Aprovechando al máximo el sistema de usuarios de WordPress

¿Qué tan importante es configurar una jerarquía de usuarios integral en sus sitios de WordPress?

Este artículo explicará los beneficios de crear múltiples usuarios para su sitio de WordPress y cómo comprender los diferentes roles que pueden tener los usuarios le dará el control necesario para permitir que otros creen contenido, sin arriesgar el control del sitio en sí. El artículo también le enseñará a verificar la configuración de su sitio para comprender si hay puertas traseras que los visitantes no deseados podrían usar para registrarse, ver contenido privado o realizar cambios no deseados en su sitio.

Quedarse atascado en la 'rutina de administración'

El infame proceso de instalación de un minuto de WordPress significa que es sencillo configurar un nuevo sitio web o intranet. Pero para ser tan súper rápido, se necesita un atajo que a menudo puede ser el primer paso para caer en la trampa de tener un solo usuario para hacer todo. Configura un usuario llamado 'admin' de forma predeterminada y, a menudo, puede parecer más fácil quedarse con eso, tal vez incluso compartir su contraseña con otros, en lugar de dar un paso atrás y configurar usuarios y permisos que reflejen mejor la forma en que usted quiere que su organización interactúe con WordPress.

Esto no solo es contraproducente para usted y su equipo, sino que también es impersonal para los visitantes o usuarios de su sitio: cada publicación está escrita por el usuario 'admin' impersonal: nombre de usuario 'admin', nombre 'admin', last- nombre 'administrador'…

Incluso hay ataques de piratería que se aprovechan de la proliferación del nombre de usuario 'admin', adivinando por fuerza bruta la contraseña que un administrador novato de WordPress podría haber ingresado.

Digamos que está levantando la mano en este momento y sabe que es más que el aburrido 'administrador' que le engañaron para que lo etiquetara a sí mismo (es decir, como la mayoría de las personas, en realidad tiene un nombre real). ¡El primer paso es identificarse ante el mundo!

Todo lo que necesita hacer es cambiar su 'Apodo' de 'administrador' a otra cosa, luego seleccionarlo en la lista desplegable 'Mostrar nombre públicamente'. Esto al menos mostrará su nombre elegido como el propietario de todas sus publicaciones de blog existentes.

Sin embargo, aún tendrá que ingresar 'admin' como su nombre de usuario cuando inicie sesión, y a medida que cree más usuarios para su otro personal, se destacará como una anomalía que debe ser tratada de manera ligeramente diferente (todos los demás tendrán su nombre o tal vez correo electrónico como su nombre de usuario).

Entonces, si desea recorrer todo el camino, también deberá cambiar su nombre de usuario. Eso no es algo que pueda hacer dentro de una instalación estándar de WordPress, pero hay complementos de terceros que le permiten hacerlo. Por ejemplo, http://wordpress.org/plugins/admin-username-changer/

Para obtener ideas sobre a qué cambiar su propio nombre de usuario, primero deberá decidir una estrategia para nombrar a todos los usuarios de su organización.

Traer a sus copilotos

No tiene por qué ser una decisión complicada, pero piensa rápidamente quién más debería ser usuario de tu blog y qué se le debería permitir hacer. Es posible que deba leer las secciones posteriores sobre permisos para comprender sus opciones.

Le recomendamos que tenga una política consistente para configurar nuevas cuentas de usuario: solo estamos hablando de una decisión informal, ¡no es que necesite escribir una lista de reglas ni nada! Digamos que todos en su organización tienen una dirección de correo electrónico en el mismo dominio, todos son [email protected] o lo que sea, entonces podría decidir tomar la primera parte de la dirección para formar el nombre de usuario de WordPress (es decir, "dan" ). O si necesita un poco de flexibilidad, por ejemplo, si tiene contratistas que necesitan iniciar sesión, tenga en cuenta que solo puede usar direcciones de correo electrónico completas como nombres de usuario. Y luego tenga una política sobre Nombre y Apellido para esos campos, y lo mismo para el campo 'nombre descriptivo'.

Pero no dejes que conduzcan demasiado rápido

Por lo tanto, está encantado de que sea más manejable para otros miembros del equipo contribuir a su sitio web, y tal vez también para algunos de sus lectores, especialmente si desea que comenten. Pero, ¿cómo evita que tomen el control de su sitio e incluso lo eliminen como usuario? Lo ha adivinado si aún no lo sabe: puede establecer diferentes 'roles' que restringen las capacidades de esos usuarios.

Cuando crea un usuario en su panel de administración, especifica un rol.

Aquí hay una breve descripción general de los roles estándar de WordPress para instalaciones de WordPress de un solo sitio (lo sabrá si tiene una red multisitio, y las diferencias para dicha instalación se enumeran más adelante):

Administración

El usuario que todo lo ve y que puede hacer cualquier cosa en el sitio: crear nuevos usuarios, eliminar usuarios, instalar nuevos temas y complementos, además de todo el trabajo del día a día del sitio si no lo delega por completo. Eso significa escribir publicaciones y páginas, aprobar comentarios, etc.

Editor

Este usuario no puede cambiar la estructura técnica del sitio (con eso quiero decir que no puede instalar complementos o agregar/eliminar a otros usuarios), pero tiene control editorial completo en el lado del contenido de las cosas. Pueden agregar/eliminar páginas y publicaciones, y editar, eliminar o aprobar el contenido de otras personas.

Autor

Un autor puede crear sus propias publicaciones de blog nuevas (pero no páginas) y publicarlas sin autorización. Sin embargo, no pueden interferir con el contenido de otros usuarios. También pueden cargar imágenes en sus publicaciones, lo que los Colaboradores no pueden.

Contribuyente

Esta es básicamente una versión menos confiable del rol de autor y es especialmente útil para los blogueros invitados. Es posible que desee que un bloguero invitado pueda iniciar sesión para ingresar su contenido directamente (le ahorra copiarlo manualmente, como mínimo). Pero no desea que lo publiquen públicamente sin que su equipo central lo revise y apruebe primero. La publicación de un colaborador primero debe ser aprobada por un administrador y luego publicada. Una vez publicado, el colaborador ya no puede editarlo. Si desea que otros miembros del equipo puedan aprobar y publicar publicaciones, primero deberá modificar sus roles.

Abonado

Estos usuarios son normalmente sus lectores, quienes, para un sitio web público, pueden necesitar iniciar sesión para comentar o recibir funciones adicionales, como descargas de archivos. Para un sitio de intranet (o solo para miembros), es posible que requiera que los usuarios se registren como Suscriptores (o superior) antes de que se les permita ver cualquier contenido.

Redes multisitio

Si tiene una configuración más complicada conocida como red multisitio, en la que básicamente ejecuta un conjunto completo de sitios diferentes, todas las funciones anteriores se reducen un nivel y el usuario inicial que lo creó todo se conocerá como un 'Superadministrador': tienen control total sobre la red misma, todos los demás usuarios y los sitios individuales. Luego, es posible que deseen crear administradores para cada subsitio, que tienen control solo sobre sus sitios designados, aunque las capacidades para el administrador en esta situación se reducen ligeramente en comparación con la versión de un solo sitio: por ejemplo, podría ser un riesgo de seguridad para toda la red si se permitiera a los administradores del subsitio elegir e instalar sus propios complementos.

Amenazas de puerta trasera

En realidad, esto es casi la puerta de entrada... ¡Por defecto, WordPress permitirá que cualquier persona en Internet se registre como usuario! Si no tiene un enlace de 'registro' en su sitio, es posible que no lo sepa, pero las personas pueden registrarse yendo a /wp-login.php?action=register

Para deshabilitar esto, vaya a Configuración -> Configuración general -> Membresía en su panel de administración de WordPress y desmarque Cualquiera puede registrarse .

En la misma página de Configuración general, también habrá un menú desplegable Nuevo rol predeterminado de usuario . Esto se aplicará a los nuevos usuarios si decide que desea que las personas puedan registrarse como usuarios, y debe estar en el nivel más bajo de Suscriptor a menos que alguien más lo haya cambiado.

Google Apps

Si su organización usa Google Apps para administrar el correo electrónico, nuestro complemento hará que la administración de usuarios de WordPress sea mucho más fácil.

El inicio de sesión de Google Apps permite a los usuarios iniciar sesión en sitios web y blogs utilizando Google para autenticar su cuenta de forma segura, por lo que no se requiere explícitamente un nombre de usuario o contraseña.

Para los administradores de sitios corporativos ocupados y en constante cambio, la versión Premium del complemento proporciona una manera fácil de garantizar que todo su equipo tenga una cuenta de WordPress sin tener que configurar manualmente cada uno, ya que se sincronizan automáticamente desde Google Apps.

Los nuevos perfiles de usuario se completan en función de su perfil de Google y los administradores pueden especificar un rol de WordPress predeterminado para los nuevos usuarios.

La versión Premium del complemento también aumenta significativamente la seguridad al garantizar que los empleados que dejen o cambien de rol no puedan iniciar sesión en el futuro u obtener acceso no autorizado a sitios confidenciales.

Para obtener más información o para instalar el complemento, haga clic aquí.

Conclusión

¡Esperamos que este artículo le haya brindado una descripción general de los diferentes roles de usuario de WordPress y cómo puede usarlos para mantener su sitio más organizado, responsable y más fácil de administrar a largo plazo!