Majitelia stránok WordPress niekedy potrebujú poskytnúť tretej strane prístup na svoje stránky. Keď stránka presiahne určitú veľkosť, je nemožné, aby všetku prácu vykonávala jedna osoba, aj keď má potrebné zručnosti. Pozvať profesionála na palubu je šikovný krok.
Ale poskytnúť niekomu, kto dobre nepozná prístup na vašu stránku, je skľučujúca záležitosť. Je nepravdepodobné, že sa ukážu ako zlomyseľní, ale neschopnosť a neopatrnosť spôsobujú práve toľko problémov. Nikto nechce, aby bol jeho web napadnutý, pretože dodávateľ použil nezabezpečené heslo alebo pretože vývojár nebol taký opatrný, ako by mal byť.
Vlastníci stránok by sa mali pri poskytovaní prístupu na svoje stránky tretím stranám riadiť jedným jednoduchým pravidlom: poskytnúť čo najmenší prístup kompatibilný s vykonaním úlohy. Vo svete bezpečnosti sa tomu hovorí Princíp najmenších privilégiía väčšina z nás intuitívne chápe jeho dôsledky. Keď platíte predajcovi, neposielate mu svoje bankové údaje, aby si mohol vybrať akúkoľvek sumu, ktorú chce, dúfajúc, že je čestný: pošlete mu šek alebo použijete kreditnú kartu, ktorá ich oprávňuje požadovať presne takú sumu, akú chcú. máte nárok.
Čo to znamená v kontexte WordPress?
Poskytnutie prístupu na vašu stránku WordPress
WordPress poskytuje kolekciu používateľské roly ktoré určujú možnosti používateľského účtu.
- Administrátori mať úplnú kontrolu nad webom. V skutočnosti neexistuje žiadne obmedzenie toho, čo môže správca robiť.
- Redaktori môže publikovať a spravovať príspevky iných používateľov.
- Autori môžu spravovať a publikovať iba svoje vlastné príspevky.
- Prispievatelia môžu nahrávať príspevky, ale nemôžu ich publikovať.
Nikto by nemal dostať administrátorské práva na stránke, pokiaľ to nie je absolútne nevyhnutné. Ak poskytovateľ služieb potrebuje prístup správcu, mal by nie získať overovacie poverenia vlastníka lokality alebo iných dôveryhodných používateľov. Na ich použitie by sa mal vytvoriť účet správcu a vymazať ho, keď ho už nebudú potrebovať.
Ak ste si zazmluvnili spisovateľa a chcete skontrolovať jeho prácu pred jej publikovaním, neposkytujte mu účet autora, pretože nepotrebuje prístup k funkciám publikácie.
Vždy poskytnite účtom najmenšie množstvo energie, aké môžete.
Poskytnutie prístupu k vášmu serveru
Príležitostne môže vývojár alebo dizajnér potrebovať prístup k vášmu účtu servera alebo hostingu. Opäť platí zásada najmenšieho privilégia.
Po prvé, a čo je najdôležitejšie, nikdy neposkytujte root prístup k vášmu serveru niekomu, komu absolútne nedôverujete. V skutočnosti je lepšie nedávať nikomu root prístup a komu zakázať prihlásenie root.
Ak môžete, mali by ste vykonávať akúkoľvek prácu, ktorá vyžaduje privilegovaný prístup k vášmu serveru. Ak dizajnér požiada o prístup na nahranie niektorých súborov, vy alebo niekto, komu dôverujete, by ste ich mali nahrať, ak je to vôbec možné.
Ak nie, vytvorte pre nich FTP alebo databázový účet a potom ho odstráňte, keď už nebudú vyžadovať prístup.
Ak je pravdepodobné, že vývojár alebo dizajnér použije FTP cez nezabezpečené pripojenie, použite zabezpečenú sieť VPN, aby ste zabezpečili, že údaje nebude možné zachytiť.
Ak budete dôsledne dodržiavať zásadu najmenšieho privilégia, budete môcť poskytnúť predajcom a poskytovateľom služieb potrebný prístup bez toho, aby ste ohrozili bezpečnosť svojej stránky WordPress.