WooCommerceのユーザーロール、権限、およびセキュリティのガイド

公開: 2019-09-04

人々にあなたのウェブサイトへのアクセスを許可するとき、あなたの従業員、請負業者、そしてボランティアが彼らの仕事を効果的に行うことを可能にしながら、完全なコントロールを維持することが重要です。 これを達成するために実行する必要のある重要な手順がいくつかあります。

WordPressとWooCommerceがアクセスできるさまざまなユーザータイプ、それらのアクセス許可の意味、およびWebサイトのセキュリティに関するその他のベストプラクティスについて説明します。

コンピューターの前でWordPressユーザー

ユーザーの役割と権限

ユーザー管理システムは、役割と機能の2つの側面に基づいています。

ロールは、WordPressサイトのユーザーのグループに割り当てられた分類タイトルです。 各役割は、独自の機能セットと相互に関連しています。

機能は、ユーザーが実行できる特定のアクションです。 たとえば、投稿の編集は1つの明確な機能ですが、ブログ投稿のコメントのモデレートは別の機能です。

WordPressには6つのデフォルトのユーザーロールがあり、それぞれに独自の権限と機能のセットがあります。

  • スーパー管理者:スーパー管理者には、特にマルチサイト環境に適用される機能があります。 ネットワーク上のすべてのWebサイトの設定を管理できます。 単一サイトの場合、管理者が最高レベルのユーザーです。
  • 管理者:すべてにアクセスできるため、最も強力なユーザーロール。 ウェブサイトの所有者として、これはあなたの役割でなければなりません
  • 編集者:このユーザーは通常、コンテンツの管理を担当します。 編集者は、他のユーザーが書いたものを含め、投稿やメディアを追加、編集、公開、削除できます。 編集者は、コメントのモデレート、編集、削除、カテゴリとタグの追加と編集もできます
  • 作成者:通常、コンテンツの作成に関連するタスクを担当します。 自分の投稿を作成、編集、公開できます。 また、自分の投稿を削除することもできますが(既に公開されている場合でも)、他のユーザーが書いた投稿を編集または削除することはできません。
  • 寄稿者:寄稿者は、作成者の役割のより基本的なバージョンです。 コントリビューターは、サイトで3つのタスクを実行できます。すべての投稿を読む、自分の投稿を作成および編集する、自分の投稿を削除する。 ただし、この役割は、サイトに投稿を直接公開することを許可するまでには至りません。 これにより、コンテンツが公開される前に、作成したコンテンツを確認して最終的に管理する機会が得られます。
  • サブスクライバー:サイトで登録を有効にすると、新しいユーザーに割り当てられます。 この役割には、権限の数が最も少なくなっています。 ユーザーは、自分のプロファイルを更新し、サイトのコンテンツを読み、コメントを残すことしかできません。

WooCommerceをインストールすると、次の2つのユーザーロールを取得できます。

  • 顧客:新しい顧客がWebサイトでアカウントを作成するときに割り当てられます。 この役割は基本的に通常のブログ購読者の役割と同等ですが、顧客は自分のアカウント情報を編集して過去または現在の注文を表示できます。
  • ショップマネージャー:これにより、ユーザーはファイルやコードなどのバックエンド機能を編集することなく、WooCommerceストアの運用面を実行できます。 マネージャーには顧客と同じ権限があり、さらにWooCommerce内のすべての設定を管理したり、製品を作成/編集したり、すべてのWooCommerceレポートにアクセスしたりすることもできます。 重要:彼らはまた、上記のWordPressエディター機能にアクセスできます。

WooCommerceは、管理者が次のことを行えるようにする追加機能も提供します。

  • すべてのWooCommerce設定を管理する
  • 製品の作成と編集
  • WooCommerceレポートを見る

ショップマネージャーの役​​割を使用する場合

次の場合にショップマネージャーの役​​割を割り当てます。

  • サイトのプラグイン、テーマ、または設定を編集することなく、ユーザーが注文を管理し、払い戻しを発行し、レポートを作成できるようにする必要があります。
  • ユーザーが注文と製品を表示および更新できるようにしたいが、ユーザー設定にはアクセスできないようにしたい(ユーザーはユーザーの役割と権限を追加/編集できません)。
管理者の役割をいつ割り当てることができるかを示すためのコンピューター上のコード

管理者ロールを使用する場合

サイトで別のユーザーに管理者の役割を与える必要がある場合があります。

管理者ユーザーの例:

  • ウェブサイト開発者
  • ウェブサイトデザイナー
  • ソーシャルメディアマーケティングエージェンシー
  • デジタルマーケティングエージェンシー

通常、これらの役割の人々は、Webサイトでプロジェクトを実行するために、より広範なWordPressの機能と設定にアクセスする必要があります。

管理者はストアで最も強力な役割であるため、これには細心の注意を払う必要があります。

ユーザー権限のベストプラクティス

  • ユーザーに必要なアクセスのみを提供します。 これはセキュリティにとって重要であり、ユーザーが未承認の変更を加えたり、コンテンツが誤って削除されたりするのを防ぎます。
  • 管理者の役割を持つユーザーの数を制限します。 多くのベンダーがこの役割を要求する可能性がありますが、実際にそのような高度なレベルのアクセスを必要とするベンダーはほとんどありません。 リクエストを許可する前に、実行する職務を慎重に再検討し、より低いレベルのアクセスで十分かどうかを確認してください。
  • ユーザーがアクセスできるものをより正確に制御したい場合は、無料のUser Role Editorプラグインをダウンロードしてください。このプラグインを使用すると、各ユーザーに付与する個々の機能を選択できます。

Webサイトのセキュリティのベストプラクティス

Webサイトにユーザーを追加するには、追加のセキュリティ対策が必要です。ユーザーが多いほど、リスクが高くなります。

安全なユーザー名とパスワード

チーム全体が強力なユーザー名とパスワードを維持していることを常に確認してください。

  • 可能であれば、 2要素認証を有効にします。 無料のJetpackプラグインにより、これが簡単になります。
  • ユーザー名については、「Admin」や「Administrator」などの一般的なタイトルは避けてください。 これにより、サイトはセキュリティ違反に対して脆弱になります。 代わりに、各人に特定のユーザー名を作成します
  • WordPressは、新しいユーザーを作成するときに自動的に安全なパスワードを作成しますが、これを上書きして、ユーザーが独自のパスワードを設定できるようにすることができます
  • 新しいパスワードを作成するときは、大文字、小文字、数字、記号が含まれ、長さが12文字以上であることを確認してください。 これは極端に聞こえるかもしれませんが、各ユーザーのパスワードが複雑になるほど、セキュリティは向上します

定期的に役割を確認する

特に管理者の場合は、ユーザーの役割を定期的に確認してください。 新しい役割を割り当てるか、アカウントを完全に削除する必要がある場合があります。

たとえば、代理店やデベロッパーとの連携をやめた場合は、ウェブサイトからアカウントを削除して、アクセスできないようにしてください。 同じことが他のユーザーロールにも当てはまります。

現在必要でない限り、ユーザーはサイトにアクセスできません。

これは、ホスティングアカウントとドメイン名アカウントにも当てはまります。 誰かにあなたのログイン情報へのアクセスを許可し、あなたがその人と一緒に仕事をしなくなった場合は、パスワードを変更してください。 いずれかの時点で、開発者がWebサイトファイルを管理できるようにFTPクレデンシャルを提供した場合は、それらのクレデンシャルを完全に更新または削除してください。 InMotion Hostingは、cPanelを使用しているすべての人にわかりやすいウォークスルーを提供します。

注意:ウェブサイトの専門家は、ホスティングアカウント情報またはFTPクレデンシャルを介してウェブサイトにアクセスできます。

あなたのウェブサイトのバックアップを定期的に作成する

ウェブサイトやオンラインストアの定期的なバックアップを作成することは、セキュリティだけでなく安心のためにも非常に重要です。

ユーザーがサイトに未承認の変更を加えた場合、またはサイトが危険にさらされた場合は、元の状態に復元できるように、コピーを手元に用意しておくことが不可欠です。

有料のJetpackプランでは、ボタンをクリックするだけでサイトのバックアップをすばやく復元できます。 Jetpackはまた、WordPressダッシュボードに監査ログを保持し、サイトに加えられたすべての変更に関する詳細情報を提供します。 どのユーザーが変更を行ったか、何時に変更が行われたか、正確に何が変更されたかを確認できます。

Jetpack監査ログのスクリーンショット

ホスティングプロバイダーに含まれている無料のバックアップに依存しないことが重要です。 ファイルとバックアップを完全に制御する必要があり、多くのホストはバックアップを48時間しか保持しません。 また、共有アクセス権を持つ可能性のあるアカウントからバックアップを独立させたい場合もあります。 これを行う1つの方法は、DropboxやGoogleドライブなどのオンラインクラウドプロバイダーにコピーを保存するか、物理ハードドライブにコピーを保持することです。

ログイン資格情報の共有

ユーザーロールまたはホスティング/ドメインアカウントのログイン資格情報を共有する必要がある場合は、電子メールまたは別の安全でないシステムを介してそれらを送信しないでください。

代わりに、LastPassのような無料のパスワード共有ツールを利用してください。

LastPassを使用すると、アカウントを作成し、すべてのオンラインユーザー名とパスワードをボールトに保存し、暗号化された安全なネットワークを介して資格情報を共有できます。

このツールでユーザー権限を設定することもできます。たとえば、ユーザーがパスワードを表示できるようにするかどうかをチェックすることができます。

安全を確保してください

オンラインストアを所有することには、特にサイトのバックエンドへのアクセスを割り当てる場合に、多くの責任が伴います。

ありがたいことに、WordPressとWooCommerceを使用すると、特定のユーザーロールの割り当て、権限のロックダウン、顧客の情報とデジタルプロパティの安全性を簡単に維持できます。