Tirer le meilleur parti du système utilisateur de WordPress

Dans quelle mesure est-il important de mettre en place une hiérarchie complète des utilisateurs sur vos sites WordPress ?

Cet article expliquera les avantages de créer plusieurs utilisateurs pour votre site WordPress et comment la compréhension des différents rôles que les utilisateurs peuvent avoir vous donnera le contrôle nécessaire pour permettre aux autres de créer du contenu, sans risquer de contrôler le site lui-même. L'article vous apprendra également à vérifier la configuration de votre site pour comprendre s'il existe des portes dérobées que les visiteurs indésirables pourraient utiliser pour s'inscrire, afficher du contenu privé ou apporter des modifications indésirables à votre site.

Rester coincé dans "l'ornière administrative"

Le tristement célèbre processus d'installation d'une minute de WordPress signifie qu'il est simple de configurer un nouveau site Web ou intranet. Mais pour être aussi rapide, il faut un raccourci qui peut souvent être la première étape pour tomber dans le piège d'avoir un seul utilisateur pour tout faire. Il configure un utilisateur nommé "admin" par défaut, et il peut souvent sembler plus simple de s'y accrocher, peut-être même de partager son mot de passe avec d'autres, plutôt que de prendre du recul et de configurer des utilisateurs et des autorisations qui reflètent mieux la façon dont vous souhaitez que votre organisation interagisse avec WordPress.

Non seulement cela est contre-productif pour vous et votre équipe, mais c'est aussi impersonnel pour les visiteurs ou les utilisateurs de votre site - chaque message est écrit par l'utilisateur impersonnel "admin" : nom d'utilisateur "admin", prénom "admin", nom de famille- nom 'administrateur'…

Il existe même des attaques de piratage qui profitent de la prolifération du nom d'utilisateur "admin", en devinant par force brute le mot de passe qu'un administrateur novice de WordPress aurait pu saisir.

Disons que vous levez la main en ce moment, et sachez que vous êtes plus que l'« administrateur » ennuyeux que vous avez été amené à vous étiqueter (comme la plupart des gens, vous avez en fait un vrai nom). La première étape est de vous identifier au monde !

Tout ce que vous avez à faire est de changer votre 'Pseudo' de 'admin' à autre chose, puis de le sélectionner dans la liste déroulante 'Afficher le nom publiquement'. Cela répertoriera au moins le nom que vous avez choisi en tant que propriétaire de tous vos articles de blog existants.

Cependant, vous devrez toujours entrer « admin » comme nom d'utilisateur lorsque vous vous connecterez, et au fur et à mesure que vous créerez plus d'utilisateurs pour vos autres employés, vous vous démarquerez comme une anomalie qui doit être traitée légèrement différemment (tous les autres auront leur nom ou peut-être un e-mail comme nom d'utilisateur).

Donc, si vous voulez aller jusqu'au bout, vous devrez également changer votre nom d'utilisateur. Ce n'est pas quelque chose que vous êtes autorisé à faire dans une installation WordPress standard, mais il existe des plugins tiers qui vous permettent de le faire. Par exemple, http://wordpress.org/plugins/admin-username-changer/

Pour savoir en quoi changer votre propre nom d'utilisateur, vous devez d'abord décider d'une stratégie pour nommer tous les utilisateurs de votre organisation.

Faire venir vos copilotes

Cela n'a pas besoin d'être une décision compliquée, mais réfléchissez rapidement à qui d'autre devrait être un utilisateur de votre blog et à ce qu'ils devraient être autorisés à faire. Vous devrez peut-être lire les sections ultérieures sur les autorisations pour comprendre vos options.

Nous vous recommandons d'avoir une politique cohérente pour la configuration de nouveaux comptes d'utilisateurs - nous ne parlons que d'une décision informelle, pas que vous ayez besoin d'écrire une liste de règles ou quoi que ce soit ! Disons que tout le monde dans votre organisation a une adresse e-mail sur le même domaine - tout le monde est juste [email protected] ou autre - alors vous pourriez simplement décider de prendre la première partie de l'adresse pour former le nom d'utilisateur WordPress (c'est-à-dire « dan » ). Ou si vous avez besoin d'un peu de flexibilité - par exemple, si vous avez des sous-traitants qui doivent se connecter - sachez que vous pouvez simplement utiliser des adresses e-mail complètes comme noms d'utilisateur. Et puis ayez une politique sur le prénom et le nom de famille pour ces champs, et la même chose pour le champ "nom convivial".

Mais ne les laisse pas rouler trop vite

Vous êtes donc ravi qu'il soit plus facile pour les autres membres de l'équipe de contribuer à votre site Web - et peut-être aussi pour certains de vos lecteurs, surtout si vous souhaitez qu'ils commentent. Mais comment les empêcher de prendre le contrôle de votre site et même de vous supprimer en tant qu'utilisateur ? Vous l'avez deviné si vous ne le savez pas déjà : vous pouvez définir différents « rôles » qui restreignent les capacités de ces utilisateurs.

Lorsque vous créez un utilisateur dans votre panneau d'administration, vous spécifiez un rôle.

Voici un bref aperçu des rôles WordPress standard pour les installations WordPress sur un seul site (vous saurez si vous avez un réseau multisite, et les différences pour une telle installation sont répertoriées plus tard) :

Administrateur

L'utilisateur qui voit tout et qui peut tout faire sur le site : créer de nouveaux utilisateurs, supprimer des utilisateurs, installer de nouveaux thèmes et plugins, ainsi que tout le travail quotidien du site s'il ne le délègue pas complètement. Cela signifie écrire des articles et des pages, approuver des commentaires, etc.

Éditeur

Cet utilisateur ne peut pas modifier la structure technique du site (par là, je veux dire qu'il ne peut pas installer de plugins ou ajouter/supprimer d'autres utilisateurs), mais il a un contrôle éditorial total sur le contenu. Ils peuvent ajouter/supprimer des pages et des publications, et modifier, supprimer ou approuver le contenu d'autres personnes.

Auteur

Un auteur peut créer ses propres nouveaux articles de blog (mais pas de pages) et les publier sans autorisation. Cependant, ils ne peuvent pas interférer avec le contenu des autres utilisateurs. Ils sont également autorisés à télécharger des images sur leurs publications, ce que les contributeurs ne peuvent pas.

Donateur

Il s'agit essentiellement d'une version moins fiable du rôle d'auteur et est particulièrement utile pour les blogueurs invités. Vous voudrez peut-être qu'un blogueur invité puisse se connecter pour entrer directement son contenu (vous évite de le copier manuellement, à tout le moins). Mais vous ne voulez pas qu'ils le publient publiquement sans qu'il soit d'abord examiné et approuvé par votre équipe principale. La publication d'un contributeur doit d'abord être approuvée par un administrateur, puis publiée. Une fois publié, le contributeur ne peut plus le modifier. Si vous souhaitez que d'autres membres de l'équipe puissent approuver et publier des messages, vous devrez d'abord modifier leurs rôles.

Abonné

Ces utilisateurs sont normalement vos lecteurs - qui, pour un site Web destiné au public, peuvent avoir besoin de se connecter pour commenter ou pour recevoir des fonctionnalités supplémentaires telles que des téléchargements de fichiers. Pour un site intranet (ou réservé aux membres), vous pouvez exiger que les utilisateurs s'inscrivent en tant qu'abonnés (ou supérieur) avant d'être autorisés à afficher le moindre contenu.

Réseaux multisites

Si vous avez une configuration plus compliquée connue sous le nom de réseau multisite, où vous exécutez essentiellement tout un ensemble de sites différents, alors tous les rôles ci-dessus sont poussés vers le bas, et l'utilisateur initial qui a tout créé sera connu comme un 'Super Admin' - ils ont un contrôle total sur le réseau lui-même, tous les autres utilisateurs et les sites individuels. Ils voudront peut-être alors créer des administrateurs pour chaque sous-site, qui n'auront le contrôle que sur leur(s) site(s) désigné(s) - bien que les capacités de l'administrateur dans cette situation soient légèrement réduites par rapport à la version à site unique : par exemple, il pourrait constituer un risque pour la sécurité de l'ensemble du réseau si les administrateurs de sous-site étaient autorisés à choisir et à installer leurs propres plugins.

Menaces de porte dérobée

En fait, c'est presque la porte d'entrée… Par défaut, WordPress permettra à n'importe qui sur Internet de s'inscrire en tant qu'utilisateur ! Si vous n'avez pas de lien "s'inscrire" sur votre site, vous ne le savez peut-être pas, mais les gens peuvent s'inscrire en allant sur /wp-login.php?action=register

Pour désactiver cela, allez dans votre panneau d'administration WordPress dans Paramètres -> Paramètres généraux -> Adhésion et décochez Tout le monde peut s'inscrire .

Sur la même page Paramètres généraux, il y aura également une liste déroulante Nouveau rôle utilisateur par défaut . Cela sera appliqué aux nouveaux utilisateurs si vous décidez que vous voulez que les gens puissent s'inscrire en tant qu'utilisateurs, et cela devrait être au niveau le plus bas d'abonné à moins que quelqu'un d'autre ne l'ait changé.

Google Apps

Si votre organisation utilise Google Apps pour gérer les e-mails, notre plugin facilitera grandement la gestion des utilisateurs de WordPress.

Google Apps Login permet aux utilisateurs de se connecter à des sites Web et à des blogs à l'aide de Google pour authentifier leur compte en toute sécurité, de sorte qu'aucun nom d'utilisateur ou mot de passe n'est explicitement requis.

Pour les administrateurs de sites d'entreprise occupés et en constante évolution, la version Premium du plug-in offre un moyen simple de s'assurer que toute votre équipe dispose d'un compte WordPress sans avoir à configurer manuellement chacun d'entre eux, car ils se synchronisent automatiquement à partir de Google Apps.

Les nouveaux profils d'utilisateurs sont renseignés en fonction de leur profil Google et les administrateurs peuvent spécifier un rôle WordPress par défaut pour les nouveaux utilisateurs.

La version Premium du plug-in augmente également considérablement la sécurité en garantissant que les employés qui quittent ou changent de rôle ne peuvent pas se connecter à l'avenir ou obtenir un accès non autorisé à des sites sensibles.

Pour plus d'informations ou pour installer le plugin, cliquez ici.

Conclusion

Nous espérons que cet article vous a donné un aperçu des différents rôles d'utilisateur WordPress et comment vous pouvez les utiliser pour garder votre site plus organisé, responsable et plus facile à gérer à long terme !