Una guía para los roles, permisos y seguridad de los usuarios de WooCommerce

Publicado: 2019-09-04

Al dar a las personas acceso a su sitio web, es importante mantener el control total y, al mismo tiempo, permitir que sus empleados, contratistas y voluntarios hagan su trabajo de manera eficaz. Hay algunos pasos importantes que debe tomar para lograr esto.

Veremos los diferentes tipos de usuarios a los que WordPress y WooCommerce le dan acceso, qué significan esos permisos y otras mejores prácticas para la seguridad del sitio web.

Usuario de WordPress frente a una computadora

Roles y permisos de usuario

El sistema de gestión de usuarios se basa en dos aspectos: roles y capacidades.

Un rol es el título de clasificación asignado a un grupo de usuarios en su sitio de WordPress. Cada rol se correlaciona con su propio conjunto de capacidades.

Una capacidad es una acción específica que un usuario puede realizar. Por ejemplo, editar una publicación es una capacidad distinta, mientras que moderar los comentarios de una publicación de blog es otra.

WordPress tiene seis roles de usuario predeterminados, cada uno con su propio conjunto de permisos y capacidades:

  • Superadministrador: un superadministrador tiene capacidades que se aplican específicamente a entornos multisitio. Pueden administrar la configuración de todos los sitios web de la red. En el caso de sitios individuales, el Administrador es el nivel más alto de usuario.
  • Administrador: el rol de usuario más poderoso porque le da acceso a todo. Como propietario del sitio web, esta debería ser su función
  • Editor: este usuario suele ser el responsable de gestionar el contenido. Los editores pueden agregar, editar, publicar y eliminar cualquier publicación y contenido multimedia, incluidos los escritos por otros usuarios. Los editores también pueden moderar, editar y eliminar comentarios, y agregar y editar categorías y etiquetas.
  • Autor: suele ser responsable de las tareas relacionadas con la redacción de contenidos. Pueden crear, editar y publicar sus propias publicaciones. También pueden eliminar sus propias publicaciones (incluso si ya están publicadas), pero no pueden editar ni eliminar publicaciones escritas por otros usuarios.
  • Colaborador: el colaborador es una versión más básica del rol de autor. Los colaboradores pueden realizar tres tareas en su sitio: leer todas las publicaciones, crear y editar sus propias publicaciones y eliminar sus propias publicaciones. Sin embargo, esta función no les permite publicar directamente sus publicaciones en su sitio. Esto le da la oportunidad de revisar y tener el control final sobre cualquier contenido que creen antes de que se publique.
  • Suscriptor: Asignado a nuevos usuarios si habilita registros en su sitio. Este rol tiene el menor número de permisos. Los usuarios solo pueden actualizar su propio perfil, leer el contenido de su sitio y dejar comentarios.

Cuando instale WooCommerce, obtendrá dos roles de usuario:

  • Cliente: Asignado a nuevos clientes cuando crean una cuenta en su sitio web. Esta función es básicamente equivalente a la de un suscriptor de blog normal, pero los clientes pueden editar la información de su propia cuenta y ver los pedidos anteriores o actuales.
  • Administrador de la tienda: esto le permite al usuario ejecutar el lado de las operaciones de su tienda WooCommerce sin la capacidad de editar la funcionalidad de back-end como archivos y código. Un administrador tiene los mismos permisos que un cliente, además de que también se les otorga la capacidad de administrar todas las configuraciones dentro de WooCommerce, crear/editar productos y acceder a todos los informes de WooCommerce. Importante: TAMBIÉN tienen acceso a las capacidades del editor de WordPress mencionadas anteriormente.

WooCommerce también ofrece capacidades adicionales que permiten a un administrador:

  • Administrar todas las configuraciones de WooCommerce
  • Crear y editar productos
  • Ver informes de WooCommerce

Cuándo usar el rol de administrador de la tienda

Asigne el rol de Gerente de tienda cuando:

  • Desea permitir que un usuario administre pedidos, emita reembolsos y genere informes, sin poder editar complementos, temas o configuraciones en su sitio.
  • Desea permitir que un usuario vea y actualice pedidos y productos, pero no acceder a su configuración de usuario (no podrá agregar/editar roles y permisos de usuario).
código en una computadora para demostrar cuándo puede asignar el rol de administrador

Cuándo usar el rol de administrador

Puede haber casos en los que necesite otorgar a otro usuario un rol de administrador en su sitio.

Ejemplos de usuarios administradores:

  • Desarrollador web
  • Diseñador web
  • Agencia de marketing en redes sociales
  • Agencia de Marketing Digital

Por lo general, las personas en estos roles necesitan acceso a funciones y configuraciones de WordPress más amplias para llevar a cabo proyectos en su sitio web.

Deberá tener mucho cuidado con esto, ya que el rol de administrador es el más poderoso en su tienda.

Prácticas recomendadas para permisos de usuario

  • Solo proporcione a los usuarios el acceso que necesitan. Esto es importante para la seguridad, para evitar que los usuarios realicen cambios no aprobados y para evitar que el contenido se elimine accidentalmente.
  • Limite el número de usuarios que tienen un rol de administrador. Muchos proveedores pueden solicitar este rol, pero pocos realmente necesitan un nivel de acceso tan avanzado. Antes de conceder la solicitud, reconsidere cuidadosamente las funciones laborales que realizarán y vea si un nivel de acceso más bajo sería suficiente.
  • Si desea tener más control sobre exactamente a qué tiene acceso su usuario, descargue el complemento gratuito User Role Editor, que le permite seleccionar las capacidades individuales que otorga a cada usuario.

Mejores prácticas de seguridad del sitio web

Agregar usuarios a su sitio web requiere medidas de seguridad adicionales: cuantos más usuarios tenga, más riesgos asumirá.

Nombres de usuario y contraseñas seguros

Siempre asegúrese de que todo su equipo mantenga nombres de usuario y contraseñas seguros.

  • Habilite la autenticación de dos factores , si es posible. El complemento Jetpack gratuito lo hace fácil.
  • Para nombres de usuario, evite títulos comunes como "Administrador" o "Administrador". Esto hace que su sitio sea vulnerable a violaciones de seguridad. En su lugar, cree un nombre de usuario específico para cada persona .
  • WordPress creará automáticamente una contraseña segura para usted cuando cree un nuevo usuario, pero tiene la capacidad de anular esto y permitir que sus usuarios establezcan su propia contraseña .
  • Al crear una nueva contraseña, asegúrese de que tenga una letra mayúscula, una letra minúscula, un número, un símbolo y que tenga al menos 12 caracteres. Esto puede sonar extremo, pero cuanto más complicada sea la contraseña para cada uno de sus usuarios, mejor será su seguridad .

Revise regularmente los roles

Revise periódicamente las funciones de los usuarios, especialmente para los administradores. Es posible que deba asignarles un nuevo rol o eliminar su cuenta por completo.

Por ejemplo, si deja de trabajar con una agencia o un desarrollador, asegúrese de eliminar su cuenta de su sitio web para que ya no tenga acceso a él. Lo mismo se aplica a otros roles de usuario.

Ningún usuario debería tener acceso a su sitio a menos que lo necesite actualmente.

Esto también es cierto para sus cuentas de alojamiento y nombre de dominio. Si le diste acceso a alguien a tu información de inicio de sesión y ya no estás trabajando con esa persona, cambia tu contraseña. Si, en algún momento, proporcionó credenciales de FTP a un desarrollador para que pudiera administrar los archivos de su sitio web, asegúrese de actualizar o eliminar esas credenciales por completo. InMotion Hosting proporciona un tutorial fácil de seguir para cualquiera que use cPanel.

Recuerde: los profesionales de sitios web aún pueden obtener acceso a su sitio web a través de la información de su cuenta de alojamiento o las credenciales de FTP.

Cree regularmente copias de seguridad de su sitio web

La creación de copias de seguridad periódicas de su sitio web y tienda en línea es extremadamente importante, no solo por seguridad sino también por su tranquilidad.

Si un usuario termina realizando cambios no aprobados en su sitio o si su sitio se ve comprometido, es imperativo tener una copia a mano para que pueda restaurarlo a su estado original.

Los planes pagados de Jetpack le permiten restaurar rápidamente una copia de seguridad del sitio con solo hacer clic en un botón. Jetpack también mantiene un registro de auditoría en su panel de control de WordPress, que brinda información detallada sobre todos los cambios realizados en su sitio. Puede ver qué usuario realizó el cambio, a qué hora tuvo lugar y exactamente cuál fue el cambio.

captura de pantalla de un registro de auditoría de Jetpack

Es importante no confiar en las copias de seguridad gratuitas que incluye su proveedor de alojamiento. Debe tener control total sobre sus archivos y copias de seguridad, y muchos hosts solo mantienen copias de seguridad durante 48 horas. También es posible que desee mantener copias de seguridad independientes de cualquier cuenta a la que pueda tener acceso compartido. Una forma de hacerlo es guardando una copia en un proveedor de nube en línea como Dropbox o Google Drive, o guardando una copia en un disco duro físico.

Compartir credenciales de inicio de sesión

Si necesita compartir credenciales de inicio de sesión para roles de usuario o para sus cuentas de alojamiento/dominio, no las envíe por correo electrónico u otro sistema no seguro.

En su lugar, aproveche las herramientas gratuitas para compartir contraseñas como LastPass.

LastPass le permite crear una cuenta, almacenar todos sus nombres de usuario y contraseñas en línea en una bóveda y compartir credenciales a través de su red cifrada y segura.

También puede establecer permisos de usuario en esta herramienta; por ejemplo, puede marcar una casilla si desea que el usuario pueda ver la contraseña o no.

Esté seguro ahí afuera

Ser propietario de una tienda en línea conlleva una gran responsabilidad, especialmente cuando se trata de asignar acceso al back-end de su sitio.

Afortunadamente, WordPress y WooCommerce facilitan la asignación de roles de usuario específicos, el bloqueo de permisos y la protección de la información de los clientes y su propiedad digital.