Новости
- Групи користувачів
- Група «Користувачі»
- Які права не варто давати нікому, крім головного адміністратора сайту
- Захист від спаму і небажаних посилань
- Набір команди сайту
- Як безпечно надати доступ до редагування шаблонів сайту
Важливим аспектом безпечного функціонування сайту є правильна установка прав груп користувачів.
Групи користувачів
Групи користувачів мають чітку ієрархію.
Стандартні групи по спадаючій прав:
- адміністратори
- Модератори
- Друзі / Перевірені
- користувачі
- гості
- Заблоковані
Найширші права і повноваження має група "Адміністратори". Найменше прав у групи «Гості». Група «Заблоковані» не має прав, для неї відключені всі функції сайту. Первинні налаштування за замовчуванням, які задаються при створенні сайту, дають можливість користувачам комфортно і безпечно взаємодіяти з сайтом. Деякі настройки стандартних груп користувачів змінити не можна. Зроблено це з міркувань безпеки і для захисту від спаму.
Група «Користувачі»
Все знову зареєстровані користувачі потрапляють в групу «Користувачі» (якщо інше не передбачено настройками). Така група є найчисленнішою на сайті, і установка прав для неї має велике значення.
Найбільш уразливими місцями на сайті в плані спаму і спричинити небажані наслідки посилань є коментарі, гостьова книга, міні-чат і підписи користувачів. Щоб знизити поширення небажаних посилань, можна відключити наступні права у групи «Користувачі»:
- Використовувати ББ-коди в підписі (Користувачі)
- Дозволити ББ-коди (Коментарі)
- Дозволити ББ-коди і Автоматично робити посиланнями www і email адреси (Гостьова книга)
- Дозволити ББ-коди і Автоматично робити посиланнями www і email адреси (Міні-чат) - за замовчуванням право відключено, не рекомендується його включати
За допомогою цих заходів можна не тільки знизити кількість спаму на сайті, але і захиститися від випадків, коли за допомогою ББ-кодів ставлять картинку в міні-чат або посилання в коментарі, що генерує спливаюче вікно із запитом пароля.
В налаштуваннях прав розділу «Користувачі» не варто підключати функцію «Використовувати ББ-коди [URL] і [IMG]» (за замовчуванням вимкнено). Це потенційно небезпечні ББ-коди.
В налаштуваннях прав розділу «Форум» можна залишити включеним «Дозволити ББ-коди для користувачів», але з відключеним «Використовувати ББ-коди [URL] і [IMG]». Таким чином панель ББ-кодів у користувачів буде, але не буде [URL] і [IMG].
З обережністю потрібно включати право «Змінювати максимальні розміри завантажуваних зображень», «Завантажувати файли на сервер при додаванні матеріалів», а також давати права на завантаження власних аватарів на сайт. Це може істотно заощадити дисковий простір сайту.
Які права не варто давати нікому, крім головного адміністратора сайту
Адміністратором сайту з усіма правами (без обмежень) повинен бути тільки одна людина. Якщо передбачається, що на сайті будуть ще адміністратори і модератори, потрібно давати їм більше урізані права. Якщо групу модераторів можна налаштувати окремо, то другу групу «Адміністратори» краще створити і там налаштувати права, відмінні від прав головного адміністратора. Групі «Адміністратори» при створенні присвоюється ID, відмінний від системної групи за замовчуванням. ID головного адміністратора (група за замовчуванням) - 4.
А тепер список прав, які не можна давати іншим групам:
- Редагувати дизайн сайту (не рекомендується)
- Використання файлового менеджера (категорично не можна)
- Доступ до панелі інструментів адміністратора (категорично не рекомендується)
- Видаляти всіх користувачів (категорично не рекомендується)
- Переміщати користувачів в інші групи (категорично не рекомендується)
- Додавати сторінки сайту (категорично не можна)
- Редагувати інформацію на сторінках сайту (категорично не рекомендується)
- Видаляти сторінки сайту (категорично не можна)
- Видалення всіх матеріалів в модулях (категорично не можна)
- Використання HTML-тегів при додаванні матеріалів і на форумі (категорично не можна)
Захист від спаму і небажаних посилань
Налаштування «Не показувати код безпеки» зніме код безпеки для груп користувачів, крім групи «Користувачі» (група за замовчуванням) і групи «Гості». У модулі «Міні-чат» є окрема настройка на відключення коду безпеки для групи «Користувачі». Код безпеки є ефективним захистом від автоспама.
Перешкодою до спаму можуть стати наступні настройки модуля «Користувачі» (ефективно для сайтів з локальної авторизацією):
- Блокувати повторні e-mail адреси і Забороняти активність користувачів з непідтвердженими e-mail адресами ( настройки модуля «Користувачі» )
- Використовувати функцію перетворення зовнішніх посилань за допомогою сервісу u.to або проксіровать всі зовнішні посилання в додаються матеріалах ( загальні налаштування сайту )
- Налаштування груп користувачів / Різне: Відключити автоматичну перевірку повідомлень на спам; Дозволити скаржитися на спам; Управління спам статусом
Для захисту від спаму в репутацію можна поставити тайм-аут на повторну зміну репутації. Тайм-аут на повторну зміну репутації - мінімум один день.
Найефективнішим захистом від спаму на сайті є премодерація виведених повідомлень. Премодерацію можна встановити як на додаються матеріали, так і на додаються користувачами повідомлення в міні-чат, гостьову книгу, а також на коментарі.
Набір команди сайту
Не набирайте в адміністратори і модератори сайту незнайомих вам людей.
Для маленьких сайтів з відвідуваністю менше 500 відвідувачів на добу не потрібно набирати великий адміністративний склад. Цілком достатньо головного адміністратора і одного-двох модераторів.
Ніколи не «розплачуйтеся» адміністративними посадами на сайті за будь-які надані вам послуги.
Набір адміністраторів і модераторів повинен бути глибоко усвідомленим, осмисленим і продиктованим реальною необхідністю.
При наборі «журналістів», «постерів», «новинарів» намагайтеся в створених для них групах (якщо потрібно створення групи) не давати права на використання HTML-тегів. Дотримуйтеся налаштувань для групи «Користувачі» / «Перевірені».
Попереджайте всіх про заборону використання граббер і інших програм для автопостінга.
Як безпечно надати доступ до редагування шаблонів сайту
Можна надати права редагування шаблонів сайту без доступу до панелі управління. Для цього відкрийте «Дизайн» / «Інше» та вимкніть «Конструктор для управління дизайном»:
Збережіть зміни.
Створіть групу користувачів і назвіть її, наприклад, «Помічник», «Фрілансер» або «оптимізатор». Увімкніть для групи права:
- «Редагувати дизайн сайту»
- «Доступ до панелі інструментів адміністратора»
Тепер у групи користувачів з'явиться можливість редагувати шаблони сайту без входу в панель управління:
За такою схемою можна співпрацювати з фрілансерами, які виконують роботи на сайті на ваше замовлення. Знайти таких фрілансерів можна на https://upartner.pro .