Optymalne wykorzystanie systemu użytkownika WordPress

Jak ważne jest skonfigurowanie kompleksowej hierarchii użytkowników w witrynach WordPress?

W tym artykule wyjaśnimy korzyści płynące z tworzenia wielu użytkowników dla Twojej witryny WordPress oraz w jaki sposób zrozumienie różnych ról, jakie mogą pełnić użytkownicy, zapewni Ci kontrolę niezbędną do umożliwienia innym tworzenia treści, bez ryzyka kontroli nad samą witryną. Artykuł nauczy Cię również, jak sprawdzić konfigurację witryny, aby zrozumieć, czy istnieją jakieś backdoory, których niechciani użytkownicy mogą użyć do rejestracji, przeglądania prywatnych treści lub wprowadzania niepożądanych zmian w witrynie.

Utknięcie w „trybie administracyjnej”

Niesławny jednominutowy proces instalacji WordPressa oznacza, że ​​utworzenie nowej strony internetowej lub intranetu jest proste. Ale żeby być tak superszybkim, potrzebny jest skrót, który często może być pierwszym krokiem do wpadnięcia w pułapkę posiadania tylko jednego użytkownika, który robi wszystko. Domyślnie konfiguruje użytkownika o nazwie „admin” i często może wydawać się łatwiej po prostu się tego trzymać, być może nawet udostępniając innym swoje hasło, zamiast cofać się o krok i konfigurować użytkowników i uprawnienia, które lepiej odzwierciedlają sposób, w jaki Ty chcesz, aby Twoja organizacja współpracowała z WordPress.

Nie tylko przynosi to efekt przeciwny do zamierzonego dla Ciebie i Twojego zespołu, ale jest również bezosobowe dla odwiedzających Twoją witrynę lub użytkowników – każdy post jest pisany przez bezosobowego użytkownika „admin”: nazwa użytkownika „admin”, imię „admin”, ostatnie- nazwa „administrator”…

Istnieją nawet ataki hakerskie, które wykorzystują rozprzestrzenianie się nazwy użytkownika „admin”, odgadując hasło, które mógł wprowadzić początkujący administrator WordPressa.

Załóżmy, że w tej chwili podnosisz rękę i wiesz, że jesteś kimś więcej niż tylko nudnym „administratorem”, do którego etykietowania siebie zostałeś oszukany (tj. jak większość ludzi, faktycznie masz prawdziwe imię). Pierwszym krokiem jest utożsamienie się ze światem!

Wszystko, co musisz zrobić, to zmienić „Pseudonim” z „admin” na inny, a następnie wybrać go z listy rozwijanej „Wyświetlaj nazwę publicznie”. Spowoduje to przynajmniej wymienienie wybranej nazwy jako właściciela wszystkich istniejących postów na blogu.

Jednak nadal będziesz musiał wpisać „admin” jako swoją nazwę użytkownika podczas logowania, a gdy będziesz tworzyć więcej użytkowników dla swojego innego personelu, będziesz wyróżniał się jako anomalia, która musi być traktowana nieco inaczej (wszyscy inni będą mieli swoje imię i nazwisko lub może e-mail jako nazwa użytkownika).

Tak więc, jeśli chcesz przejść do końca, musisz również zmienić swoją nazwę użytkownika. To nie jest coś, co możesz zrobić w ramach standardowej instalacji WordPressa, ale istnieją wtyczki innych firm, które pozwalają to zrobić. Na przykład http://wordpress.org/plugins/admin-username-change/

Aby dowiedzieć się, na co zmienić własną nazwę użytkownika, musisz najpierw ustalić strategię nazywania wszystkich użytkowników w organizacji.

Zabierz swoich drugich pilotów

Nie musi to być skomplikowana decyzja, ale szybko zastanów się, kto jeszcze powinien być użytkownikiem Twojego bloga i co powinien robić. Być może będziesz musiał przeczytać dalsze sekcje dotyczące uprawnień, aby zrozumieć swoje opcje.

Zalecamy, abyś miał spójną politykę zakładania nowych kont użytkowników – mówimy tylko o nieformalnej decyzji, a nie o tym, że musisz spisywać listę reguł lub cokolwiek! Załóżmy, że każdy w Twojej organizacji ma adres e-mail w tej samej domenie – każdy to po prostu [email protected] lub cokolwiek – wtedy możesz po prostu zdecydować się na utworzenie nazwy użytkownika WordPress z pierwszej części adresu (tj. „dan” ). Lub jeśli potrzebujesz trochę elastyczności – na przykład jeśli masz kontrahentów, którzy muszą się zalogować – pamiętaj, że możesz użyć pełnych adresów e-mail jako nazw użytkowników. A potem ustaw zasady dotyczące imienia i nazwiska dla tych pól i takie same dla pola „przyjazna nazwa”.

Ale nie pozwól im jechać zbyt szybko

Cieszymy się więc, że inni członkowie zespołu będą mogli wnieść wkład do Twojej witryny, a być może również niektórzy z Twoich czytelników, zwłaszcza jeśli chcesz, aby komentowali. Ale jak powstrzymać ich od przejęcia kontroli nad Twoją witryną, a nawet usunięcia Cię jako użytkownika? Zgadłeś, jeśli jeszcze nie wiesz: możesz ustawić różne „role”, które ograniczają możliwości tych użytkowników.

Kiedy tworzysz użytkownika w swoim panelu administracyjnym, określasz rolę.

Oto krótki przegląd standardowych ról WordPress dla instalacji WordPress z jedną lokalizacją (będziesz wiedział, czy masz sieć wielostanowiskową, a różnice dla takiej instalacji są wymienione później):

Admin

Wszechwidzący użytkownik, który może zrobić wszystko w witrynie: tworzyć nowych użytkowników, usuwać użytkowników, instalować nowe motywy i wtyczki oraz całą codzienną pracę witryny, jeśli nie przekażą jej całkowicie. Oznacza to pisanie postów i stron, zatwierdzanie komentarzy itp.

Redaktor

Ten użytkownik nie może zmieniać struktury technicznej witryny (przez to rozumiem, że nie może instalować wtyczek ani dodawać/usuwać innych użytkowników), ale ma pełną kontrolę redakcyjną po stronie treści. Mogą dodawać/usuwać zarówno strony, jak i posty oraz edytować, usuwać lub zatwierdzać treści innych osób.

Autor

Autor może tworzyć własne nowe posty na blogu (ale nie strony) i publikować je bez zezwolenia. Nie mogą jednak ingerować w treści innych użytkowników. Mogą również przesyłać obrazy do swoich postów, czego Współtwórcy nie mogą.

Współpracownik

Jest to zasadniczo mniej godna zaufania wersja roli autora i jest szczególnie przydatna dla blogerów gościnnych. Możesz chcieć, aby gość bloger mógł się zalogować, aby bezpośrednio wprowadzać swoje treści (co najmniej pozwala na ręczne kopiowanie). Ale nie chcesz, aby opublikowali go publicznie bez uprzedniego sprawdzenia i zatwierdzenia przez twój główny zespół. Post współtwórcy musi najpierw zostać zatwierdzony przez administratora, a następnie opublikowany. Po opublikowaniu współtwórca nie może już go edytować. Jeśli chcesz, aby inni członkowie zespołu mogli zatwierdzać i publikować posty, musisz najpierw zmodyfikować ich role.

Abonent

Tymi użytkownikami są zwykle Twoi czytelnicy – ​​którzy w przypadku witryny dostępnej publicznie mogą potrzebować się zalogować, aby komentować lub otrzymywać dodatkowe funkcje, takie jak pobieranie plików. W przypadku witryny intranetowej (lub tylko dla członków) może być wymagane, aby użytkownicy musieli zarejestrować się jako subskrybenci (lub wyższy), zanim będą mogli w ogóle wyświetlać zawartość.

Sieci wielostanowiskowe

Jeśli masz bardziej skomplikowaną konfigurację, znaną jako sieć wielostanowiskowa, w której zasadniczo obsługujesz cały zestaw różnych witryn, wszystkie powyższe role są spychane na niższy poziom, a pierwszy użytkownik, który ją utworzył, będzie znany jako „Super Admin” – mają pełną kontrolę nad samą siecią, wszystkimi innymi użytkownikami oraz poszczególnymi witrynami. Następnie mogą chcieć utworzyć administratorów dla każdej podwitryny, którzy mają kontrolę tylko nad wyznaczoną witryną (witrynami) – chociaż możliwości administratora w tej sytuacji są nieco ograniczone w porównaniu z wersją z jedną witryną: na przykład mogłoby stanowić zagrożenie bezpieczeństwa dla całej sieci, gdyby administratorzy podstron mogli wybierać i instalować własne wtyczki.

Zagrożenia backdoorem

Właściwie to prawie frontowe drzwi… Domyślnie WordPress pozwoli każdemu w Internecie zarejestrować się jako użytkownik! Jeśli nie masz linku „zarejestruj” w swojej witrynie, możesz nie być tego świadomy, ale ludzie mogą się zarejestrować, przechodząc do /wp-login.php?action=register

Aby to wyłączyć, przejdź w panelu administracyjnym WordPress do Ustawienia -> Ustawienia ogólne -> Członkostwo i odznacz Każdy może się zarejestrować .

Na tej samej stronie Ustawienia ogólne pojawi się również menu rozwijane Nowa domyślna rola użytkownika . Zostanie to zastosowane do nowych użytkowników, jeśli zdecydujesz, że chcesz, aby ludzie mogli rejestrować się jako użytkownicy, i powinno to być na najniższym poziomie subskrybenta, chyba że zmienił go ktoś inny.

aplikacje Google

Jeśli Twoja organizacja korzysta z Google Apps do zarządzania pocztą e-mail, nasza wtyczka znacznie ułatwi zarządzanie użytkownikami WordPress.

Logowanie do Aplikacji Google umożliwia użytkownikom logowanie się do witryn i blogów przy użyciu Google w celu bezpiecznego uwierzytelnienia konta, dzięki czemu nie jest wymagana nazwa użytkownika ani hasło.

Dla administratorów ruchliwych, stale zmieniających się witryn firmowych wersja Premium wtyczki zapewnia łatwy sposób na zapewnienie, że cały Twój zespół ma konto WordPress bez konieczności ręcznego konfigurowania każdego z nich, ponieważ są one automatycznie synchronizowane z Google Apps.

Nowe profile użytkowników są wypełniane na podstawie ich profilu Google, a administratorzy mogą określić domyślną rolę WordPress dla nowych użytkowników.

Wersja Premium wtyczki znacznie zwiększa również bezpieczeństwo, zapewniając, że pracownicy, którzy odchodzą lub zmieniają role, nie będą mogli się w przyszłości zalogować lub uzyskać nieautoryzowany dostęp do wrażliwych witryn.

Aby uzyskać więcej informacji lub zainstalować wtyczkę, kliknij tutaj.

Wniosek

Mamy nadzieję, że ten artykuł dał Ci przegląd różnych ról użytkowników WordPressa i tego, jak możesz ich używać, aby Twoja witryna była bardziej zorganizowana, odpowiedzialna i łatwiejsza w zarządzaniu na dłuższą metę!