Un guide sur les rôles, les autorisations et la sécurité des utilisateurs de WooCommerce

Publié: 2019-09-04

Lorsque vous donnez aux gens l'accès à votre site Web, il est important de garder un contrôle total, tout en permettant à vos employés, sous-traitants et bénévoles de faire leur travail efficacement. Il y a quelques étapes importantes que vous devez suivre pour y parvenir.

Nous examinerons les différents types d'utilisateurs auxquels WordPress et WooCommerce vous donnent accès, la signification de ces autorisations et d'autres bonnes pratiques en matière de sécurité des sites Web.

Utilisateur de WordPress devant un ordinateur

Rôles et autorisations des utilisateurs

Le système de gestion des utilisateurs est basé sur deux aspects : les rôles et les capacités.

Un rôle est le titre de classification attribué à un groupe d'utilisateurs sur votre site WordPress. Chaque rôle est en corrélation avec son propre ensemble de capacités.

Une capacité est une action spécifique qu'un utilisateur est autorisé à effectuer. Par exemple, la modification d'un article est une capacité distincte, tandis que la modération des commentaires des articles de blog en est une autre.

WordPress a six rôles d'utilisateur par défaut, chacun avec son propre ensemble d'autorisations et de capacités :

  • Super administrateur : Un super administrateur a des capacités qui s'appliquent spécifiquement aux environnements multisites. Ils peuvent gérer les paramètres de tous les sites Web du réseau. Dans le cas de sites uniques, l'administrateur est le niveau d'utilisateur le plus élevé.
  • Admin : Le rôle d'utilisateur le plus puissant car il vous donne accès à tout. En tant que propriétaire du site Web, cela devrait être votre rôle
  • Éditeur : cet utilisateur est généralement responsable de la gestion du contenu. Les éditeurs peuvent ajouter, modifier, publier et supprimer tous les messages et médias, y compris ceux écrits par d'autres utilisateurs. Les éditeurs peuvent également modérer, modifier et supprimer des commentaires, et ajouter et modifier des catégories et des balises
  • Auteur : généralement responsable des tâches liées à la rédaction de contenu. Ils peuvent créer, modifier et publier leurs propres messages. Ils peuvent également supprimer leurs propres messages (même lorsqu'ils sont déjà publiés), mais ne peuvent pas modifier ou supprimer les messages écrits par un autre utilisateur
  • Contributeur : Le contributeur est une version plus basique du rôle d'auteur. Les contributeurs peuvent effectuer trois tâches sur votre site : lire tous les messages, créer et modifier leurs propres messages et supprimer leurs propres messages. Cependant, ce rôle ne leur permet pas de publier directement leurs publications sur votre site. Cela vous donne une chance d'examiner et d'avoir le contrôle final sur tout contenu qu'ils créent avant qu'il ne soit mis en ligne
  • Abonné : Attribué aux nouveaux utilisateurs si vous activez les inscriptions sur votre site. Ce rôle a le plus petit nombre d'autorisations. Les utilisateurs peuvent uniquement mettre à jour leur propre profil, lire le contenu de votre site et laisser des commentaires.

Lorsque vous installez WooCommerce, vous obtenez deux rôles d'utilisateur :

  • Client : attribué aux nouveaux clients lorsqu'ils créent un compte sur votre site Web. Ce rôle est fondamentalement équivalent à celui d'un abonné de blog normal, mais les clients peuvent modifier leurs propres informations de compte et afficher les commandes passées ou en cours.
  • Gestionnaire de boutique : cela permet à l'utilisateur d'exécuter le côté opérations de votre boutique WooCommerce sans avoir la possibilité de modifier les fonctionnalités back-end comme les fichiers et le code. Un gestionnaire a les mêmes autorisations qu'un client, et il a également la possibilité de gérer tous les paramètres de WooCommerce, de créer/modifier des produits et d'accéder à tous les rapports WooCommerce. Important : Ils ont ÉGALEMENT accès aux fonctionnalités de l'éditeur WordPress mentionnées ci-dessus.

WooCommerce offre également des fonctionnalités supplémentaires qui permettent à un administrateur de :

  • Gérer tous les paramètres WooCommerce
  • Créer et modifier des produits
  • Afficher les rapports WooCommerce

Quand utiliser le rôle de gestionnaire de magasin

Attribuez le rôle de responsable de magasin lorsque :

  • Vous souhaitez autoriser un utilisateur à gérer les commandes, émettre des remboursements et produire des rapports, sans pouvoir modifier les plugins, les thèmes ou les paramètres de votre site.
  • Vous souhaitez autoriser un utilisateur à afficher et à mettre à jour les commandes et les produits, mais pas à accéder à vos paramètres d'utilisateur (il ne pourra pas ajouter/modifier les rôles et les autorisations des utilisateurs).
code sur un ordinateur pour montrer quand vous pouvez attribuer le rôle d'administrateur

Quand utiliser le rôle d'administrateur

Il peut arriver que vous deviez attribuer à un autre utilisateur un rôle d'administrateur sur votre site.

Exemples d'utilisateurs administrateurs :

  • Développeur de site Web
  • Concepteur de site Web
  • Agence de marketing des médias sociaux
  • Agence de marketing numérique

En règle générale, les personnes occupant ces rôles ont besoin d'accéder à des fonctionnalités et des paramètres WordPress plus étendus afin de mener à bien des projets sur votre site Web.

Vous devrez être extrêmement prudent avec cela car l'administrateur est le rôle le plus puissant de votre boutique.

Meilleures pratiques pour les autorisations utilisateur

  • Ne fournissez aux utilisateurs que l'accès dont ils ont besoin. Ceci est important pour la sécurité, pour empêcher les utilisateurs d'apporter des modifications non approuvées et empêcher la suppression accidentelle de contenu.
  • Limitez le nombre d'utilisateurs ayant un rôle d'administrateur. De nombreux fournisseurs peuvent demander ce rôle, mais peu ont réellement besoin d'un niveau d'accès aussi avancé. Avant d'accéder à la demande, reconsidérez soigneusement les fonctions professionnelles qu'ils exécuteront et voyez si un niveau d'accès inférieur serait suffisant.
  • Si vous souhaitez avoir plus de contrôle sur ce à quoi votre utilisateur a accès, téléchargez le plug-in gratuit User Role Editor, qui vous permet de sélectionner les capacités individuelles que vous accordez à chaque utilisateur.

Meilleures pratiques de sécurité du site Web

L'ajout d'utilisateurs à votre site Web nécessite des mesures de sécurité supplémentaires - plus vous avez d'utilisateurs, plus vous prenez de risques.

Noms d'utilisateur et mots de passe sécurisés

Assurez-vous toujours que toute votre équipe conserve des noms d'utilisateur et des mots de passe solides.

  • Activez l'authentification à deux facteurs , si possible. Le plugin Jetpack gratuit facilite cela.
  • Pour les noms d'utilisateur, évitez les titres courants comme « Admin » ou « Administrateur ». Cela rend votre site vulnérable aux failles de sécurité. Au lieu de cela, créez un nom d'utilisateur spécifique pour chaque personne .
  • WordPress créera automatiquement un mot de passe sécurisé pour vous lorsque vous créez un nouvel utilisateur, mais vous avez la possibilité de le remplacer et de permettre à vos utilisateurs de définir leur propre mot de passe .
  • Lors de la création d'un nouveau mot de passe, assurez-vous qu'il comporte une lettre majuscule, une lettre minuscule, un chiffre, un symbole et qu'il comporte au moins 12 caractères. Cela peut sembler extrême, mais plus le mot de passe est compliqué pour chacun de vos utilisateurs, meilleure sera votre sécurité .

Revoir régulièrement les rôles

Examinez périodiquement les rôles des utilisateurs, en particulier pour les administrateurs. Vous devrez peut-être leur attribuer un nouveau rôle ou supprimer entièrement leur compte.

Par exemple, si vous arrêtez de travailler avec une agence ou un développeur, assurez-vous de supprimer son compte de votre site Web afin qu'il n'y ait plus accès. La même chose s'applique aux autres rôles d'utilisateur.

Aucun utilisateur ne devrait avoir accès à votre site à moins qu'il n'en ait actuellement besoin.

Ceci est également vrai pour vos comptes d'hébergement et de nom de domaine. Si vous avez donné à quelqu'un l'accès à vos informations de connexion et que vous ne travaillez plus avec lui, modifiez votre mot de passe. Si, à un moment donné, vous avez fourni des informations d'identification FTP à un développeur afin qu'il puisse gérer les fichiers de votre site Web, assurez-vous de mettre à jour ou de supprimer entièrement ces informations d'identification. InMotion Hosting fournit une procédure pas à pas facile à suivre pour toute personne utilisant cPanel.

N'oubliez pas : les professionnels du site Web peuvent toujours accéder à votre site Web via les informations de votre compte d'hébergement ou vos identifiants FTP.

Créez régulièrement des sauvegardes de votre site Web

La création de sauvegardes régulières de votre site Web et de votre boutique en ligne est extrêmement importante, non seulement pour la sécurité, mais aussi pour votre tranquillité d'esprit.

Si un utilisateur finit par apporter des modifications non approuvées à votre site ou si votre site est compromis, il est impératif d'en avoir une copie à portée de main afin de pouvoir le restaurer dans son état d'origine.

Les plans Jetpack payants vous permettent de restaurer rapidement une sauvegarde de site en un clic. Jetpack conserve également un journal d'audit dans votre tableau de bord WordPress, fournissant des informations détaillées sur toutes les modifications apportées à votre site. Vous pouvez voir quel utilisateur a effectué le changement, à quelle heure il a eu lieu et exactement quel était le changement.

capture d'écran d'un journal d'audit Jetpack

Il est important de ne pas compter sur les sauvegardes gratuites fournies par votre fournisseur d'hébergement. Vous devriez avoir un contrôle total sur vos fichiers et vos sauvegardes, et de nombreux hébergeurs ne conservent les sauvegardes que pendant 48 heures. Vous pouvez également conserver les sauvegardes indépendamment des comptes auxquels vous pouvez avoir un accès partagé. Une façon de le faire est d'enregistrer une copie sur un fournisseur de cloud en ligne comme Dropbox ou Google Drive, ou de conserver une copie sur un disque dur physique.

Partage des identifiants de connexion

Si vous avez besoin de partager des identifiants de connexion pour des rôles d'utilisateur ou pour vos comptes d'hébergement/de domaine, ne les envoyez pas par e-mail ou par un autre système non sécurisé.

Au lieu de cela, profitez des outils gratuits de partage de mot de passe comme LastPass.

LastPass vous permet de créer un compte, de stocker tous vos noms d'utilisateur et mots de passe en ligne dans un coffre-fort et de partager des informations d'identification via leur réseau crypté et sécurisé.

Vous pouvez également définir des autorisations utilisateur dans cet outil - par exemple, vous pouvez cocher une case si vous souhaitez que l'utilisateur puisse voir le mot de passe ou non.

Soyez en sécurité là-bas

Posséder une boutique en ligne implique de nombreuses responsabilités, en particulier lorsqu'il s'agit d'attribuer l'accès au back-end de votre site.

Heureusement, WordPress et WooCommerce facilitent l'attribution de rôles d'utilisateur spécifiques, le verrouillage des autorisations, la protection des informations des clients et de votre propriété numérique.