Como usar as funções de usuário do WordPress para melhorar a segurança do WordPress
Publicados: 2020-09-24Como um sistema de gerenciamento de conteúdo, o WordPress possui funções de usuário definidas. Em essência, essas funções de usuário do WordPress definem os recursos (permissões para realizar tarefas específicas do site) de cada usuário individual em seu site.
À medida que seu site cresce, é essencial entender essas funções e recursos para garantir a segurança contínua de seu site. Já que atribuir funções de usuário erradas pode levar a consequências desastrosas.
Neste artigo, descreveremos quais são as funções do usuário (incluindo funções personalizadas), para que você saiba como atribuí-las corretamente. Também abordaremos como usar plugins do WordPress para gerenciar e monitorar a atividade de seus usuários do WordPress.
O básico das funções de usuário do WordPress
O tipo de acesso que você tem a um site WordPress é determinado pela função que você tem e, portanto, pelos recursos que você recebe.
- Uma 'função' é um grupo/lista predefinida de capacidades. Como usuário, você recebe uma função, que determina quais recursos você possui.
- 'Recursos' são essencialmente o que essa função de usuário pode fazer (publicar postagens, alterar configurações etc.)
Por exemplo, um Editor é uma função de usuário que possui recursos como moderação de comentários, publicação de conteúdo e criação de novo conteúdo, para citar alguns. Em um site de notícias ou blog maior, é normal ter vários Editores, cada um responsável por suas respectivas seções de tópicos.
Enquanto alguns plugins adicionam funções de usuário personalizadas do WordPress (vamos falar sobre isso em breve), existem seis funções de usuário padrão em cada site WordPress padrão. Eles são os seguintes:
- Superadministrador
- Administrador
- editor
- Autor
- Contribuinte
- Assinante
Entendendo a hierarquia de recursos de funções de usuário do WordPress
É importante entender que a estrutura de papéis é hierárquica. Cada função de usuário tem os recursos da(s) posição(ões) abaixo dela, com a adição de alguns recursos específicos da função.
Por exemplo, vejamos a parte inferior da pirâmide de funções do usuário, o Assinante. Uma função de Assinante tem apenas o recurso 'ler' anexado a ela (o que significa que eles só podem ler postagens em seu site).
Vamos avançar para o próximo nível de função de usuário, Colaborador. Esta função tem o recurso 'ler', mas também possui os recursos 'edit_posts' e 'delete_posts'. Isso significa que eles podem editar e excluir suas próprias postagens.
A função de usuário Autor tem os recursos de Assinante e Colaborador com os seguintes privilégios adicionais atribuídos:
- Delete_publish_posts
- Publicar_postagens
- Fazer upload de arquivos
- Edit_published_posts
Como você pode ver, os recursos aumentam à medida que a estrutura de funções do usuário avança, com o Super Administrador tendo o maior conjunto de privilégios. Então, vamos analisar cada função com um pouco mais de detalhes, em ordem decrescente.
Papel de superadministrador do WordPress
O WordPress Super Administrator é a função de usuário do WordPress de nível mais alto, portanto, eles têm todos os recursos disponíveis. A diferença entre um Super Administrador e um Administrador é que esses recursos podem ser transferidos entre sites dentro de uma rede multisite do WordPress.
Para maior clareza, aqui está a diferença entre diferentes sites/redes WordPress:
Rede multisite do WordPress – um tipo de instalação do WordPress que permite criar e gerenciar uma rede de vários sites a partir de um único painel do WordPress.
Um site WordPress em uma rede multisite (site filho) – um site WordPress dentro de sua rede multisite. Este site filho compartilha os plugins e temas de outros sites na rede, mas pode ter seu próprio tema filho.
Um site WordPress autônomo – um site autônomo é sua instalação normal do WordPress. Ele tem seu próprio conjunto exclusivo de plugins, configurações e temas.
Um Super Administrador (encontrado apenas em redes multisite) pode criar e gerenciar subsites, criar e gerenciar usuários de rede, instalar e remover temas e plugins e habilitá-los em toda a rede.
Por exemplo, digamos que você opere uma rede de três lojas de comércio eletrônico que se concentram em um segmento de consumidor específico – roupas masculinas, femininas e infantis. Um superadministrador seria capaz de fazer alterações que refletissem em todos esses três sites, como atualizar ou configurar o plug-in WooCommerce.
Função de administrador do WordPress
Assim como os superadministradores, os administradores têm todos os recursos. No entanto, essas permissões são limitadas ao escopo de um site. Esses recursos incluem, mas não estão limitados ao seguinte:
- Instale e desinstale, ative e desative, edite e atualize qualquer plugin do WordPress.
- Crie novo conteúdo, leia, modifique e exclua o conteúdo existente. Por exemplo, páginas do WordPress e postagens de blog criadas por qualquer outro usuário. Isso inclui materiais não publicados, privados e protegidos por senha.
- Crie novos usuários, modifique e exclua usuários existentes.
- Instale, ative e desative temas do WordPress.
- Modifique os arquivos de temas do WordPress.
- Crie novas, modifique ou exclua categorias existentes.
- Crie novos, modifique ou exclua menus existentes do WordPress.
- Carregar arquivos para o WordPress.
- Capacidade de postar marcação HTML e código JavaScript em páginas, postagens e comentários (HTML não filtrado).
- Comentários moderados.
Lembre-se de que esses recursos são os mesmos do Superadministrador. No entanto, um Super Administrador tem esses privilégios espalhados por vários sites em uma rede WordPress.
Função de editor do WordPress
O nível da estrutura em que os recursos se tornam restritos é a função de usuário Editor. A função de Editor é focada no conteúdo, como em um ambiente de publicação tradicional. Eles não têm permissões que envolvam a configuração, configuração, funcionalidade ou design do seu site WordPress.
Suas capacidades incluem:
- Comentários moderados.
- Crie novos conteúdos, como postagens de blog e páginas do WordPress.
- Leia, modifique e exclua conteúdo existente, como páginas do WordPress e postagens de blog criadas por qualquer outro usuário. Isso também inclui materiais não publicados, privados e protegidos por senha.
Papel de autor do WordPress
Do autor para baixo, os recursos das funções de usuário do WordPress se tornam muito mais restritos. Um indivíduo designado com uma função de usuário Autor só tem acesso a suas postagens de blog e perfil.
Assim, eles podem publicar suas postagens de blog, modificar suas próprias postagens de blog existentes e modificar seu perfil de usuário.
Função de colaborador do WordPress
Semelhante à função de usuário Autor, os Colaboradores podem escrever postagens de blog. No entanto, os colaboradores do WordPress não podem publicar suas próprias postagens no blog. Todas as postagens de blog escritas por um Colaborador do WordPress precisam ser aprovadas e publicadas por um Editor ou Administrador do WordPress.
Função de assinante do WordPress
Esta é a função padrão emitida para qualquer pessoa que se inscreva para se registrar em uma conta em um site WordPress. Um Assinante só pode ler o conteúdo e não tem acesso para modificar nenhum tipo de conteúdo em um site WordPress. Eles podem modificar apenas suas informações de perfil.
Funções de usuário personalizadas do WordPress
As funções de usuário do WordPress descritas acima são as funções padrão 'prontas para uso' fornecidas em um site WordPress padrão. Em alguns casos, os plugins do WordPress instalam suas próprias funções de usuário personalizadas, com recursos específicos anexados para desempenhar essa função.
Por exemplo, aqueles de vocês que usam o WooCommerce notarão uma função de usuário do Store Manager. Da mesma forma, o plug-in de SEO Yoast apresenta as funções de usuário do SEO Editor e do SEO Manager completas com suas próprias permissões distintas do WordPress.
A criação de funções de usuário personalizadas do WordPress pode ser algo de seu interesse se as funções preexistentes não se adequarem aos propósitos desejados. Por exemplo, você pode executar um site de associação que exige que você conceda aos Assinantes muito mais privilégios do que meros recursos de leitura. Se for esse o caso, os plugins do WordPress, como o User Role Editor, permitem que você personalize as permissões em cada função para atender melhor às suas necessidades comerciais específicas.
Como usar as funções de usuário do WordPress para melhorar a segurança
As funções de usuário do WordPress têm um papel significativo a desempenhar na segurança geral do seu site. O simples ato de atribuir muitas capacidades à pessoa errada pode ter consequências potencialmente desastrosas. Com isso em mente, você deve acertar suas atribuições de função de usuário.
Atribua a função certa à pessoa certa
Assim como em qualquer negócio tradicional, você não distribui os mesmos direitos e responsabilidades aos seus funcionários de nível inferior ou contratados externos que você concede ao proprietário da empresa.
Por exemplo, ao se referir a um site WordPress, os desenvolvedores da web precisam de acesso no nível de administrador para fazer as alterações necessárias nas funções do site de back-end. No entanto, eles devem ter seu próprio login de usuário específico, sobre o qual você pode permanecer no controle.
O mesmo vale para Autores e Colaboradores se você administra um blog, ou Lojas e Gerentes de Produto se você administra uma loja de comércio eletrônico. Você precisa estar no controle como webmaster por vários motivos.
Para obter mais informações sobre isso, nosso guia sobre o princípio dos privilégios mínimos é um bom ponto de partida.
Compartilhar credenciais é uma ameaça à segurança
Emprestar suas informações de usuário do WordPress para outra pessoa pode parecer inofensivo, mas é tudo menos seguro. As credenciais passadas por e-mail podem ser interceptadas e as versões impressas podem ser comprometidas com a mesma rapidez.
Um estudo de 2019 descobriu que 74% das violações de dados foram resultado de abuso de credenciais de acesso privilegiado. Pior ainda, o mesmo relatório descobriu que até 65% estão compartilhando acesso root ou privilegiado a sistemas (como WordPress) pelo menos com certa frequência.*
Uma razão pela qual as violações de dados são tão altas é que as credenciais compartilhadas tendem a promover senhas fracas. Embora as senhas fáceis de lembrar economizem tempo para os proprietários de sites WordPress, elas apresentam uma fraqueza na segurança do seu site, deixando-o aberto a ataques de força bruta e de dicionário.
Por fim, se você conceder a muitas pessoas acesso a uma função de usuário do WordPress em seu site, não será possível rastrear quem alterou o que em seu site. Com várias pessoas tendo acesso a um nome de usuário e senha, como você vai decifrar qual indivíduo é responsável pelas atividades realizadas sob essa função de usuário?
Mantenha registros de usuários com diferentes funções
Pelas razões descritas acima, você precisa dar a cada colaborador do seu site WordPress seu próprio login e função de usuário. É então uma boa ideia usar um plugin para monitorar a atividade de cada usuário para acompanhar os trabalhos realizados e aumentar a segurança do site.
Com o plug-in WP Activity Log, você pode manter um registro de atividades de todas as alterações feitas por seus usuários do WordPress. Ao instalar este plugin, você pode armazenar e analisar um log de atividades abrangente, recebendo alertas em tempo real quando um usuário está realizando alterações críticas no site. Você também pode monitorar os usuários em tempo real para garantir que eles estejam realizando suas tarefas como deveriam.
Esses recursos são especialmente benéficos se você opera grandes sites singulares com vários departamentos (como é frequentemente o caso no comércio eletrônico). Ou você executa uma rede multisite como um superadministrador. Com tantas pessoas fazendo mudanças constantes, você pode usar o plugin WP Activity Log para pesquisar nos logs de atividades e identificar quando alterações específicas foram feitas em um site WordPress (e por quem).
Otimizando as funções do usuário no WordPress
As funções de usuário do WordPress têm um papel vital a desempenhar na estrutura organizacional do seu site. Para minimizar os problemas de segurança, cada função de usuário e seus recursos associados devem ser cuidadosamente atribuídos. Quanto mais seu site cresce, mais importantes se tornam as funções de usuário.
Em muitos casos, o compartilhamento de credenciais entre indivíduos deve ser evitado a todo custo. Embora você possa supervisionar alguns usuários, quando há vários membros da equipe designados para cada função de usuário, você precisa de um software como o plug-in WP Activity Log para rastrear as alterações feitas em seu site com precisão.
Por que não iniciar sua avaliação gratuita de 14 dias para o seu site WordPress hoje?
Dica bônus
Senhas fracas são uma das maiores ameaças ao seu site WordPress. Com tantos usuários em seu site, você precisa garantir que todos estejam usando senhas fortes para se proteger contra hackers.
Com o WPassword, você pode garantir que todos que tenham um login no seu site usem uma senha segura. Você também pode dobrar seus acordos de segurança implementando a autenticação de dois fatores para seus usuários com o plug-in WP 2FA.
* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4