در این پست ، ابتدا اصل حداقل امتیاز را تعریف می کنیم ، سپس زمان و مکان اعمال آن ، خطرات عدم پذیرش آن و اینکه چرا بسیاری از توسعه دهندگان وب سایت هنوز آن را در وب سایت های وردپرسی خود ایجاد نمی کنند ، بررسی می کنیم. ما همچنین برخی توصیه های کاربردی را به اشتراک می گذاریم تا بتوانید بلافاصله امنیت وب سایت های وردپرس خود را افزایش دهید. این پست شامل چند مورد است که به شما کمک می کند استفاده از آن را در تنظیمات واقعی نشان دهید.
فهرست مطالب
- اصل حداقل امتیاز چیست؟
- چه زمانی و کجا اصل حداقل امتیاز اعمال می شود؟
- اگر PoLP اعمال نشود ، خطرات آن چیست؟
- چرا بسیاری از دارندگان وب سایت از اصل حداقل امتیاز در وردپرس غافل می شوند؟
- نحوه اعمال PoLP برای وردپرس
- امتیازات کاربر پایگاه داده وردپرس
- نقش ها و امتیازات کاربران وردپرس
- ایجاد نقش های سفارشی
-
- مجوز فایل ها و فهرست ها
- پیکربندی افزونه های وردپرس
- دسترسی FTP برای پیمانکاران شخص ثالث
- مطالعات موردی کوتاه
- برنامه های کاربردی وب سایت تجارت الکترونیک
- دانشگاه ها و موسسات آموزشی
- وب سایت ها و وبلاگ های خبری
- وب سایت های بانکی
- استفاده از اصل حداقل امتیاز برای وردپرس و فراتر از آن
اصل حداقل امتیاز چیست؟
به حساب کاربری ، فرایند یا برنامه دسترسی بیشتری نسبت به آنچه که برای انجام وظایف تعیین شده نیاز دارد ، اختصاص ندهید. از نظر یک وب سایت معمولی وردپرس با یک وبلاگ ، به ویراستاران ، نویسندگان ، مشارکت کنندگان و مشترکان خود فکر کنید. هر یک از آنها نیاز به دسترسی به کم یا زیاد پشتیبان وب سایت شما دارند.
اصل حداقل امتیاز (PoLP) همچنین به عنوان اصل حداقل اقتدار ، اصل حداقل امتیازات یا حساب کاربری دارای کمترین امتیاز (LUA) نیز شناخته می شود.
چه زمانی و کجا اصل حداقل امتیاز اعمال می شود؟
پاسخ ساده این است که در همه جا کاربرد دارد: از کودک نوپایی که می خواهد از پله ها بالا برود تا کاربران در حساب میزبانی وب سایت وردپرس شما. امور مالی شما که نیاز به بارگیری فاکتورهای ماهانه دارد ، نیازی به دسترسی یکسانی با مدیر وب سایت ندارد. همین امر در مورد انواع حساب های ممتاز شرکت ، سیستم های مدیریت پرونده ، اسناد استراتژی بازاریابی یا مدیران رمز عبور صادق است.
اگر PoLP اعمال نشود ، خطرات آن چیست؟
به نظر می رسد کنترل دسترسی به مناطق خاص چندان دور از ذهن نیست.
به کاربران احتمالی زیر فکر کنید:
- کاربر جدید با درک کمی از مفاهیم تجاری اشتباهات در وب سایت وردپرس شروع می کند
- کسانی که تجربه مدیریت WordPress کمی دارند
- بدون اطلاع از مفاهیم بارگیری نسخه های جدید وردپرس یا افزونه ها یا به روز رسانی آنها بدون ایجاد نسخه پشتیبان
- کسانی که آگاهی امنیتی محدودی دارند ، کاربران جدیدی ایجاد می کنند یا مجوزهای کاربران فعلی را تغییر می دهند
- کسانی که نمی دانند چگونه با خطاهای گزارش شده یا مشکلات دیگر برخورد کنند
- مشارکت کنندگان پست های وبلاگ خارجی مانند شرکا ، مترجمان آزاد و مشتریان ، شاید اندک دانش وردپرس ، که حتی ممکن است افزونه ها را در وب سایت شما بارگیری یا به روز رسانی کنند
این بدان معناست که کل پشتیبان وردپرس شما در معرض خطر افراد غیرمجاز ، مانند شخصی با سطح دسترسی نامناسب ، اضافه کردن کاربران جدید و دسترسی به مناطقی از وب سایت است که می توانند صدمات عمدی را در آنها ایجاد کنند.
مانند:
- تغییر موضوعات ، ویژگی های سفارشی یا محتوای وب سایت در معرض دید عموم
- سهام اشتباه ، SKU یا فراداده محصول در فروشگاه های تجارت الکترونیک
- ارائه تخفیفات غیر مجاز
- دسترسی ، تغییر ، بارگیری یا حذف کد ، الگوهای صفحه ، رسانه ، تنظیمات ، یا کارکنان ، مشتری و سایر انواع فایل ها
- دسترسی به داده های شرکت ، مشتری ، سلامت یا مالی ، به عنوان مثال برای سوء استفاده یا فروش به سایر طرف های شرور
- آفلاین کردن سایت و محصولات یا خدمات آن
هر یک یا همه این مشکلات زمانی رخ می دهد که اصل حداقل امتیاز برای وردپرس عمداً و به طور مداوم در سازمان شما اتخاذ نشود.
نکته: از افزونه گزارش فعالیت برای وردپرس استفاده کنید تا همه تغییرات ایجاد شده توسط کاربران در وب سایت وردپرس شما ثبت شود. این به پاسخگویی کاربر کمک می کند و عیب یابی را آسان می کند.
چرا بسیاری از دارندگان وب سایت از اصل حداقل امتیاز در وردپرس غافل می شوند؟
خطراتی که ما بیان کردیم بسیار قانع کننده به نظر می رسند ، درست است؟ اما یکی از رایج ترین مشکلاتی که پس از بررسی های وب سایت وردپرس گزارش می شود این است که نقش کاربران وردپرس در یک محیط معمولی هنوز به شرح زیر پیکربندی شده است:
- نقش سرپرست وردپرس به هر کاربر داده می شود ، حتی زمانی که کاربر فقط نیاز به وارد کردن محتوای نوشته شده توسط شخص دیگری داشته باشد
- همین امر در مورد پرونده ها و مجوزهای دایرکتوری نیز صدق می کند ، که همه آنها با کمترین مجوزها پیکربندی شده اند
به آن می رسیم. همه ما در مقاطعی از حرفه خود تجربه کار به عنوان مدیر سیستم و وب سایت را داشته ایم. به جای برقراری ارتباط بین کاربران و مجوزها در روزهای اولیه ، بررسی آنچه کاربر باید انجام دهد ، مدیران اغلب ترجیح می دهند نقش مدیر را نیز به آنها اختصاص دهند.
همین امر در مورد پرونده ها و مجوزهای دایرکتوری نیز صدق می کند. به عنوان مثال ، برخی از افزونه های وردپرس فایل های کش یا سایر داده ها را در سیستم فایل (یعنی در فهرست های وردپرس) ذخیره می کنند. به سادگی پیکربندی مجوزهای 777 در پوشه/wp-content/plugins/آسان تر است ، زیرا همه افزونه ها کار خواهند کرد و لازم نیست زمان بیشتری را برای عیب یابی و اصلاح تنظیمات در هر بار نصب افزونه جدید صرف کنید. اما انجام برخی تحقیقات در ابتدا برای تعیین مناطق خاص برنامه وب سایت یا فهرست ها برای جلوگیری از دسترسی زیاد کاربران خطرات قبلاً ذکر شده را کاهش می دهد. و این مزیت مضاعفی دارد که همه را قادر می سازد بدون نیاز به راهنمایی بیشتر از سرپرست ، به آنچه که برای انجام وظیفه خود نیاز دارند دسترسی پیدا کنند.
سوالاتی که مالکان و مدیران وب سایت ماسک می پرسند
آیا راحتی ارزش ریسک امنیت را دارد؟ می دانید که پاسخ ما به آن سوال چه خواهد بود. نصب و نگهداری افزونه های اولیه و قوی برنامه های کاربردی وب ، پروتکل های رمز عبور و سایر اقدامات مانند 2FA به سادگی فایده ای ندارد ، اگر بزرگترین خطر امنیتی شما این است که قبلاً در پشت را با کنترل های آماتور و دسترسی ضعیف باز گذاشته اید!
نحوه اعمال اصل حداقل امتیاز برای وردپرس
اکنون که تمرکز خود را بر ایجاد امن ترین برنامه وب سایت خود قرار داده اید ، این بخش لیستی از مکان ها و نحوه اعمال اصل حداقل امتیاز را در وب سایت یا وبلاگ وردپرس در اختیار شما قرار می دهد.
امتیازات کاربر پایگاه داده وردپرس
بیایید با اساسی ترین مکان – مجوزها یا امتیازات پایگاه داده کاربر WordPress شروع کنیم.
برای عملیات معمولی روزانه وردپرس مانند نوشتن و انتشار محتوا ، کاربر پایگاه داده وردپرس فقط به مجوزهای زیر نیاز دارد تا بتواند داده ها را از داخل پایگاه داده مدیریت کند:
- انتخاب کنید
- درج کنید
- به روز رسانی
- حذف
این مجوزها به کاربر پایگاه داده وردپرس اجازه نمی دهد ساختار پایگاه داده را تغییر دهد.
توصیه ها
در یک محیط ایده آل ، برای تقویت امنیت وب سایت یا وبلاگ وردپرس خود ، باید امتیازات پایگاه داده MySQL وردپرس امن و محدود کننده را پیکربندی کنید . فقط به اختصاص همه امتیازات به کاربرانی که نیاز به نصب افزونه جدیدی دارند که جداول جدیدی را در پایگاه داده ایجاد می کند ، یا زمانی که وردپرس به روز شده است و تغییراتی در طرح پایگاه داده وردپرس ایجاد شده است ، برگردید.
توصیه دیگر این است که از دسترسی به پایگاه های داده غیر از پایگاه داده وردپرس برای وب سایت مربوطه خودداری کنید.
برای اطلاعات بیشتر در مورد امتیازات پایگاه داده وردپرس ، همچنین می توانید بخوانید چرا حداقل امتیازات پایگاه داده وردپرس کاربر MySQL باعث افزایش امنیت می شود ، که پیامدهای پیکربندی ناامن را توضیح می دهد.
نقش ها و امتیازات کاربران وردپرس
کاربران وردپرس اشتباه می کنند حتی مدیران. ، کاربران همچنین دوست دارند تنظیمات را بررسی کنند. اگر به کاربران دسترسی Super Administrator یا Administrator اختصاص دهید ، کنجکاو ترین آنها به احتمال زیاد افزونه های تصادفی را نصب خواهند کرد. این می تواند منجر به تغییر ناخواسته در تجربه کاربر ، مانند تغییر در عملکرد وب سایت شود.
وردپرس دارای تعدادی نقش داخلی کاربر و قابلیت های مرتبط است ، همانطور که در زیر ذکر شده است (از بیشتر تا حداقل).
- Super Admin – مدیر شبکه سایت
- مدیر – مدیر شبکه سایت برای یک سایت واحد
- ویرایشگر – مدیریت و انتشار پست ها ، از جمله پست های سایر کاربران
- نویسنده – مدیریت و انتشار پست های شخصی
- مشارکت کننده – پست های خود را بنویسید و مدیریت کنید ، اما آنها را منتشر نکنید
- مشترک – فقط نمایه را مدیریت کنید
یک مثال از نحوه عملکرد در عمل این است که در حالی که یک مشارکت کننده و نویسنده ممکن است برخی قابلیت ها را به اشتراک بگذارند (به عنوان مثال ویرایش پست ها و حذف پست ها) ، یک مشارکت کننده نمی تواند هر کاری که نویسنده می تواند انجام دهد ، مانند بارگذاری فایل ها یا ایجاد بلوک های قابل استفاده را انجام دهد.
ایجاد نقش های سفارشی
همچنین تعداد زیادی افزونه وجود دارد که می توانید از آنها برای ایجاد نقش های جدید و سفارشی وردپرس استفاده کنید.
در اینجا موارد استفاده متداول آورده شده است:
- در سازمان های بزرگتر ، ممکن است لازم باشد شخصی را در تیم بازاریابی خود تعیین کنید تا نظرات را تعدیل ، تأیید و پاسخ دهد. قابلیت نظرات معتدل در نقش ویرایشگر قرار دارد ، اما این نقش همچنین مجموعه ای از قابلیت های قدرتمند دیگر را نیز اختصاص می دهد. بنابراین ، این تنها چیزی است که آنها باید بتوانند انجام دهند ، تنظیم یک نقش سفارشی ، با این مجوز ، کافی است.
- اگر سایت وردپرس شما دارای یک افزونه تجارت الکترونیکی مانند WooCommerce است ، شما به دو نقش اولیه محدود شده اید: مدیر فروشگاه (به کاربر اجازه می دهد کل فروشگاه را مدیریت کند) و مشتری (به کاربر اجازه می دهد حساب و سفارشات خود را مشاهده کند). سرپرست دارای مجوزهای اضافی مانند مدیریت تنظیمات و مشاهده گزارش است. اما ، اگر کاربران شما برای مثال ، کارکنان غیر مدیریتی به چیزی در این بین نیاز داشته باشند ، مانند توانایی افزودن و مدیریت مقدار موجودی یا SKU ، یا فقط پردازش سفارشات؟
- در وب سایت ما ، از افزونه ای برای مقالات پایه دانش خود استفاده می کنیم. این به تیم پشتیبانی ما اجازه می دهد تا مقالات پایگاه دانش را ایجاد و اصلاح کند ، اما به صفحات اصلی وب سایت و پست های وبلاگ دسترسی ندارد.
توصیه ها
برای اکثر کاربران عادی ، نقش مشارکت کننده کافی است. برای رهبران تیم و مدیران عملی ، نقش ویرایشگر توصیه می شود. اما ، شما باید نقش Super Admin و Administrator را به کاربران مجرب و مسئول که واقعاً به آنها نیاز دارند محدود کنید.
مجوز فایل ها و فهرست ها
پیکربندی مجوزهای فایل و دایرکتوری آسان است و اسناد زیادی در دسترس است که به شما توضیح می دهد چگونه مجوزهای نصب وردپرس خود را سخت کنید. وردپرس بر روی هر سیستم عاملی که PHP را اجرا می کند ، معمولاً لینوکس اجرا می شود. از نظر گروه ، لینوکس دارای سه گروه مجوز است:
- مالک – مالک فایل/دایرکتوری ، که مجوزهای آن نه بر سایر کاربران اعمال می شود و نه بر آنها تأثیر می گذارد
- گروه – گروهی از کاربرانی که دسترسی به فایل/دایرکتوری به آنها اختصاص داده شده است ، مجوزهای آنها در مورد هیچ کاربری خارج از گروه اعمال نمی شود و بر آنها تأثیر نمی گذارد.
- دیگر – چه میزان مجوزهایی برای سایر فایل ها/فهرست ها وجود دارد
به هریک از این موارد مجوز خواندن (مشاهده محتویات) ، نوشتن (نوشتن یا اصلاح محتویات) یا اجرای (اجرای محتویات ، مانند اسکریپت) اختصاص داده شده است. این مجوزها به صورت مجموعه ای از اعداد ذخیره می شوند و به کد PHP ، تصاویر و سایر رسانه ها ، فایل های HTML و جاوا اسکریپت و افزونه ها دسترسی دارند.
مفهوم اختصاص مجوزهای اشتباه به گروه مجوز اشتباه می تواند به این معنی باشد که یک هکر مخرب می تواند از مزایای استفاده کرده و منجر به آسیب پذیری سطح پایین شود که به یک خطر غیرقابل قبول تبدیل شود.
توصیه ها
هنگام نصب وردپرس ، همچنین باید از PoLP استفاده کنید و حداقل مجوزهای فایل و فهرست را برای کارکردن وردپرس پیکربندی کنید.
به یاد داشته باشید که با سخت شدن مجوزهای پرونده و فهرست ، ممکن است برخی از افزونه های وردپرس را نیز از عملکرد محدود کنید. همانطور که قبلاً توضیح داده شد ، ممکن است افزونه هایی را نصب کنید که باید داده ها را در فهرست راهنمای نصب خود ذخیره کنند. در این صورت ، به سادگی مجوزهای 777 را در فهرست افزونه پیکربندی نکنید (برای خواندن ، نوشتن و اجرا برای هرکسی که مجوز کنترل آن را دارد) اجرا کنید. این راه آسان خروج است. اما شما همچنین باید از محدود کردن آن تا آنجا جلوگیری کنید که مانع از بروزرسانی وردپرس ، موضوعات و افزونه های آن از طریق UI وب توسط کاربران مربوطه شود.
پیکربندی افزونه های وردپرس
همه مدیران برابر نیستند. مانند بسیاری از سیستم ها و شبکه ها ، معمول است که یک مدیر اصلی در میان گروهی از مدیران وردپرس وجود داشته باشد. به طور معمول ، صاحب وب سایت هیچ گزینه دیگری جز اختصاص دسترسی مدیر به سایر کاربران ندارد. به خاطر داشته باشید که در مورد افزونه های امنیتی وردپرس ، آنها اغلب می توانند داده های حساس مانند گزارش حسابرسی امنیتی وردپرس را که مدیران به آنها دسترسی دارند ، ذخیره کنند.
توصیه ها
افزونه های امنیتی وردپرس معمولاً به شما امکان می دهد دسترسی به سایر مدیران وردپرس را محدود کنید. استفاده از چنین ویژگی هایی یک کنترل کوچک اما گاهی نادیده گرفته می شود که به شما کمک می کند دسترسی بهتری را در اختیار کاربران قرار دهید.
برای اطلاعات بیشتر در مورد افزونه های جداگانه ، با پشتیبانی افزونه و ارائه دهنده میزبانی تماس بگیرید. سپس بپرسید که افزونه باید در کدام دایرکتوری ها بنویسد ، بنابراین می توانید مجوزها را به طور خاص برای آن فهرست پیکربندی کنید.همچنین ما در مقاله ای جداگانه 6 تا از بهترین افزونه امنیت ورد پرس را بررسی کرده ایم.
دسترسی FTP برای پیمانکاران شخص ثالث
وقتی طراح را استخدام می کنید یا تیم پشتیبانی افزونه نیاز به دسترسی FTP به وب سایت شما دارد ، ممکن است به آنها دسترسی کامل به ریشه وب سایت خود را بدهید ، درست است؟ این غیر ضروری است.
توصیه ها
در مورد یک طراح ، تنها چیزی که آنها نیاز به دسترسی دارند فهرست راهنمای تم است ، بنابراین دسترسی به آن فهرست را محدود کنید. همین امر در مورد تیم های پشتیبانی افزونه نیز صدق می کند. اگر برای بررسی فایل های گزارش نیاز به دسترسی دارند ، به آنها دسترسی FTP به فهرست افزونه یا مکانی که افزونه فایل های گزارش را ذخیره می کند را بدهید. از وابستگی به طرف های خارجی برای انجام اقدامات امنیتی مناسب برای خود اجتناب کنید.
مطالعات موردی کوتاه
بیایید به چند مثال مرتبط با نحوه عملکرد این روش در عمل و نحوه سوالات و تصمیمات مربوط به کنترل دسترسی بپردازیم که می تواند برنامه PoLP را برای دسترسی مناسب برای تیم ها و افراد مناسب فعال کند.
برنامه های کاربردی وب سایت تجارت الکترونیک
برنامه های کاربردی وب سایت تجارت الکترونیک ، مانند مواردی که مصرف کنندگان اقلام بلیط بزرگی مانند یخچال فریزر ، جاروبرقی ، دوربین یا لپ تاپ را خریداری می کنند ، نمونه های مختلفی از محل استفاده از PoLP را ارائه می دهند.
برخی از تصمیمات کنترل دسترسی برای توسعه دهندگان نرم افزار وب سایت تجارت الکترونیک واضح است:
- بخش های منابع انسانی احتمالاً نیازی به دسترسی به داده های مشتری یا فهرست پرونده هایی ندارند که افزونه ها را ذخیره می کنند ، اما به اکثر سوابق کارکنان نیاز خواهند داشت (هرچند ممکن است داده های بهداشتی که اغلب تحت قوانین حفاظت از داده ها از وضعیت خاصی برخوردار هستند) محدودیت بیشتری بر اساس نیاز به دانستن داشته باشید
- بخش های بازاریابی لزوماً نیازی به دسترسی به جداول SKU یا کدهای محصول ندارند. با این حال ، آنها می خواهند به جداول موجود در پایگاه داده محصول که نام محصولات ، مشخصات و توضیحات را نشان می دهد ، دسترسی داشته باشند
برخی از آنها کمتر آشکار هستند:
- آیا مصرف کنندگان دائماً به همه داده های خود نیاز دارند؟
- آیا مأموران رعایت PCI-DSS به همه داده های مصرف کننده نیاز دارند؟
دانشگاه ها و موسسات آموزشی
در مورد موسسات قدیمی و قدیمی که امنیت برنامه های وب و PoLP در ابتدا کمتر نمایان است ، چطور؟
برخی از تصمیمات کنترل دسترسی برای پورتال های دانشگاه و کالج واضح است:
- بخش حقوق و دستمزد برای پیگیری روزهای کاری و پرداخت ها به سوابق کارکنان و پیمانکاران در برنامه وب سایت نیاز دارد
- بخش های مختلف اداری ممکن است نیاز به دسترسی به سوابق دانشجویی ، پردازش شناسه ، برنامه های اقامتی ، صورت حساب یا کمک هزینه داشته باشند.
وب سایت ها و وبلاگ های خبری
وب سایت های خبری ، پادکست و وبلاگ است. بسیاری از دارندگان وب سایت به مدیران متعدد ، مشارکت کنندگان ، ویراستاران ، ناشران وابسته هستند. علاوه بر این ، مشترکین و بینندگان نیز باید در نظر بگیرند.
برخی از تصمیمات کنترل دسترسی برای برنامه های خبری وب سایت وبلاگ واضح است:
- بسته به حوزه های مسئولیت تجاری ، ممکن است ویراستاران به ترکیبی از صفحات ، مقالات و پست های وبلاگ دسترسی داشته باشند
- مشارکت کنندگان فقط باید به پست های وبلاگ خود دسترسی داشته باشند.
وب سایت های بانکی
مثال نهایی ما چیزی است که بسیاری از ما به طور روزانه از خدمات وب سایت بانکی استفاده می کنیم. گذشته از اطلاعات بهداشتی ، داده های مالی شخصی به طور طبیعی یکی از محرمانه ترین انواع موجود است.
برخی از تصمیمات کنترل دسترسی برای ایجاد برنامه های وب سایت واضح است:
- هیچ کاربر خدمات بانکی نباید به حساب کاربر دیگری دسترسی داشته باشد ، مگر با رضایت صریح (احتمالاً توسط کاربر)
- حساب های کاربری کارکنان باید به بسیاری از حساب های کاربری خدمات دسترسی داشته باشند ، اما فقط به وظایفی محدود می شود که باید به عنوان بخشی از کار خود انجام دهند
ما توصیه می کنیم که برای هر سناریو مورد استفاده تجاری را در نظر بگیرید و برنامه ریزی کنید. در ارتباط با گروه های کاربران و افراد خود با شرح شغل منحصر به فرد. ابتدا این موارد را ترسیم کنید. تنها در این صورت می توانید پروتکل های کنترل دسترسی موجود در وب سایت وردپرس خود را بررسی کنید.
ردیاب های سلامتی و تناسب اندام
دستگاه های ردیاب سلامت یا تناسب اندام و داشبوردهای آنلاین متصل به آنها ، آمارهای جالبی را درباره کاربران و داده ها ، فعالیت ها ، اهداف و دستاوردهای آنها جمع آوری ، ذخیره و به اشتراک می گذارند.
برخی از تصمیمات کنترل دسترسی برای مارک های ردیاب سلامت و تناسب اندام بدیهی است:
- کدام تیم های درون سازمانی به چه داده هایی نیاز دارند؟ منطقی است که اگر یک تیم مسئول طراحی و توسعه بخش ردیابی خواب برنامه باشد ، لزوماً نیازی به دسترسی به جداول آمار تمرین ندارند.
- اکثر کاربران می خواهند PoLP (اعم از اطلاع از آن یا عدم اطلاع) بسیار محدود کننده باشد ، بنابراین اطلاعات سلامتی آنها با سایر کاربران به اشتراک گذاشته نمی شود. بنابراین ، چه امتیازات دسترسی باید به نقش کاربر عادی داده شود و بنابراین چه داده هایی در یک نمایه عمومی (نام ، تصویر نمایه و میانگین مراحل روزانه تنها) به اشتراک گذاشته می شود؟
استفاده از اصل حداقل امتیاز برای وردپرس و فراتر از آن
موارد فوق تنها گزیده ای از رایج ترین سناریوهایی است که در آن اصل حداقل امتیاز برای وردپرس اغلب نادیده گرفته می شود اما می توان به راحتی از آن استفاده کرد.
برای شروع پذیرش PoLP ، با در نظر گرفتن آنچه می خواهید در مورد موارد زیر انجام دهید شروع کنید:
- سرور وب
- پایگاه داده
- سفارشی سازی
از به کار بردن اصل حداقل امتیاز صرف نظر نکنید زیرا همه چیز فوراً پیش نمی رود. بله ، بیشتر اوقات شما باید چند ساعت را برای پیکربندی نقش های سفارشی کاربر و عیب یابی افزونه ها صرف کنید. این را به عنوان یک سرمایه گذاری طولانی مدت در امنیت وب سایت های وردپرس خود در ذهن خود مجدداً بسته بندی کنید.
