1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP 4.7 Eure Meinung zu mehreren Autoren - Sicherheitsfragen & mehr

Dieses Thema im Forum "Konfiguration" wurde erstellt von Minijaki, 15. April 2017.

  1. Minijaki

    Minijaki Member

    Registriert seit:
    15. April 2017
    Beiträge:
    15
    Zustimmungen:
    0
    Guten Tag,

    ich plane, neue und "fremde" Autoren für mein System hinzuzufügen. Diese werden nur die Rechte haben, ihre eigene Beiträge zu erstellen und diese zur Prüfung zur Verfügung zu stellen. Sie haben nicht die Möglichkeit, diese Beiträge zu veröffentlichen - oder haben auch keine Möglichkeit, die Beiträge anderer zu bearbeiten. Auch haben sie generell keinen Einblick auf die installierten Plugins oder andere Daten, die für sie uninteressant sein sollte.

    Es handelt sich hierbei um den ganz normalen Gruppenrolle "Autor", was zunächst vollkommen ausreicht.

    Doch hier kommen einige Bedenken und Fragen ins Spiel, in der ich gerne eure Meinung dazu hören möchte.

    Gehen wir von einem BadCase-Scenario aus, dass sich unter den Autoren trotz guter Vertrauensbasis ein schwarzes Schaf eingemischt hat. Welche Möglichkeiten hat dieser Autor mit den zur Verfügung gestellten Rechten, das System zu manipulieren?

    Was mir spontan einfällt, wäre das ausnutzen des Dateisystems. Was ist, wenn der Autor einfach 500 GB an Bilder, oder gar Malware hochlädt?
    Oder die Login-URL kennt (diese ist natürlich standardmäßig nicht auf wp-login.php).
    Welche Möglichkeit zur Manipulation stehen einem schwarzen Schaf zur Verfügung, und welche Sicherheitsmaßnahmen stehen mir zur Verfügung, um das Risiko solches Szenario bestmöglichst niedrig zu halten?

    Ich möchte dabei gerne eure Meinung und Erfahrung in der Hinsicht erfahren - wie ihr damit vorgeht - wie ihr euch abgesichert habt, etc.

    Falls noch Fragen sind, beantworte ich sie gerne!

    Mit freundlichen Grüßen!
     
  2. Minijaki

    Minijaki Member

    Registriert seit:
    15. April 2017
    Beiträge:
    15
    Zustimmungen:
    0
    Besitzt von euch tatsächlich keiner einen Blog, in der mehrere Autoren verschiedene Beiträge verfassen können? Kann mir dazu wirklich keiner etwas sagen?

    Oder habe ich die Frage unverständlich formuliert? :sad:
     
  3. FloRet

    FloRet Well-Known Member

    Registriert seit:
    20. September 2016
    Beiträge:
    1.196
    Zustimmungen:
    90
    Hallo,

    wieso nicht die "Contributor" Rolle verwenden? - Damit würde das "Upload-Risiko" von komprimierten Bilddateien umgangen werden.
    Um die Dateigröße zu regulieren gibt es das so genannte upload_max_filesize - welche die maximale Uploadgröße auf z.B. 12 MB reduziert.

    Und die Bilder müssen Dir als Admin übermittelt werden - welche Du dann einfügen müsstest!

    LG
     
  4. Minijaki

    Minijaki Member

    Registriert seit:
    15. April 2017
    Beiträge:
    15
    Zustimmungen:
    0
    Huhu,

    das wäre tatsächlich eine Idee, kann aber auch auf Dauer auf die Nerven gehen. Nicht für den Admin, sondern für den Autor bzw. "Contributor". Ein Plugin zum einstellen, was genau der einzelne Benutzer machen kann, gibt es ja zuhauf. Vielleicht wäre aber die Idee da, auch nur .jpg- oder .png-Dateien zuzulassen, da diese, ohne dass man einen großen Aufwand betreibt, kaum bis keinen Schaden anrichten kann. Wäre das eine Idee? Oder kann man hierbei noch Unfug angestellt werden?
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden