حفظ سطح بالایی از امنیت بخشی اساسی برای اجرای یک وب سایت موفق وردپرس است. عدم انجام این کار ممکن است منجر به هک شدن وب سایت شما شود، خسارت بزرگی به اعتبار کسب و کار شما وارد کند و به طور بالقوه منجر به از دست رفتن درآمد شود. در ادامه یکی از راهکار های پیشنهادی که استفاده از اصل POLP است، توضیح داده می شود.
یکی از مؤلفه های مهم امنیت وردپرس که غالباً از آن چشم پوشی می شود، امتیازات کاربران است. امتیازات، ویژگی هایی است که هر کاربر وردپرس به آن دسترسی دارد. به طور تصادفی دسترسی کاربران سطح پایین به حقوق نادرست می تواند منجر به نقض امنیت یا از بین رفتن اطلاعات شود.
بهترین راه برای حصول اطمینان از امتیازات درست در وردپرس، استفاده از اصل حداقل حق امتیاز (POLP) است. این یک اصل امنیتی است که استفاده می شود تا اطمینان حاصل شود که کاربران به هیچ دسترسی که کاملاً نیازی به آن ندارند، دستیابی ندارند. این راهنما نگاهی دقیق تر به چگونگی اعمال این اصل در وردپرس خواهد انداخت.
اصل حداقل امتیاز چگونه کار می کند؟
اصل بسیار ساده است و بیان می کند که یک کاربر باید فقط به اطلاعات و منابعی که برای یک هدف قانونی کاملاً ضروری هستند، دسترسی داشته باشد. هنگامی که این اصل برای انواع حساب کاربری (مدیر، مشترک، نویسنده) اعمال شود، بدین معنی است که به هر نوع حساب کاربری فقط باید امتیازاتی که برای انجام عملکرد مورد نظر ضروری است، داده شود.
بنابراین اگر برای افرادی که پست های وبلاگ می نویسند، نقش نویسنده ایجاد کرده اید، این نقش فقط به کاربر امکان می دهد امتیازات لازم برای نویسنده را داشته باشد؛ از جمله مشاهده، ایجاد، اصلاح و حذف پست های خاص خود. نباید به آنها اجازه دسترسی به سایر امتیازات سطح بالا مانند تغییر رمز ورود مدیر را داد. هنگامی که اصل حداقل امتیاز برای کاربران اعمال می شود، بدین معنی است که به هر کاربر کمترین دسترسی ممکن برای عملی که باید انجام دهند، اختصاص داده می شود. این بدان معناست که به کارمندانی که می خواهند پست های وبلاگ بنویسند، فقط باید نقش نویسنده را اختصاص داد نه یک نقش مدیر.
همین اصل در مورد مسائل فنی مربوط به برنامه هایی مانند مجوزهای کاربر پایگاه داده و مجوزهای پرونده برنامه اعمال می شود. کاربران فقط باید به امتیازاتی که مطلقاً به آن ها نیاز دارند، دسترسی داشته باشند. POLP همچنین اظهار داشت كه امتیازات را باید فقط برای مدت زمان اقدام لازم اعطا كنید. بنابراین اگر نویسنده مهمان دارید که می خواهد یک پست وبلاگ را برای شما بنویسد، پس از اتمام مقاله، امتیازات نویسنده آن ها را حذف کنید. هیچ دلیلی وجود ندارد که آنها پس از اتمام عمل، آن نقش را حفظ کنند.
مزایای POLP
مزایای استفاده از POLP در وردپرس شامل موارد زیر است:
امنیت بهتر سیستم
اطمینان از اینکه کاربران از امتیازات بیش از حد برخوردار نیستند می تواند به کاهش خطر حملات تهدیدهای خودی (کارکنان ناراضی یا بدخواه) کمک کند. آنها دسترسی زیادی نخواهند داشت، بنابراین نمی توانند وبلاگ شما را به راحتی حذف کنند یا اطلاعات را سرقت کنند. استفاده از POLP بدان معنی است که هکرها در صورت موفق شدن به هک کردن حساب کاربری، فوراً به امتیازات سطح بالا دسترسی نخواهند داشت. همچنین خطر کمتری دارد که کاربران با کلیک بر روی دکمه اشتباه به برنامه وب شما آسیب بزنند.
نگهداری آسان تر کاربر
اگر تعداد کمتری از کاربران دارای امتیازات سطح بالا باشند، مدیریت کاربران ساده تر است. جابجایی وب سایت و اطلاع رسانی به کاربران از تغییراتی که بر آنها تأثیر می گذارد آسان تر خواهد بود.
استفاده از نقش ها برای اجرای POLP
نقش ها روشی مفید برای اختصاص امتیازات به کاربران مختلف است. آن ها روند واگذاری امتیازات را سرعت بخشیده و از انجام کارهایی که نباید به آنها دسترسی داشته باشند، جلوگیری می کند. WordPress با شش نقش از پیش تعریف شده همراه با مجموعه ای از پیش تعریف شده از حقوق (امتیازات) همراه است. آنها شامل موارد زیر هستند:
مدیر
مدیر وظیفه ای است که به شخصی که WordPress را نصب می کند، اختصاص یافته است. به آن ها حق امتیاز داده می شود و می توانند هر عملی را انجام دهند. سرپرستان می توانند کاربران را اضافه یا حذف کنند، مطالب را اضافه یا حذف کنند، وبلاگ را ارتقا دهند، مضامین را تغییر دهند، افزونه ها را نصب کنند یا حذف کنند، نظرات و موارد دیگر را حذف کنند.
مدیر ارشد
سرپرست های عالی فقط در نصب های چندرسانه ای WordPress وجود دارند، جایی که از یک نصب وردپرس برای اجرای بسیاری از وب سایت های جداگانه استفاده می شود. آن ها توانایی اضافه کردن یا حذف مجدد مدیران، اضافه کردن یا حذف وبلاگ ها، تغییر نام سایت ها و تغییر مضامین یا افزونه هایی را دارند که مدیران می توانند از آنها استفاده کنند.
ویرایشگر
ویرایشگر نقش مدیر محتوا را در وب سایت های وردپرس دارد. آنها توانایی نوشتن، ویرایش و حذف پست های نوشته شده توسط کاربران دیگر را دارند. آنها همچنین می توانند نظرات و نوشته های افراد دیگر را بنویسند، ویرایش و حذف کنند، دسته ها را تغییر دهند، پست ها و پیام های خصوصی را بخوانند، برچسب ها را مدیریت کنند و طبقه بندی های سفارشی ایجاد کنند. محدودیت اصلی نقش ویرایشگر این است که آنها نمی توانند تنظیمات سایت، نقش کاربر، موضوع و افزونه ها را تغییر دهند. از آنجا که ویراستاران می توانند هر پستی را در وب سایت حذف کنند، این نقش فقط باید به افراد بسیار معتبر داده شود.
نویسنده
نویسنده نقش خالق محتوا را در وب سایت های وردپرس دارد. آنها می توانند پرونده ها را بارگذاری کنند، بنویسند، ویرایش کنند، منتشر کنند و مقالات خود را حذف کنند. آنها همچنین می توانند جزئیات موجود در حساب کاربری خود، از جمله نام، نماد، بیوگرافی و رمز عبور خود را تغییر دهند. آنها نمی توانند ارسال های کاربران دیگر را ویرایش کنند و به عملکرد مدیریت سطح بالاتر دسترسی ندارند.
شرکت کننده
مشارکت کننده مشابه نویسنده است. تفاوت مهم این است که آنها نمی توانند پست های خود را پس از انتشار حذف کنند. این نقش مفیدی است زیرا باعث می شود کارمندان ناراضی از کار در صورت اخراج توانایی حذف ندارند.
مشترک عضو
نقش مشترکین از قابلیت های بسیار محدودی برخوردار است. آنها فقط مجاز به ایجاد و تغییر مشخصات شخصی خود و اظهار نظر هستند. هدف اصلی این نقش آسانتر تر کردن نظر دهی کاربران است، زیرا لازم نیست همه اوقات وارد سیستم شوند.
اعمال اصل کمترین امتیازات در وردپرس
نقش ها و امتیازات کاربران WordPress
یک اشتباه معمول که توسط صاحبان وب سایت انجام شده است این است که به همه نقش مدیر را بدهد. آنها ممکن است این کار را ساده ترین راه برای انجام همه کارها بدانند. متأسفانه، این مسئله باعث می شود تا یک کارمند ناراضی به سایت آسیب برساند و هک شدن حساب های کاربران را بسیار خطرناک تر می کند. همچنین این بدان معنی است که در صورت اشتباه در بخش مدیریت، کاربران می توانند صدمات بیشتری وارد کنند. POLP را با اختصاص یک نقش وردپرس به هر کاربر، مناسب با نوع کارهایی که انجام می دهند، اعمال کنید.
امتیازات کاربر پایگاه داده WordPress
اصول POLP همچنین باید در مورد مجوزهای پایگاه داده، داده شده به خود برنامه WordPress نیز اعمال شود. پس از نصب، وردپرس فقط نیاز به توانایی خواندن، نوشتن، به روزرسانی و حذف داده ها از پایگاه داده دارد. کاربر پایگاه داده WordPress نیازی به مجوز اضافه کردن کاربران پایگاه داده، رها کردن پایگاه داده، تغییر ساختار پایگاه داده WordPress و… ندارد.
مجوزهای پرونده و فهرست
مجوزهای سرور مربوط به پرونده ها و دایرکتوری های وردپرس نیز باید محدود شوند. این در سطح سرور حاصل می شود. این مانع از انواع خاصی از حملات مخرب از جمله قرار دادن پرونده های مخرب می شود. WordPress راهنمایی در مورد سخت شدن WordPress ایجاد کرده است که شامل اطلاعات مربوط به مجوزهای صحیح فایل است.
پیکربندی افزونه های WordPress
ممکن است شرایطی وجود داشته باشد که به چندین مدیر با سطح دسترسی زیاد احتیاج داشته باشید. با این وجود، شخصی که سایت را تأسیس کرده است، ممکن است هنوز هم نیاز به دسترسی به داده های حساس و عملکردهای موجود در افزونه ها را محدود کند. خوشبختانه افزونه هایی که از داده های حساس استفاده می کنند معمولاً برای حذف کاربران خاص از جمله سرپرست ها پیکربندی شده اند.
اکثر وب سایت های وردپرس با دسترسی File Transfer Protocol (FTP) تنظیم شده اند. این به کاربران امکان می دهد فایل ها را مستقیماً روی سرور بارگذاری کنند. FTP از نقش کاربر پشتیبانی می کند، بنابراین می توانید کاربران را از آپلود در دایرکتوری های خاص مطابق با POLP محروم کنید.
