Cómo usar los roles de usuario de WordPress para mejorar la seguridad de WordPress

Como sistema de administración de contenido, WordPress tiene un conjunto de roles de usuario. Esencialmente, estos roles de usuario de WordPress definen las capacidades (permisos para realizar tareas específicas) de cada usuario individual en su sitio. A medida que aumenta su sitio, es esencial comprender estos roles y capacidades para garantizar la seguridad continua de su sitio porque la asignación de Los roles de usuario incorrectos pueden conducir a consecuencias desastrosas. En este artículo, enfatizaremos cuáles son los roles del usuario (incluidos los roles personalizados), para que sepa cómo asignarlos correctamente. También abordaremos cómo usar complementos de WordPress para administrar y monitorear la actividad de su usuario de WordPress.
Los elementos básicos de los roles de usuario de WordPress El tipo de acceso que tiene a un sitio de WordPress está determinado por el papel que tiene y, por lo tanto, por las capacidades que se le ofrece.
Un “rol” es un grupo/lista predefinida de capacidades. Como usuario, se le asigna un rol, que determina qué capacidades tiene.
Las “capacidades” son esencialmente lo que puede hacer ese rol de usuario (publicar publicaciones, cambiar la configuración, etc.)
Por ejemplo, un editor es un papel de usuario que tiene capacidades, como moderar comentarios, publicar contenido y crear contenido nuevo, por nombrar algunos. En un sitio web de noticias o blog más grande, es normal tener más editores, cada uno responsable de las respectivas secciones temáticas.
Si bien algunos complementos agregan roles personalizados del cliente de WordPress (iremos a esto pronto), existen seis roles de usuario implícitos con cada sitio estándar de WordPress. Estos son los siguientes: Super Administrador
Administrador
Editor
Autor
contribuyente
Abonado
Comprender la jerarquía de capacidades del papel del usuario de WordPress es importante comprender que la estructura de los roles es jerárquica. Cada rol de usuario tiene las capacidades de la (s) posición (s) debajo de él, con la adición de capacidades específicas de rol. Por ejemplo, veamos la parte inferior del rol del usuario, suscriptor. Un rol de suscriptor solo tiene la capacidad de “leer” (lo que significa que solo puedo leer las publicaciones en su sitio).
Pasemos al siguiente nivel de rol de usuario, contribuyente. Este rol tiene la capacidad de “leer”, pero también tiene las capacidades “edit_posts” y “delete_posts”. Esto significa que pueden editar y eliminar sus propias publicaciones. El papel del autor tiene las capacidades de suscriptor y contribuyente, con los siguientes privilegios adicionales:
Delete_publish_posts
Publicar_posts
Cargar archivos
Edit_posts_publicate
Como puede ver, las capacidades aumentan la estructura del usuario que mueve arriba, el super administrador con el mayor conjunto de privilegios. Así que veamos cada papel pequeño más detallado, en orden descendente.
El papel de Super Administrator WordPress WordPress Super Administrator es el papel de WordPress del nivel más alto, por lo que tienen todas las capacidades disponibles. La diferencia entre un súper administrador y un administrador es que estas capacidades se pueden transferir a sitios de una red de múltiples palabras. Para mayor claridad, aquí está la diferencia entre diferentes sitios/redes de WordPress: Multisite WordPress Network: una instalación de tipo WordPress que le permite crear y administrar una red de múltiples sitios web desde un solo tablero de WordPress. Un sitio web de WordPress en una red con múltiples sitios (sitio infantil), un sitio de WordPress en su red con múltiples sitios. Este sitio infantil comparte los complementos y el tema de otros sitios de red, pero puede tener su propio tema secundario. Un sitio de WordPress de stand: un sitio stand -alone es su instalación regular de WordPress. Tiene su propio conjunto único de complementos, configuraciones y temas.
Un súper administrador (se encuentra solo en redes de varios sitios) puede crear y administrar suscripciones, crear y administrar usuarios de la red, instalar y eliminar temas y complementos y activarlos incluso en la red. Por ejemplo, suponga que opera una red de tres tiendas de comercio electrónico, cada una se centra en un cierto segmento de consumidores: ropa para hombres, mujeres y niños. Un súper administrador podría hacer cambios que se reflejen en estos tres sitios, como actualizar o configurar el complemento de WooCommerce. El papel del administrador de WordPress y los super administradores, los administradores tienen todas las capacidades. Sin embargo, estos permisos se limitan al alcance de un sitio web. Estas capacidades incluyen, entre otros, lo siguiente: instalar y desinstalar, activar y deshabilitar, editar y actualizar cualquier complemento de WordPress.
Cree un nuevo contenido, lea, modifique y elimine el contenido existente. Por ejemplo, las páginas de WordPress y las publicaciones de blog creadas por cualquier otro usuario. Estos incluyen materiales inéditos, privados y protegidos con contraseña.
Cree nuevos usuarios, modifique y elimine los usuarios existentes.
Instale, active y deshabilite los temas de WordPress.
Cambie los archivos con temas de WordPress.
Cree nuevos, modifique o elimine las categorías existentes.
Cree nuevos, modifique o elimine los menús existentes de WordPress.
Cargue archivos a WordPress.
La capacidad de publicar el marcado HTML y el código JavaScript en páginas, publicaciones y comentarios (HTML sin filtro).
Comentarios moderados.
Recuerde, estas capacidades son las mismas que el super administrador. Sin embargo, un súper administrador tiene estos privilegios extendidos en varios sitios en una estructura de editor en nivel de editor de WordPress. WordPress en la que las capacidades se restringen es el papel del editor. El papel del editor se centra en el contenido, como en un marco de publicación tradicional. No tienen permiso que implique configuración, configuración, funcionalidad o diseño de su sitio de WordPress. Sus capacidades incluyen:
Comentarios moderados.
Cree contenido nuevo, como publicaciones de blog y páginas de WordPress.
Lea, modifique y elimine el contenido existente, como las páginas de WordPress y las publicaciones de blog creadas por cualquier otro usuario. Esto también incluye materiales inéditos, privados y protegidos con contraseña.
El papel del autor WordPress del autor Down, las capacidades de los roles de usuario de WordPress se vuelven mucho más estrechos. Una persona designada como rol de usuario solo tiene acceso a sus publicaciones y su perfil de blog.
Por lo tanto, pueden publicar sus publicaciones de blog, cambiar sus propias publicaciones existentes en el blog y cambiar su perfil de usuario.
El papel del colaborador de WordPress similar al papel del autor, los colaboradores pueden escribir publicaciones de blog.Sin embargo, los colaboradores de WordPress no pueden publicar sus propias publicaciones de blog.Todas las publicaciones de blog escritas por un colaborador de WordPress deben ser aprobadas y publicadas por un editor de WordPress o un administrador.El papel del suscriptor de WordPress Este es el papel predeterminado otorgado a cualquier persona que se inscriba para registrarse para una cuenta en un sitio web de WordPress.Un suscriptor solo puede leer contenido y no tiene acceso para cambiar ningún tipo de contenido en un sitio de WordPress.Solo pueden cambiar su información de perfil.
Roles personalizados del cliente de WordPress Los roles de usuario de WordPress descritos anteriormente son los roles predeterminados de “fuera del cuadro” proporcionados en un sitio estándar de WordPress. En algunos casos, los complementos de WordPress instalan sus propios roles de usuario personalizados, con capacidades específicas adjuntas para cumplir con ese rol. Por ejemplo, aquellos de ustedes que usan WooCommerce notarán un rol de usuario de un administrador de tiendas. Además, el complemento SEO Yoast presenta el editor de SEO y los roles de usuario de gestión de SEO con sus propios permisos distintos de WordPress. Crear los roles de usuario personalizados de WordPress puede ser algo de interés para usted si los roles preexistentes no coinciden con los objetivos deseados. Por ejemplo, puede ejecutar un sitio de membresía que requiere que les dé a los suscriptores muchos más privilegios que simples capacidades de lectura. Si este es el caso, los complementos de WordPress, como el editor de roles de usuario, le permiten personalizar los permisos en cada rol para responder mejor a sus necesidades comerciales específicas.
Cómo usar los roles de usuario de WordPress para mejorar la seguridad de los roles de usuarios de WordPress juegan un papel importante en la seguridad general de su sitio. En vista de esto, debe asignar sus roles de usuario correctamente. Asigne el papel correcto a la persona correcta como en cualquier negocio tradicional, no distribuya los mismos derechos y responsabilidades a sus empleados a continuación o a los contratistas externos que el propietario del negocio. Por ejemplo, al referirse a un sitio de WordPress, los desarrolladores web necesitan acceso al administrador para realizar los cambios necesarios en las funciones del sitio de back-end. Sin embargo, deben tener su propio inicio de sesión de usuario, que puede mantener en control. Lo mismo es cierto para los autores y colaboradores, si ejecuta un blog o para los gerentes y productos de las tiendas, si ejecuta un comercio electrónico. Debe tener control como webmaster por varias razones. Para obtener más información sobre esto, nuestra guía sobre el principio de los privilegios más pequeños es un buen lugar para comenzar. Compartir credenciales es una amenaza de seguridad para tomar prestada información sobre el usuario de WordPress puede parecer inofensivo, pero es algo más que seguro. Las credenciales transmitidas por correo electrónico pueden ser interceptadas, y las versiones impresas pueden volverse tan rápidamente comprometidas. Un estudio de 2019 descubrió que el 74% de las violaciones de los datos fueron el resultado del abuso de acreditaciones con acceso privilegiado.

Peor aún, el mismo informe encontró que hasta el 65% comparten el acceso raíz o privilegiado (como WordPress) al menos algo.* Una razón por la cual las violaciones de los datos son tan grandes es que las acreditaciones compartidas tienden a promover las contraseñas débiles. Si bien las contraseñas fáciles de recordar ahorran tiempo para los propietarios de sitios de WordPress, tienen una debilidad en la seguridad de su sitio, dejándolo abierto a ataques de bruto y diccionario. Finalmente, si le da a muchas personas acceso a un rol de usuario de WordPress en su sitio, no podrá seguir quién ha cambiado lo que su sitio con más personas tiene acceso a un nombre de usuario y una contraseña, ¿cómo descifrará qué persona es? responsable de las actividades bajo ese rol de usuario? Mantenga las revistas de los usuarios con diferentes roles por las razones presentadas anteriormente, debe dar a cada colaborador a su sitio de WordPress su propia conexión y rol de usuario. Entonces es una buena idea usar un complemento para monitorear la actividad de cada usuario para rastrear los trabajos realizados, al tiempo que aumenta la seguridad del sitio. Con el complemento de registro de actividad de WP, puede mantener un diario de actividad con cada cambio realizado por sus usuarios de WordPress. Al instalar este complemento, puede almacenar y analizar un diario de actividad integral, recibiendo alertas en tiempo real cuando un usuario realiza cambios críticos en el sitio. También puede monitorear a los usuarios de tiempo real para asegurarse de que realicen sus tareas como deberían.
Estas características son particularmente beneficiosas si opera grandes sitios singulares con varios departamentos (como es el caso en el comercio electrónico). O ejecute una red con múltiples sitios como super administrador. Con tantas personas que realizan cambios constantes, puede usar el complemento de registro de actividad de WP para buscar a través de las revistas de actividad e identificar cuándo se han realizado ciertos cambios en un sitio de WordPress (y por quién). La optimización de los roles de los usuarios en los roles de usuarios de WordPress de WordPress juega un papel vital en la estructura organizativa de su sitio web. Para minimizar los problemas de seguridad, cada rol de usuario y sus capacidades asociadas deben asignarse cuidadosamente. Cuanto más crece su sitio, más importantes se vuelven más importantes. En muchos casos, se debe evitar el intercambio de acreditaciones entre las personas a cualquier costo. Aunque es posible que pueda supervisar a algunos usuarios, cuando hay varios miembros del equipo designado para cada rol de usuario, necesita software como el complemento de registro de actividades WP para seguir con precisión los cambios en su sitio. Hoy los 14 días gratis ¿Versión de prueba para su sitio de WordPress? Consejo de bonificación Las contraseñas débiles son una de las mayores amenazas para su sitio de WordPress. Con tantos usuarios en su sitio, debe asegurarse de que todos usen contraseñas seguras para protegerlo contra los piratas informáticos. Con WPassword, puede asegurarse de que todos los que tengan una autenticación en su sitio.