝此插件,您可以存儲和分析全面的活動日誌,在用戶進行關鍵站點更改時接收實時警報。 您還可以實時監控用戶,以確保他們按照應有的方式執行任務。
如果您運營具有多個部門的大型單一網站(電子商務中經常出現這種情況),這些功能尤其有用。 或者,您以超級管理員身份運行多站點網絡。 由於有如此多的人不斷進行更改,您可以使用 WP 活動日誌插件來搜索活動日誌並查明何時對 WordPress 網站進行了特定更改(以及由誰進行了更改)。
優化 WordPress 中的用戶角色
WordPress 用戶角色在您網站的組織結構中起著至關重要的作用。 為了最大限度地減少安全問題,應仔細分配每個用戶角色及其相關功能。 您的網站發展得越多,用戶角色就越重要。
在許多情況下,應不惜一切代價避免個人之間共享憑證。 雖然您可能能夠監督少數用戶,但當為每個用戶角色指定多個團隊成員時,您需要諸如 WP Activity Log 插件之類的軟件來準確跟踪對您的站點所做的更改。
為什麼不立即開始 WordPress 網站的 14 天免費試用呢?
獎金提示
弱密碼是對您的 WordPress 網站的最大威脅之一。 您的網站上有這麼多用戶,您需要確保他們都使用強密碼來防止黑客入侵。
使用 WPassword,您可以確保登錄您網站的每個人都使用安全密碼。 您還可以通過使用 WP 2FA 插件為您的用戶實施雙因素身份驗證來加倍安全安排。
* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4