تطبيق مبدأ الامتياز الأقل لتحسين أمان WordPress
نشرت: 2021-07-27يفقد مبدأ الامتياز الأقل لـ WordPress العناوين الرئيسية عند حدوث انتهاكات وفقدان البيانات وهجمات DoS. ومع ذلك ، فهي واحدة من أكثر ممارسات الأمان فاعلية ، إذا تم تجاهلها ، لمواقع WordPress الإلكترونية.
في منشور المدونة هذا ، نحدد أولاً مبدأ الامتياز الأقل ، ثم نفحص متى وأين ينطبق ، ومخاطر عدم اعتماده ، ولماذا لا يزال العديد من مطوري مواقع الويب لا يقومون ببنائه في مواقع WordPress الخاصة بهم. نشارك أيضًا بعض التوصيات العملية ، بحيث يمكنك البدء فورًا في تحسين أمان مواقع WordPress الخاصة بك. يتضمن منشور المدونة هذا بعض دراسات الحالة المصغرة للمساعدة في توضيح استخدامه في أماكن حقيقية.
جدول المحتويات
- ما هو مبدأ الامتياز الأقل؟
- متى وأين ينطبق مبدأ الامتياز الأقل؟
- ما هي المخاطر إذا لم يتم تطبيق PoLP؟
- لماذا يتجاهل العديد من مالكي مواقع الويب مبدأ أقل امتياز في WordPress؟
- كيفية تطبيق PoLP على WordPress
- امتيازات مستخدم قاعدة بيانات WordPress
- أدوار وامتيازات مستخدمي ووردبريس
- إنشاء أدوار مخصصة
- أذونات الملفات والأدلة
- تكوين ملحقات WordPress
- وصول FTP لمقاولي الطرف الثالث
- دراسات حالة مصغرة
- تطبيقات مواقع التجارة الإلكترونية
- الجامعات والمؤسسات التعليمية
- المواقع والمدونات الإخبارية
- المواقع المصرفية
- أجهزة تتبع الصحة واللياقة البدنية
- استخدام مبدأ الامتياز الأقل في WordPress وما بعده
ما هو مبدأ الامتياز الأقل؟
الفكرة بسيطة للغاية: لا تمنح حساب مستخدم أو معالجة أو برنامج حقوق وصول أكثر مما يحتاجه لإنجاز المهام المحددة له. فيما يتعلق بموقع WordPress النموذجي الذي يحتوي على مدونة ، فكر في المحررين والمؤلفين والمساهمين والمشتركين. يحتاج كل منهم إلى الوصول إلى أكثر أو أقل من الواجهة الخلفية لموقع الويب الخاص بك.
يُعرف مبدأ الامتياز الأقل (PoLP) أيضًا باسم "مبدأ السلطة الأقل" أو "مبدأ الحد الأدنى من الامتيازات" أو "حساب المستخدم الأقل امتيازًا" (LUA).
لنفكر في بعض الأمثلة البسيطة. لا يحتاج أطفالك الدارجون في كثير من الأحيان إلى الوصول إلى المطبخ. لذلك ، يمكنك تركيب جهاز التحكم في الوصول ، مثل بوابة الأمان ، في نقاط مختلفة عبر منزلك لتمكينهم من التجول حسب الرغبة - باستثناء غرف معينة. في مساحة عمل مشتركة عامة ، يمكنك تسجيل الخروج من الكمبيوتر المحمول الخاص بك قبل المغادرة لتناول طعام الغداء. وسيطلب مضيف وقوف السيارات في مطعمك الفاخر بطاقة هويتك أو تذكرتك قبل إعادة المفاتيح إلى سيارتك. يمنع التحكم في الوصول إلحاق الضرر بك وبممتلكات المستخدمين القيمة - سواء كانت عنصرًا ماديًا أو ضمانًا رقميًا.
متى وأين ينطبق مبدأ الامتياز الأقل؟
الجواب البسيط هو أنه ينطبق في كل مكان: من ذلك الطفل الصغير الذي يريد صعود السلالم إلى المستخدمين على حساب استضافة موقع WordPress الخاص بك. لا يحتاج المستقل المالي الذي يحتاج إلى تنزيل الفواتير الشهرية إلى نفس مستوى الوصول الذي يحتاجه مسؤول الموقع. الأمر نفسه ينطبق على جميع أنواع حسابات الشركة ذات الامتياز ، وأنظمة إدارة الملفات ، ووثائق استراتيجية التسويق أو مديري كلمات المرور.
ما هي المخاطر إذا لم يتم تطبيق PoLP؟
يبدو أن التحكم في الوصول إلى مناطق معينة أمر لا يحتاج إلى تفكير. بخلاف ذلك ، ألا تغادر موقع الويب بالكامل بناءً على نزوة أي مستخدم قام بتسجيل الدخول - بما في ذلك أولئك الذين قد يرتكبون أخطاء بريئة وغير مقصودة ، وربما لا يدركون أنهم ارتكبوها ، ولا النتائج غير المقصودة؟
فكر في المستخدمين المحتملين التاليين:
- يبدأ المستخدم الجديد بقليل من الفهم للآثار التجارية للأخطاء على موقع WordPress
- أولئك الذين لديهم خبرة قليلة في إدارة WordPress
- مع عدم معرفة الآثار المترتبة على تنزيل إصدارات WordPress الجديدة أو المكونات الإضافية حسب الرغبة ، أو تحديثها دون عمل نسخة احتياطية أولاً
- أولئك الذين لديهم وعي أمني محدود ينشئون مستخدمين جدد أو يغيرون أذونات المستخدمين الحاليين
- أولئك الذين لا يعرفون كيفية التعامل مع الأخطاء المبلغ عنها أو المشاكل الأخرى
- المساهمون في منشورات المدونة الخارجية مثل الشركاء والعاملين لحسابهم الخاص والعملاء ، ربما لديهم القليل من المعرفة في WordPress ، والذين قد يقومون بتنزيل أو تحديث المكونات الإضافية على موقع الويب الخاص بك بشكل مفيد - دون طلب
هذا يعني أيضًا أن الواجهة الخلفية لـ WordPress بالكامل معرضة لخطر بعض الأشخاص غير المصرح لهم بخلاف ذلك ، مثل شخص لديه مستويات وصول غير مناسبة ، وإضافة مستخدمين جدد ومنحهم إمكانية الوصول إلى مناطق من موقع الويب حيث يمكن أن يتسببوا في ضرر متعمد .
مثل:
- تعديل السمات أو الميزات المخصصة أو محتوى الموقع العام
- إساءة التعامل مع المخزون أو رموز التخزين التعريفية أو البيانات الوصفية للمنتج في متاجر التجارة الإلكترونية
- تقديم خصومات غير مصرح بها
- الوصول إلى أو تغيير أو تنزيل أو حذف التعليمات البرمجية أو قوالب الصفحة أو الوسائط أو التكوينات أو الموظفين أو العملاء وأنواع أخرى من الملفات
- الوصول إلى بيانات الشركة أو العملاء أو البيانات الصحية أو المالية ، على سبيل المثال ، لإساءة الاستخدام أو البيع لأطراف شائنة أخرى
- إيقاف تشغيل الموقع ومنتجاته أو خدماته
سواء كنت تستخدم WordPress أم لا ، يمكن أن تحدث أي من هذه المشكلات أو كلها عندما لا يتم اعتماد مبدأ أقل امتياز لـ WordPress بشكل متعمد ومتسق في جميع أنحاء مؤسستك.
تلميح: استخدم مكونًا إضافيًا لسجل النشاط لـ WordPress للاحتفاظ بسجل لجميع التغييرات التي يقوم بها المستخدمون على موقع WordPress الخاص بك. يساعد في مساءلة المستخدم ويسهل استكشاف الأخطاء وإصلاحها.
لماذا يتجاهل العديد من مالكي مواقع الويب مبدأ أقل امتياز في WordPress؟
تبدو المخاطر التي أوضحناها مقنعة جدًا ، أليس كذلك؟ ولكن واحدة من أكثر المشاكل شيوعًا التي تم الإبلاغ عنها بعد عمليات تدقيق موقع WordPress على الويب هي أن أدوار مستخدمي WordPress في بيئة نموذجية لا تزال مهيأة على النحو التالي:
- يتم منح دور مسؤول WordPress لكل مستخدم ، حتى عندما يحتاج المستخدم فقط إلى إدخال محتوى كتبه شخص آخر
- الأمر نفسه ينطبق على أذونات الملفات والدليل ، والتي تم تكوينها جميعًا باستخدام الأذونات الأقل تقييدًا
لقد حصلنا عليها. لدينا جميعًا خبرة في العمل كمسؤولين عن النظام والمواقع الإلكترونية في مرحلة ما من وظائفنا. بدلاً من الاتصال بين المستخدمين والأذونات في الأيام الأولى ، والتحقق مما يحتاج المستخدم إلى القيام به ، غالبًا ما يفضل المسؤولون تعيين دور المسؤول لهم أيضًا (يبدو أنه أسرع ، في البداية).
الأمر نفسه ينطبق على أذونات الملفات والدليل. على سبيل المثال ، تخزن بعض ملحقات WordPress ملفات ذاكرة التخزين المؤقت أو بيانات أخرى على نظام الملفات (أي في أدلة WordPress). من الأسهل ببساطة تكوين أذونات 777 في الدليل / wp-content / plugins / ، لأن جميع المكونات الإضافية ستعمل وليس من الضروري قضاء المزيد من الوقت في استكشاف الأخطاء وإصلاحها وتعديل الأذونات في كل مرة تقوم فيها بتثبيت مكون إضافي جديد. لكن إجراء بعض الأبحاث في البداية لتحديد المجالات المحددة لتطبيق أو أدلة موقع الويب - لمنع المستخدمين من الحصول على وصول كبير - يقلل من المخاطر التي سبق ذكرها. وله فائدة إضافية تتمثل في تمكين الجميع من الوصول إلى ما يحتاجون إليه للقيام بعملهم - دون مزيد من المدخلات من المسؤول.
الأسئلة التي يطرحها أصحاب المواقع والمسؤولون عن المسك
هل الراحة تستحق المخاطرة الأمنية؟ أنت تعرف ما ستكون إجابتنا على هذا السؤال. ببساطة ، لا فائدة من تثبيت المكونات الإضافية لأمان تطبيقات الويب وبروتوكولات كلمة المرور وغيرها من الإجراءات مثل 2FA ، وصيانتها ، إذا كان أكبر خطر أمني هو أنك تركت الباب الخلفي مفتوحًا بالفعل مع ضوابط وصول الهواة والمتساهلة!
كيفية تطبيق مبدأ الامتياز الأقل على WordPress
الآن بعد أن ركزت على جعل تطبيق موقع الويب الخاص بك أكثر أمانًا ، يوفر لك هذا القسم قائمة بأماكن وكيفية تطبيق مبدأ أقل امتياز على موقع ويب WordPress أو مدونة.
امتيازات مستخدم قاعدة بيانات WordPress
لنبدأ بالمكان الأساسي - أذونات أو امتيازات قاعدة بيانات مستخدمي WordPress.
بالنسبة لعمليات WordPress اليومية العادية مثل كتابة المحتوى ونشره ، يحتاج مستخدم قاعدة بيانات WordPress فقط إلى الأذونات التالية لتمكينه من إدارة البيانات من داخل قاعدة البيانات:
- يختار
- إدراج
- تحديث
- حذف
لا تسمح هذه الأذونات لمستخدم قاعدة بيانات WordPress بتعديل بنية قاعدة البيانات.
التوصيات
في بيئة مثالية ، لتعزيز أمان موقع الويب أو المدونة الخاصة بك على WordPress ، يجب عليك تكوين امتيازات قاعدة بيانات WordPress MySQL الآمنة والمقيدة. عد فقط إلى تعيين جميع الامتيازات للمستخدمين الذين يحتاجون إلى تثبيت مكون إضافي جديد يقوم بإنشاء جداول جديدة في قاعدة البيانات ، أو عندما يتم تحديث WordPress وتوجد تغييرات على مخطط قاعدة بيانات WordPress.
هناك توصية أخرى تتمثل في تجنب منح حق الوصول إلى قواعد البيانات بخلاف قاعدة بيانات WordPress الخاصة بموقع الويب ذي الصلة.
لمزيد من المعلومات حول امتيازات قاعدة بيانات WordPress ، يمكنك أيضًا قراءة لماذا يؤدي الحد الأدنى من امتيازات قاعدة بيانات WordPress لمستخدمي MySQL إلى تحسين الأمان ، وهو ما يفسر تداعيات التكوين غير الآمن.
أدوار وامتيازات مستخدمي ووردبريس
يرتكب مستخدمو WordPress أخطاء - حتى المسؤولين. ويحب المستخدمون أيضًا استكشاف الإعدادات والتكوينات. إذا قمت بتعيين وصول مشرف أو وصول مسؤول للمستخدمين ، فمن المرجح أن يقوم بتثبيت مكونات إضافية عشوائية. يمكن أن يؤدي هذا إلى تغيير غير مقصود في تجربة المستخدم ، مثل تغيير في وظائف موقع الويب.
يحتوي WordPress على عدد من أدوار المستخدم المضمنة والقدرات المتصلة ، كما هو موضح أدناه (من الأكثر إلى الأقل).
- المشرف المتميز - مسؤول شبكة الموقع
- المسؤول - مسؤول شبكة الموقع لموقع واحد
- محرر - إدارة ونشر المشاركات ، بما في ذلك مشاركات المستخدمين الآخرين
- المؤلف - إدارة ونشر المشاركات الخاصة
- المساهم - كتابة وإدارة المشاركات الخاصة بك ، ولكن لا تنشرها
- مشترك - إدارة الملف الشخصي فقط
مثال على كيفية عمل ذلك عمليًا هو أنه بينما قد يشارك المساهم والمؤلف بعض الإمكانات (مثل تحرير المنشورات وحذف المنشورات) ، فإن المساهم غير قادر على القيام بكل ما يمكن للمؤلف ، مثل تحميل الملفات أو إنشاء مجموعات قابلة للاستخدام.
إنشاء أدوار مخصصة
هناك أيضًا عدد كبير من المكونات الإضافية التي يمكنك استخدامها لإنشاء أدوار WordPress جديدة ومخصصة.
فيما يلي بعض حالات الاستخدام الشائعة:
- في المؤسسات الكبيرة ، قد تحتاج إلى تعيين شخص ما في فريق التسويق الخاص بك للإشراف على التعليقات والموافقة عليها والرد عليها. توجد إمكانية "التعليقات المعتدلة" في دور المحرر ، ولكن هذا الدور يعين أيضًا مجموعة كاملة من الإمكانات القوية الأخرى. لذا ، إذا كان هذا هو كل ما يحتاجون إليه ليكونوا قادرين على القيام به ، فإن إعداد دور مخصص ، بهذا الإذن الفردي ، يكون كافياً.
- إذا كان موقع WordPress الخاص بك يحتوي على مكون إضافي للتجارة الإلكترونية مثل WooCommerce ، فأنت مقيد بدورين أوليين: Shop Manager (يسمح للمستخدم بإدارة المتجر بأكمله) والعميل (السماح للمستخدم بمشاهدة حساباته وأوامره). يمتلك المسؤول أذونات إضافية ، مثل "إدارة الإعدادات" و "عرض التقارير". ولكن ، ماذا لو طلب المستخدمون - الموظفون غير الإداريين ، على سبيل المثال - شيئًا ما بينهما ، مثل القدرة على إضافة وإدارة كميات المخزون أو وحدات الاحتفاظ بالمخزون ، أو مجرد معالجة الطلبات؟
- على موقعنا ، نستخدم مكونًا إضافيًا لمقالات قاعدة المعرفة الخاصة بنا. يمنح هذا فريق الدعم الخاص بنا إمكانية الوصول لإنشاء مقالات قاعدة المعارف وتعديلها ، ولكن لا يمكن الوصول إلى صفحات موقع الويب الرئيسية ومنشورات المدونة.
التوصيات
بالنسبة لمعظم المستخدمين العاديين ، يكون دور المساهم كافيًا. بالنسبة لقادة الفريق والمديرين العمليين ، يُنصح بدور المحرر. ولكن ، يجب عليك قصر أدوار المشرف المتميز والمسؤول على المستخدمين ذوي الخبرة والمسؤولين الذين يحتاجون إليهم حقًا.
لمزيد من المعلومات ، راجع كيفية استخدام أدوار مستخدم WordPress لتحسين أمان WordPress.
أذونات الملفات والأدلة
من السهل تكوين أذونات الملف والدليل ، وهناك الكثير من الوثائق المتاحة عبر الإنترنت تشرح كيفية تقوية أذونات تثبيت WordPress الخاص بك. يعمل WordPress على أي نظام تشغيل يقوم بتشغيل PHP ، عادةً Linux. من حيث المجموعات ، يحتوي Linux على ثلاث مجموعات أذونات:
- المالك - مالك الملف / الدليل ، الذي لا تنطبق أذوناته على أي مستخدم آخر ولا تؤثر عليه
- المجموعة - مجموعة من المستخدمين الذين تم تعيين وصولهم إلى الملف / الدليل ، والذين لا تنطبق أذوناتهم ولا تؤثر على أي مستخدم خارج المجموعة
- أخرى - ما هي الأذونات التي مستويات كل شخص آخر لنفس الملف / الدليل
يتم تعيين إذن قراءة (عرض المحتويات) أو كتابة (كتابة أو تعديل المحتويات) أو تنفيذ (تشغيل المحتويات ، مثل برنامج نصي) لكل منها. يتم تخزين هذه الأذونات على شكل سلسلة من الأرقام وتمنح حق الوصول إلى كود PHP والصور والوسائط الأخرى وملفات HTML وجافا سكريبت والمكونات الإضافية.
قد يعني التضمين في تعيين أذونات خاطئة لمجموعة الأذونات الخاطئة أن متسللًا ضارًا يمكن أن يستغل الميزة وينتج عنه مستوى ضعيف من الضعف يتحول إلى خطر غير مقبول.
التوصيات
عند تثبيت WordPress ، يجب عليك أيضًا استخدام PoLP ، لتكوين أقل أذونات ممكنة للملف والدليل لكي يعمل WordPress.
تذكر أنه من خلال تقوية أذونات الملف والدليل ، يمكنك أيضًا تقييد بعض مكونات WordPress الإضافية من العمل. كما أوضحنا سابقًا ، ربما تقوم بتثبيت المكونات الإضافية التي تحتاج إلى تخزين البيانات في دليل التثبيت الخاص بها. إذا كان الأمر كذلك ، فلا تقم ببساطة بتكوين أذونات 777 لدليل البرنامج المساعد (قراءة كاملة وكتابة وتنفيذ لأي شخص لديه أذونات للتحكم فيه). هذا هو الطريق السهل للخروج. ولكن يجب أيضًا تجنب تقييده حتى الآن بحيث يمنع المستخدمين المعنيين من تحديث WordPress وموضوعاته ومكوناته الإضافية من واجهة مستخدم الويب.
لمزيد من المعلومات ، راجع أذونات ملف WordPress: دليل تكوين أذونات موقع الويب وخادم الويب الآمن.
تكوين ملحقات WordPress
ليس كل المسؤولين متساوين. مثل العديد من الأنظمة والشبكات ، من الشائع أن يكون لديك مسؤول رئيسي بين مجموعة من مسؤولي WordPress. عادةً ، ليس لدى مالك موقع الويب خيار آخر سوى تعيين وصول إداري للمستخدمين الآخرين. ضع في اعتبارك أنه في حالة المكونات الإضافية للأمان في WordPress ، يمكنها غالبًا تخزين البيانات الحساسة ، مثل سجل تدقيق الأمان في WordPress ، والذي يمكن للمسؤولين الوصول إليه.
التوصيات
تسمح لك إضافات أمان WordPress عادةً بتقييد الوصول إلى مسؤولي WordPress الآخرين. يبدو أن استخدام مثل هذه الميزات هو عنصر تحكم صغير ، ولكن يتم التغاضي عنه في بعض الأحيان ، والذي سيساعدك في الحفاظ على سيطرة أفضل على وصول المستخدم.
لمزيد من المعلومات حول المكونات الإضافية الفردية ، اتصل بدعم المكون الإضافي وموفر الاستضافة. ثم اسأل عن الدلائل التي يحتاج البرنامج المساعد إلى الكتابة إليها ، حتى تتمكن من تكوين أذونات خاصة لهذا الدليل.
وصول FTP لمقاولي الطرف الثالث
عندما تقوم بتعيين مصمم ، أو يحتاج فريق دعم المكون الإضافي إلى وصول FTP إلى موقع الويب الخاص بك ، فقد تمنحهم حق الوصول الكامل إلى جذر موقع الويب الخاص بك ، أليس كذلك؟ هذا غير ضروري.
التوصيات
في حالة المصمم ، كل ما يحتاجون إلى الوصول إليه هو دليل القالب ، لذا قم بتقييد الوصول إلى هذا الدليل. الأمر نفسه ينطبق على فرق دعم البرنامج المساعد. إذا كانوا بحاجة إلى الوصول للتحقق من ملفات السجل ، فامنحهم وصول FTP إلى دليل البرنامج المساعد أو إلى الموقع الذي يخزن فيه البرنامج المساعد ملفات السجل. تجنب الاعتماد على أطراف خارجية للقيام بالعناية الأمنية الواجبة نيابة عنك.
دراسات حالة مصغرة
دعونا نلقي نظرة على بعض الأمثلة ذات الصلة لكيفية عمل ذلك في الممارسة ، وكيف يمكن لأسئلة وقرارات التحكم في الوصول أن تدفع تطبيق PoLP لتمكين الوصول الصحيح للفرق والأفراد المناسبين.
تطبيقات مواقع التجارة الإلكترونية
تقدم تطبيقات مواقع التجارة الإلكترونية ، مثل تلك التي يشتري فيها المستهلكون سلعًا باهظة الثمن مثل الثلاجات والمكانس الكهربائية والكاميرات أو أجهزة الكمبيوتر المحمولة ، أمثلة متنوعة على الأماكن التي يمكن فيها استخدام PoLP.
بعض قرارات التحكم في الوصول لمطوري تطبيقات مواقع التجارة الإلكترونية واضحة:
- ربما لن تحتاج أقسام الموارد البشرية إلى الوصول إلى بيانات العملاء ، أو أدلة الملفات التي تخزن المكونات الإضافية ، ولكنها ستحتاج إلى الوصول إلى غالبية سجلات الموظفين (على الرغم من أن البيانات الصحية ، التي غالبًا ما تتمتع بوضع خاص بموجب العديد من تشريعات الامتثال لحماية البيانات ، قد أن تكون أكثر حصرًا في الحاجة إلى معرفة أساس)
- لن تحتاج أقسام التسويق بالضرورة إلى الوصول إلى جداول SKU أو رموز المنتج. ومع ذلك ، سيرغبون في الوصول إلى الجداول الموجودة في قاعدة بيانات المنتج التي تسرد أسماء المنتجات والمواصفات والأوصاف
بعضها أقل وضوحًا:
- هل يحتاج المستهلكون إلى الوصول إلى جميع بياناتهم طوال الوقت؟
- هل يحتاج مسؤولو الامتثال لـ PCI-DSS إلى الوصول إلى جميع بيانات المستهلك؟
الجامعات والمؤسسات التعليمية
ماذا عن المؤسسات الأكثر تقليدية وطويلة الأمد ، حيث يكون أمان تطبيقات الويب و PoLP أقل وضوحًا في البداية؟
بعض قرارات التحكم في الوصول لبوابات الجامعات والكليات واضحة:
- يحتاج قسم الرواتب إلى الوصول إلى سجلات الموظفين والمقاولين في تطبيق الموقع لتتبع أيام العمل وتسديد المدفوعات
- قد تحتاج الأقسام الإدارية بمختلف أنواعها إلى الوصول إلى سجلات الطلاب أو لمعالجة المعرفات أو طلبات الإقامة أو الفواتير أو المنح
بعضها أقل وضوحًا:
- ما هو مورد الطرف الثالث ، مثل موفري بطاقات السحب للبناء ، الذين قد يحتاجون إلى وصول متقطع إلى بعض جداول بيانات الطلاب؟
المواقع والمدونات الإخبارية
الويب مليء بالمواقع الإخبارية والبودكاست والمدونات. يعتمد العديد من مالكي مواقع الويب على العديد من المسؤولين والمساهمين والمحررين والمراجعين والناشرين. بالإضافة إلى ذلك ، هناك مشتركون ومشاهدون يجب مراعاتهم.
بعض قرارات التحكم في الوصول للأخبار وتطبيقات مواقع المدونات واضحة:
- اعتمادًا على مجالات المسؤولية التجارية ، قد يحتاج المحررون إلى الوصول إلى مجموعة من صفحات الجميع ومقالاتهم ومنشورات المدونات
- سيحتاج المساهمون إلى الوصول إلى منشورات المدونة الخاصة بهم فقط
بعضها أقل وضوحًا:
- هل تحتاج جميع الأطراف الخارجية إلى الوصول إلى كل جدول في قاعدة بيانات WordPress؟ هذا هو المكان الذي تأتي فيه الضوابط المخصصة بمفردها.
المواقع المصرفية
مثالنا الأخير هو شيء يستخدمه الكثير منا على أساس يومي ، وهو خدمات المواقع المصرفية. بصرف النظر عن المعلومات الصحية ، تعد البيانات المالية الشخصية بطبيعة الحال أحد أكثر الأنواع سرية.
بعض قرارات التحكم في الوصول لعمل تطبيقات مواقع الويب واضحة:
- يجب ألا يكون لدى أي مستخدم للخدمات المصرفية حق الوصول إلى حساب مستخدم آخر ، إلا بموافقة صريحة (ربما يتحكم فيها المستخدم)
- يجب أن تتمتع حسابات المستخدمين الخاصة بالموظفين بإمكانية الوصول إلى العديد من حسابات مستخدمي الخدمة ، ولكن تقتصر فقط على تلك المهام التي يحتاجون إليها لأدائها كجزء من وظيفتهم
بعضها أقل وضوحًا:
- ما مقدار الوصول الذي يجب أن تتمتع به أقسام الدعم الفني؟ هل يجب أن يكونوا قادرين على عرض كل شيء وتعديله في حالة وجود أخطاء؟
نوصيك بالتفكير والتخطيط لحالة استخدام الأعمال لكل سيناريو. بالاشتراك مع مجموعات المستخدمين والأفراد الذين لديهم توصيف وظيفي فريد. ارسم هذه أولاً. عندها فقط يمكنك البدء في فحص بروتوكولات التحكم في الوصول المتاحة لك في موقع WordPress الخاص بك.
أجهزة تتبع الصحة واللياقة البدنية
تقوم أجهزة تعقب الصحة أو اللياقة البدنية ولوحات المعلومات المتصلة بها على الإنترنت بجمع وتخزين ومشاركة إحصاءات رائعة حول المستخدمين وبياناتهم الصحية وأنشطتهم وأهدافهم وإنجازاتهم.
بعض قرارات التحكم في الوصول للعلامات التجارية لتتبع الصحة واللياقة البدنية واضحة:
- ما هي الفرق داخل المؤسسة التي تحتاج إلى الوصول إلى البيانات؟ من المنطقي أنه إذا كان أحد الفريقين مسؤولاً عن تصميم وتطوير جزء تتبع النوم من التطبيق ، فلن يحتاجوا بالضرورة إلى الوصول إلى جداول إحصائيات التمرين.
- سيرغب معظم المستخدمين في أن يكون برنامج PoLP (سواء كانوا يعرفون عنه أم لا) مقيدًا للغاية ، لذلك لا تتم مشاركة معلوماتهم الصحية مع كل مستخدم آخر. إذن ، ما هي امتيازات الوصول التي يجب منحها لدور المستخدم العادي ، وما هي البيانات التي ستتم مشاركتها بالتالي في ملف تعريف عام (الاسم وصورة الملف الشخصي ومتوسط الخطوات اليومية فقط؟).
بعضها أقل وضوحًا:
- ما هي وكم المعلومات التي يجب أن تكون في متناول المستخدمين الآخرين لتسهيل ميزات التلعيب المشتركة لهذه الأدوات؟
- هل يجب على المطورين تعيين جميع أذونات الوصول ، أم يجب إلغاء تحميل بعض من عمليات اتخاذ القرار هذه للمستخدمين؟
استخدام مبدأ الامتياز الأقل في WordPress وما بعده
ما ورد أعلاه ليس سوى مجموعة مختارة من السيناريوهات الأكثر شيوعًا حيث غالبًا ما يتم التغاضي عن مبدأ أقل امتياز لـ WordPress ولكن يمكن تطبيقه بسهولة.
من أجل البدء في تبني برنامج PoLP ، ابدأ بالتفكير فيما تريد القيام به حيال العناصر التالية:
- خادم الويب
- قاعدة البيانات
- التخصيصات
لا تخجل من تطبيق مبدأ الامتياز الأقل لمجرد أن الأمور لا تعمل على الفور. نعم ، في معظم الوقت عليك قضاء بضع ساعات في تكوين أدوار مستخدم مخصصة واستكشاف الأخطاء وإصلاحها. أعد تجميع هذا في عقلك كاستثمار طويل الأجل في أمان مواقع WordPress الخاصة بك.