WordPress güvenliğini artırmak için WordPress kullanıcılarının rolü nasıl kullanılır

İçerik yönetim sistemi olarak WordPress, belirlenmiş bir kullanıcı rolüne sahiptir. Özünde, WordPress kullanıcılarının rolü, web sitenizdeki her bir kullanıcıdan yeteneği (belirli web sitelerini gerçekleştirme izni) belirler. Sitenizin büyümesi olarak, web sitenizin güvenliğini sağlama rolünü ve yeteneğini anlamak önemlidir. Çünkü yanlış kullanıcının rolünü belirlemek felaket sonuçlarına neden olabilir. Bu makalede, kullanıcının rolünün ne olduğunu açıklayacağız (özel bir rol dahil), böylece doğru şekilde nasıl belirleneceğini bileceksiniz. WordPress kullanıcılarınızın etkinliklerini yönetmek ve izlemek için WordPress eklentilerinin nasıl kullanılacağını da tartışacağız.
WordPress kullanıcı türünün WordPress sitesine sahip olduğunuz erişimin rolünün temelleri, hangi rolünüz ve bu nedenle size verilen yetenekler tarafından belirlenir.
‘Rol’, önceden belirlenmiş yeteneklerin bir grubu/listesidir. Bir kullanıcı olarak, size hangi özelliklere sahip olduğunuzu belirleyen bir rol verilir.
‘Yetenek’ temel olarak kullanıcının rolü ile yapılabilecek olandır (yayınları yayınlamak, ayarları değiştirmek, vb.)
Örneğin, editör, yorumları denetleme, içerik yayınlama ve yeni içerik oluşturma gibi yetenekleri olan kullanıcıların rolüdür. Daha büyük bir haber web sitesinde veya blogunda, genellikle birkaç editör vardır, her biri kendi konu bölümlerinden sorumludur.
Bazı eklentiler ayarlanmış WordPress kullanıcılarının rolünü eklerken (bunu hemen tartışacağız), her standart WordPress sitesinde altı varsayılan kullanıcı vardır. Bunlar aşağıdaki gibidir: Süper Yönetici
Yönetici
Editör
Yazar
Katkıda bulunan kimse
müşteri
WordPress kullanıcılarının yeteneğinin hiyerarşisini anlamak, rol yapısının hiyerarşik olduğunu anlamak önemlidir. Her kullanıcının rolü, bazı özel rol yeteneklerinin eklenmesiyle aşağıda konumlandırma yeteneğine sahiptir. Örneğin, kullanıcının piramidinin altına bakalım. Müşterilerin rolü yalnızca kendisine özgü ‘okuma’ yeteneğine sahiptir (yani yalnızca sitenizdeki yayınları okuyabilirler).
Bir sonraki kullanıcı rolü olan katkıda bulunalım. Bu rol ‘okuma’ yeteneğine sahiptir, ancak ‘edit_posts’ ve ‘delete_posts’ yeteneğine sahiptir. Bu, kendi yayınlarını düzenleyebilecekleri ve silebilecekleri anlamına gelir. Yazarın kullanıcısının rolü, aşağıdaki gibi belirlenen ek ayrıcalıklara sahip müşterilerin ve katkıda bulunanların yeteneğine sahiptir:
Delete_publish_posts
publish_posts
Dosyaları yükle
Edit_publed_posts
Gördüğünüz gibi, en yüksek ayrıcalığa sahip bir süper yönetici ile hareket ettiğiniz kullanıcının rolünün yapısı ile birlikte yetenek artmaktadır. Öyleyse, düşüşte her role biraz daha ayrıntılı olarak bakalım.
WordPress Süper Yönetici Süper Yöneticisinin rolü, en üst düzey WordPress kullanıcılarının rolüdür, bu nedenle mevcut tüm özelliklere sahiptirler. Süper yöneticiler ve yöneticiler arasındaki fark, bu yeteneğin WordPress multisitus ağlarındaki tüm sitelere aktarılabilmesidir. Netlik için, bu farklı WordPress siteleri/ağları arasındaki farktır: WordPress Multisitus Networks – WordPress kurulum türleri, bir WordPress kontrol panelinden birkaç web sitesinin ağlarını oluşturmanıza ve yönetmenize izin veren WordPress kurulum türleri. Multisitus ağlarındaki WordPress siteleri (Çocuk Siteleri) – Multisitus ağınızdaki WordPress siteleri. Bu çocuk sitesi, ağdaki diğer sitelerin eklentilerini ve temalarını paylaşır, ancak kendi çocuklarının temaları olabilir. Mandiri WordPress Sitesi – Mandiri sitesi normal WordPress kurulumunuzdur. Benzersiz bir eklenti, ayar ve temalar kümesine sahiptir. Süper yöneticiler (yalnızca multisitus ağlarında bulunur) subitus oluşturabilir ve yönetebilir, ağ kullanıcıları oluşturabilir ve yönetebilir, temaları ve eklentileri yükleyebilir ve silebilir ve bunları doğrudan ağ boyunca etkinleştirebilir. Örneğin, her biri belirli tüketici segmentlerinin kıyafetlerine, kadınlarına ve çocuklarına odaklanan üç E-Niaga mağazasının ağını işlettiğinizi varsayalım. Süper yöneticiler, WooCommerce eklentisini güncelleme veya yapılandırma gibi üç siteyi yansıtan değişiklikler yapabilir. WordPress yöneticilerinin rolü süper yöneticilerle aynıdır, yöneticilerin tüm yetenekleri vardır. Ancak, izin bir web sitesinin kapsamı ile sınırlıdır. Bu yetenek, ancak bunlarla sınırlı olmamak üzere, aşağıdaki gibidir:
Yüklemeyi yükleyin ve silin, herhangi bir WordPress eklentisini etkinleştirin ve devre dışı bırakın, düzenleyin ve güncelleyin. Yeni içerik yapın, mevcut içeriği okuyun, değiştirin ve silin. Örneğin, diğer kullanıcılar tarafından oluşturulan WordPress sayfaları ve blog yayınları. Bu, yayınlanmayan, kişisel ve şifrelerle korunmayan materyalleri içerir.
Yeni kullanıcılar için mevcut kullanıcıları değiştirin ve silin.
WordPress temalarını yükleyin, etkinleştirin ve devre dışı bırakın.
WordPress tema dosyalarını değiştirin.
Mevcut kategorileri değiştirin veya silin.
Mevcut WordPress menülerini yeni oluşturun, değiştirin veya silin.
Dosyaları WordPress’e yükleyin.
Sayfalarda, yayınlarda ve yorumlarda HTML işaretlemesi ve JavaScript kodunu yayınlama yeteneği (filtresiz HTML).
Ilımlı yorumlar.
Unutmayın, bu yetenek süper yönetici ile aynıdır. Ancak, süper yönetici, WordPress ağındaki birkaç siteye yayılan bu ayrıcalığa sahiptir.
Sınırlı olma yeteneğinin editör kullanıcılarının rolüdür. Editörün rolü, geleneksel yayın ayarlarında olduğu gibi içeriğe odaklanmıştır. WordPress web sitenizin yapılandırmasını, ayarlarını, işlevselliğini veya tasarımını içeren izinleri yoktur. Yetenekleri şunları içerir:
Ilımlı yorumlar.
Blog yayınları ve WordPress sayfaları gibi yeni içerikler oluşturun.
WordPress sayfası ve diğer kullanıcılar tarafından oluşturulan blog yayınları gibi mevcut içeriği okuyun, değiştirin ve silin. Bu aynı zamanda yayınlanmayan, kişisel ve şifrelerle korunmayan materyalleri de içerir.
WordPress yazarlarının yazarın rolü, WordPress kullanıcılarının rolünün çok daha sınırlı olma yeteneği. Yazarın kullanıcısının rolü olarak atanan bir kişinin yalnızca blog yayınlarına ve profillerine erişimi vardır.
Böylece, blog yayınlarını yayınlayabilir, mevcut blog yayınlarını değiştirebilir ve kullanıcı profillerini değiştirebilirler.WordPress katkıda bulunanların rolü, yazarın kullanıcısının rolüne benzer, katkıda bulunanlar blog yayınları yazabilir.Ancak, WordPress katkıda bulunanlar kendi blog yayınlarını yayınlayamazlar.WordPress katılımcıları tarafından yazılan tüm blog yayınları WordPress editörü veya yönetici tarafından onaylanmalı ve yayınlanmalıdır. WordPress müşterileri, WordPress web sitesinde bir hesap kaydetmek için kayıt yapan herkese verilen varsayılan roldür.Müşteriler yalnızca içeriği okuyabilir ve WordPress sitesindeki herhangi bir içeriği değiştirmek için erişime sahip olamazlar.Sadece profil bilgilerini değiştirebilirler.
WordPress Özel Kullanıcılarının Rolü Yukarıda açıklanan WordPress kullanıcılarının rolü, standart WordPress sitesinde sağlanan ‘kutunun dışında’ varsayılan rolüdür. Bazı durumlarda, WordPress eklentisi, bu rolü yerine getirmek için özel yeteneklerle kendi özel kullanıcılarının rolünü yükler. Örneğin, WooCommerce kullananlarınız mağaza yöneticilerinin rolünü görecekler. Benzer şekilde, SEO Yoast eklentisi, kendi farklı WordPress izinleriyle tamamlanan SEO Editor kullanıcıları ve SEO yöneticilerinin rolünü tanıtmaktadır. Önceki rol istediğiniz amaca uygun değilse, özel bir WordPress kullanıcı rolü yapmak sizin için ilginç olabilir. Örneğin, müşterilere sadece okuma becerilerinden daha fazla ayrıcalık vermenizi gerektiren üyelik siteleri çalıştırabilirsiniz. Öyleyse, kullanıcının rol editörü gibi WordPress eklentileri, belirli iş ihtiyaçlarınızı daha iyi karşılamak için her roldeki izinleri ayarlamanıza olanak tanır.
WordPress kullanıcılarının güvenliğini artırmak için WordPress kullanıcılarının rolünün nasıl kullanılacağı, web sitenizin genel güvenliğinde önemli bir role sahiptir. Yanlış kişiye çok fazla yetenek sağlayan basit eylemler, felaket getirme potansiyeline sahip sonuçlara sahip olabilir. Bunu hatırlayarak, kullanıcının rolünün belirlenmesini doğru bir şekilde almalısınız. Herhangi bir geleneksel işte olduğu gibi doğru kişi için doğru rolü belirleyin, sınıf çalışanlarına veya dış yüklenicilere işletme sahiplerine yaptığınız gibi aynı hak ve sorumlulukları vermezsiniz. Örneğin, WordPress sitesine atıfta bulunurken, web geliştiricileri arka uç web sitesinin işlevinde gerekli değişiklikleri yapmak için yönetici düzeyinin erişimine ihtiyaç duyarlar. Ancak, kontrol edebileceğiniz kendi özel kullanıcı girişlerine sahip olmaları gerekir. Aynı şey bir blog çalıştırırsanız yazarlar ve katkıda bulunanlar için veya bir E-Niaga mağazası çalıştırırsanız mağaza yöneticisi ve ürün için de geçerlidir. Birkaç nedenden dolayı bir web yöneticisi olarak kontrolü almalısınız. Bu konuda daha fazla bilgi için, en düşük ayrıcalık prensibi hakkındaki rehberimiz başlamak için iyi bir yerdir. Kimlik bilgilerini paylaşmak, WordPress kullanıcı bilgilerinizi başkalarına vermek için bir güvenlik tehdididir, ancak hiç güvenli değildir. E -posta yoluyla gönderilen kimlik bilgileri dokunulabilir ve yazdırma sürümü hızlı bir şekilde sızabilir. 2019 yılında yapılan bir araştırma, veri ihlallerinin% 74’ünün özel erişim kimlik bilgilerinin kötüye kullanılmasının bir sonucu olduğunu bulmuştur.
Daha da kötüsü, aynı rapor% 65’e kadar bir kök veya sisteme özel erişimin (WordPress gibi) en azından biraz sık olduğunu buldu.* Çok yüksek veri ihlallerinin nedeni, paylaşılan kimlik bilgilerinin zayıf şifreleri teşvik etme eğiliminde olmasıdır. Hatırlanması kolay olan şifre, WordPress site sahipleri için zaman kazandırsa da, şifre sitenizin güvenliğinde zayıflıklar sunarak kaba kuvvet ve sözlük saldırılarına açılmasını sağlar. Son olarak, sitenizdeki bir WordPress kullanıcı rolüne birçok bireysel erişim sağlarsanız, web sitenize kimin değiştirdiğini izleyemezsiniz. Bir kullanıcı adına ve şifreye erişimi olan bazı kişilerle, kullanıcının rolü altında yürütülen faaliyetlerden hangi bireylerin sorumlu olduğunu nasıl açıklayacaksınız? Kullanıcı günlüğünü kaydetme, yukarıda belirtilen nedenlerle farklı bir rolle kaydedin, her katkıda bulunan kişiyi WordPress site girişine ve kendi kullanıcılarının rolüne vermeniz gerekir. Site güvenliğini artırırken gerçekleştirilen işi izlemek için her kullanıcının etkinliklerini izlemek için bir eklenti kullanmanızı öneririz. WP etkinlik günlüğü eklentisiyle, etkinlik günlüğünü WordPress kullanıcılarınız tarafından yapılan her değişiklikten kaydedebilirsiniz. Bu eklentiyi yükleyerek kapsamlı etkinlik günlüklerini depolayabilir ve analiz edebilir, kullanıcılar önemli site değişiklikleri yaptığında gerçek zamanlı uyarılar alabilirsiniz. Görevlerini gerektiği gibi gerçekleştirmelerini sağlamak için kullanıcıları gerçek zamanlı olarak izleyebilirsiniz.

Bu özellikler, çeşitli departmanlara sahip büyük bir tek web sitesi çalıştırırsanız (E-Niaga’da olduğu gibi) çok kullanışlıdır. Veya süper yönetici olarak bir multisitus ağı çalıştırıyorsunuz. Değişiklikleri sabitleştiren birçok kişi ile, etkinlik günlüğünde arama yapmak ve WordPress sitesinde (ve kim tarafından) belirli değişiklikler yapıldığında tam olarak göstermek için WP etkinlik günlüğü eklentisini kullanabilirsiniz. WordPress’teki kullanıcıların rolünü optimize etmek WordPress kullanıcılarının rolü, web sitenizin organizasyon yapısında önemli bir role sahiptir. Güvenlik sorunlarını en aza indirmek için, her kullanıcının rolü ve yetenekleri dikkatle belirlenmelidir. Siteleriniz ne kadar büyürse, kullanıcının rolü o kadar önemlidir. Birçok durumda, bireyler arasındaki kimlik bilgilerini paylaşmak herhangi bir şekilde önlenmelidir. Birkaç kullanıcıyı denetleyebilseniz de, her kullanıcının rolü için belirlenen bazı ekip üyeleri olduğunda, sitenizde yapılan değişiklikleri doğru bir şekilde izlemek için WP etkinlik günlüğü eklentisi gibi yazılımlara ihtiyacınız vardır. Neden bugün WordPress web siteniz için 14 günlük ücretsiz bir denemeye başlamıyorsunuz? Zayıf bir şifre bonus ipucu, WordPress siteniz için en büyük tehditlerden biridir. Web sitenizdeki birçok kullanıcı ile, hepsinin bilgisayar korsanlarından korumak için güçlü bir şifre kullandığından emin olmanız gerekir. WPassword ile, güvenli bir şifre kullanarak web sitenize giriş yapan herkesin emin olabilirsiniz.