Права пользователей

Важным аспектом безопасного функционирования сайта является правильная установка прав групп пользователей.

Группы пользователей

Группы пользователей имеют четкую иерархию.

Стандартные группы по убыванию прав:

  1. Администраторы
  2. Модераторы
  3. Друзья/Проверенные
  4. Пользователи
  5. Гости
  6. Заблокированные

Самые широкие права и полномочия имеет группа «Администраторы». Меньше всего прав у группы «Гости». Группа «Заблокированные» не имеет прав, для неё отключены все функции сайта. Первичные настройки по умолчанию, которые задаются при создании сайта, дают возможность пользователям комфортно и безопасно взаимодействовать с сайтом. Некоторые настройки стандартных групп пользователей изменить нельзя. Сделано это из соображений безопасности и для защиты от спама.

Группа «Пользователи»

Все вновь зарегистрированные пользователи попадают в группу «Пользователи» (если иное не предусмотрено настройками). Такая группа является самой многочисленной на сайте, и установка прав для нее имеет большое значение.

Самыми уязвимыми местами на сайте в плане спама и распространения нежелательных ссылок являются комментарии, гостевая книга, мини-чат и подписи пользователей. Чтобы снизить распространение нежелательных ссылок, можно отключить следующие права у группы «Пользователи»:

  • Использовать ББ-коды в подписи (Пользователи)
  • Разрешить ББ-коды (Комментарии)
  • Разрешить ББ-коды и Автоматически делать ссылками www и email адреса (Гостевая книга)
  • Разрешить ББ-коды и Автоматически делать ссылками www и email адреса (Мини-чат) — по умолчанию право отключено, не рекомендуется его включать

С помощью этих мер можно не только снизить количество спама на сайте, но и защититься от случаев, когда с помощью ББ-кодов ставят картинку в мини-чат или ссылку в комментарии, генерирующую всплывающее окно с запросом пароля.

В настройках прав раздела «Пользователи» не стоит подключать функцию «Использовать ББ-коды [URL] и [IMG]» (по умолчанию отключено). Это потенциально опасные ББ-коды.

В настройках прав раздела «Форум» можно оставить включенным «Разрешить ББ-коды для пользователей», но с отключенным «Использовать ББ-коды [URL] и [IMG]». Таким образом панель ББ-кодов у пользователей будет, но не будет [URL] и [IMG].

С осторожностью нужно включать право «Изменять максимальные размеры загружаемых изображений», «Загружать файлы на сервер при добавлении материалов», «Использовать граффити редактор», а также давать права на загрузку собственных аватаров на сайт. Это может существенно сэкономить дисковое пространство сайта.

Какие права не стоит давать никому, кроме главного администратора сайта

Администратором сайта со всеми правами (без ограничений) должен быть только один человек. Если предполагается, что на сайте будут ещё администраторы и модераторы, нужно давать им более урезанные права. Если группу модераторов можно настроить отдельно, то вторую группу «Администраторы» лучше создать и там настроить права, отличные от прав главного администратора. Группе «Администраторы» при создании присваивается ID, отличный от системной группы по умолчанию. ID главного администратора (группа по умолчанию) — 4.

А теперь список прав, которые нельзя давать остальным группам:

  • Редактировать дизайн сайта (не рекомендуется)
  • Использование файлового менеджера (категорически нельзя)
  • Доступ к панели инструментов администратора (категорически не рекомендуется)
  • Удалять всех пользователей (категорически не рекомендуется)
  • Перемещать пользователей в другие группы (категорически не рекомендуется)
  • Добавлять страницы сайта (категорически нельзя)
  • Редактировать информацию на страницах сайта (категорически не рекомендуется)
  • Удалять страницы сайта (категорически нельзя)
  • Удаление всех материалов в модулях (категорически нельзя)
  • Использование HTML-тегов при добавлении материалов и на форуме (категорически нельзя)

Защита от спама и нежелательных ссылок

Настройка «Не показывать код безопасности» снимет код безопасности для групп пользователей, кроме группы «Пользователи» (группа по умолчанию) и группы «Гости». В модуле «Мини-чат» есть отдельная настройка на отключение кода безопасности для группы «Пользователи». Код безопасности является эффективной защитой от автоспама.

Препятствием к спаму могут стать следующие настройки модуля «Пользователи» (эффективно для сайтов с локальной авторизацией):

  • Блокировать повторные e-mail адреса и Запрещать активность пользователей с неподтвержденными e-mail адресами (настройки модуля «Пользователи»)
  • Использовать функцию преобразования внешних ссылок с помощью сервиса u.to или Проксировать все внешние ссылки в добавляемых материалах (общие настройки сайта)
  • Настройки групп пользователей / Разное: Отключить автоматическую проверку сообщений на спам; Разрешить жаловаться на спам; Управление спам статусом

Для защиты от спама в репутацию можно поставить тайм-аут на повторное изменение репутации. Тайм-аут на повторное изменение репутации — минимум один день.

Самой эффективной защитой от спама на сайте является премодерация выводимых сообщений. Премодерацию можно установить как на добавляемые материалы, так и на добавляемые пользователями сообщения в мини-чат, гостевую книгу, а также на комментарии.

Набор команды сайта

Не набирайте в администраторы и модераторы сайта незнакомых вам людей.

Для маленьких сайтов с посещаемостью менее 500 посетителей в сутки не нужно набирать большой административный состав. Вполне достаточно главного администратора и одного-двух модераторов.

Никогда не «расплачивайтесь» административными должностями на сайте за какие-либо оказанные вам услуги.

Набор администраторов и модераторов должен быть глубоко осознанным, осмысленным и продиктованным реальной необходимостью.

При наборе «журналистов», «постеров», «новостников» старайтесь в созданных для них группах (если нужно создание группы) не давать права на использование HTML-тегов. Придерживайтесь настроек для группы «Пользователи» / «Проверенные».

Предупреждайте всех о запрете использования грабберов и других программ для автопостинга.

Как безопасно предоставить доступ к редактированию шаблонов сайта

Можно предоставить права редактирования шаблонов сайта без доступа к панели управления. Для этого откройте «Дизайн» / «Прочее» и отключите «Конструктор для управления дизайном»:

Сохраните изменения.

Создайте группу пользователей и назовите ее, к примеру, «Помощник», «Фрилансер» или «Оптимизатор». Включите для группы права:

  • «Редактировать дизайн сайта»
  • «Доступ к панели инструментов администратора»

Теперь у группы пользователей появится возможность редактировать шаблоны сайта без входа в панель управления:

По такой схеме можно сотрудничать с фрилансерами, которые выполняют работы на сайте по вашему заказу. Найти таких фрилансеров можно на https://upartner.pro.

Права пользователей