ใช้ประโยชน์สูงสุดจากระบบผู้ใช้ของ WordPress

การตั้งค่าลำดับชั้นผู้ใช้ที่ครอบคลุมบนไซต์ WordPress ของคุณมีความสำคัญเพียงใด?

บทความนี้จะอธิบายประโยชน์ของการสร้างผู้ใช้หลายรายสำหรับไซต์ WordPress ของคุณ และการทำความเข้าใจบทบาทต่างๆ ที่ผู้ใช้สามารถมีได้จะทำให้คุณมีการควบคุมที่จำเป็นในการอนุญาตให้ผู้อื่นสร้างเนื้อหาโดยไม่ต้องเสี่ยงต่อการควบคุมไซต์เอง บทความนี้จะสอนให้คุณตรวจสอบการกำหนดค่าไซต์ของคุณเพื่อทำความเข้าใจว่ามีแบ็คดอร์ใดบ้างที่ผู้เยี่ยมชมที่ไม่ต้องการสามารถใช้เพื่อลงทะเบียน ดูเนื้อหาส่วนตัว หรือทำการเปลี่ยนแปลงที่ไม่ต้องการในไซต์ของคุณ

ติดอยู่ใน 'admin rut'

ขั้นตอนการติดตั้งหนึ่งนาทีที่น่าอับอายของ WordPress หมายความว่าการตั้งค่าเว็บไซต์หรืออินทราเน็ตใหม่ทำได้ง่าย แต่เพื่อให้รวดเร็วมาก ต้องใช้ทางลัดที่มักจะเป็นขั้นตอนแรกของการตกหลุมพรางของการมีผู้ใช้เพียงคนเดียวที่ทำทุกอย่าง มันตั้งค่าผู้ใช้ที่ชื่อ 'admin' โดยค่าเริ่มต้น และมักจะดูเหมือนง่ายกว่าที่จะวางมันไว้ บางทีอาจถึงกับแชร์รหัสผ่านกับผู้อื่น แทนที่จะถอยกลับและตั้งค่าผู้ใช้และการอนุญาตที่สะท้อนวิธีของคุณได้ดียิ่งขึ้น ต้องการให้องค์กรของคุณโต้ตอบกับ WordPress

ไม่เพียงแต่จะต่อต้านคุณและทีมของคุณเท่านั้น แต่ยังไม่เป็นส่วนตัวสำหรับผู้เยี่ยมชมหรือผู้ใช้ไซต์ของคุณ – ทุกโพสต์เขียนโดยผู้ใช้ 'ผู้ดูแลระบบ' ที่ไม่มีตัวตน: ชื่อผู้ใช้ 'ผู้ดูแลระบบ' ชื่อ 'ผู้ดูแลระบบ' นามสกุล- ชื่อ 'แอดมิน'…

มีแม้กระทั่งการโจมตีแบบแฮ็คที่ใช้ประโยชน์จากการเพิ่มจำนวนชื่อผู้ใช้ 'admin' เดารหัสผ่านที่ผู้ดูแลระบบ WordPress มือใหม่อาจป้อน

สมมติว่าคุณกำลังยกมือขึ้นในขณะนี้ และรู้ว่าคุณเป็นมากกว่า 'ผู้ดูแลระบบ' ที่น่าเบื่อที่คุณถูกหลอกให้ติดป้ายชื่อตัวเอง (เช่น คนส่วนใหญ่ คุณมีชื่อจริง) ขั้นตอนแรกคือการระบุตัวเองให้โลกรู้!

สิ่งที่คุณต้องทำจริงๆ คือเปลี่ยน "ชื่อเล่น" จาก "ผู้ดูแลระบบ" เป็นอย่างอื่น จากนั้นเลือกในรายการดรอปดาวน์ "แสดงชื่อต่อสาธารณะ" อย่างน้อยก็จะแสดงชื่อที่คุณเลือกเป็นเจ้าของบล็อกโพสต์ที่มีอยู่ทั้งหมดของคุณ

อย่างไรก็ตาม คุณจะต้องป้อน 'admin' เป็นชื่อผู้ใช้ของคุณเมื่อคุณเข้าสู่ระบบ และเมื่อคุณสร้างผู้ใช้เพิ่มเติมสำหรับพนักงานคนอื่น ๆ ของคุณ คุณจะโดดเด่นเป็นความผิดปกติที่ต้องได้รับการปฏิบัติที่แตกต่างกันเล็กน้อย (คนอื่น ๆ จะมีชื่อของพวกเขา หรืออาจอีเมลเป็นชื่อผู้ใช้)

ดังนั้น ถ้าคุณต้องการไปตลอดทาง คุณจะต้องเปลี่ยนชื่อผู้ใช้ของคุณด้วย นั่นไม่ใช่สิ่งที่คุณได้รับอนุญาตให้ทำในการติดตั้ง WordPress มาตรฐาน แต่มีปลั๊กอินของบุคคลที่สามที่ให้คุณทำสิ่งนี้ได้ ตัวอย่างเช่น http://wordpress.org/plugins/admin-username-changer/

สำหรับแนวคิดในการเปลี่ยนชื่อผู้ใช้ของคุณไปเป็นอะไร ก่อนอื่นคุณต้องตัดสินใจเกี่ยวกับกลยุทธ์ในการตั้งชื่อผู้ใช้ทั้งหมดในองค์กรของคุณ

นำนักบินร่วมของคุณ

ไม่จำเป็นต้องเป็นการตัดสินใจที่ซับซ้อน แต่ให้คิดคร่าวๆ ว่ามีใครอีกบ้างที่ควรจะเป็นผู้ใช้ในบล็อกของคุณและสิ่งที่พวกเขาควรได้รับอนุญาตให้ทำ คุณอาจต้องอ่านส่วนภายหลังเกี่ยวกับการอนุญาตเพื่อทำความเข้าใจตัวเลือกของคุณ

เราขอแนะนำให้คุณมีนโยบายที่สอดคล้องกันสำหรับการตั้งค่าบัญชีผู้ใช้ใหม่ เรากำลังพูดถึงการตัดสินใจที่ไม่เป็นทางการเท่านั้น ไม่จำเป็นว่าคุณต้องจดรายการกฎเกณฑ์หรืออะไรก็ตาม สมมติว่า ทุกคนในองค์กรของคุณมีที่อยู่อีเมลในโดเมนเดียวกัน – ทุกคนเป็นเพียง [email protected] หรืออะไรก็ตาม – จากนั้นคุณสามารถตัดสินใจใช้ส่วนแรกของที่อยู่เพื่อสร้างชื่อผู้ใช้ WordPress (เช่น “dan” ). หรือหากคุณต้องการความยืดหยุ่นเล็กน้อย เช่น หากคุณอาจมีผู้รับเหมาที่ต้องเข้าสู่ระบบ โปรดทราบว่าคุณสามารถใช้ที่อยู่อีเมลแบบเต็มเป็นชื่อผู้ใช้ได้ แล้วมีนโยบายเกี่ยวกับชื่อและนามสกุลสำหรับฟิลด์เหล่านั้น และเหมือนกันสำหรับฟิลด์ 'ชื่อที่เป็นมิตร'

แต่อย่าปล่อยให้ขับเร็วเกินไป

ดังนั้น คุณจึงยินดีที่สมาชิกในทีมคนอื่นๆ จะมีส่วนร่วมในเว็บไซต์ของคุณได้ง่ายขึ้น และบางทีผู้อ่านของคุณก็อาจจะเช่นกัน โดยเฉพาะอย่างยิ่งหากคุณต้องการให้พวกเขาแสดงความคิดเห็น แต่คุณจะหยุดพวกเขาไม่ให้เข้าควบคุมไซต์ของคุณ หรือแม้แต่ลบคุณออกจากการเป็นผู้ใช้ได้อย่างไร คุณคงเดาได้แล้วว่าถ้าคุณยังไม่รู้: คุณสามารถกำหนด 'บทบาท' ต่างๆ ที่จำกัดความสามารถของผู้ใช้เหล่านั้นได้

เมื่อคุณสร้างผู้ใช้ในแผงการดูแลระบบ คุณจะต้องระบุบทบาท

นี่คือภาพรวมโดยย่อของบทบาท WordPress มาตรฐานสำหรับการติดตั้ง WordPress ไซต์เดียว (คุณจะรู้ว่าคุณมีเครือข่ายหลายไซต์หรือไม่ และความแตกต่างสำหรับการติดตั้งดังกล่าวจะแสดงในภายหลัง):

แอดมิน

ผู้ใช้ที่มองเห็นได้ทั้งหมดซึ่งสามารถทำอะไรก็ได้บนไซต์: สร้างผู้ใช้ใหม่ ลบผู้ใช้ ติดตั้งธีมและปลั๊กอินใหม่ บวกกับงานประจำวันทั้งหมดของไซต์หากพวกเขาไม่ได้มอบสิทธิ์ให้อย่างสมบูรณ์ นั่นหมายถึงการเขียนโพสต์และเพจ การอนุมัติความคิดเห็น ฯลฯ

บรรณาธิการ

ผู้ใช้รายนี้ไม่สามารถเปลี่ยนโครงสร้างทางเทคนิคของไซต์ได้ (เพราะฉะนั้น ฉันหมายความว่าพวกเขาไม่สามารถติดตั้งปลั๊กอินหรือเพิ่ม/ลบผู้ใช้รายอื่น) แต่พวกเขามีการควบคุมด้านบรรณาธิการเต็มรูปแบบในด้านเนื้อหาของสิ่งต่างๆ พวกเขาสามารถเพิ่ม/ลบทั้งหน้าและโพสต์ และแก้ไข ลบ หรืออนุมัติเนื้อหาของผู้อื่น

ผู้เขียน

ผู้เขียนสามารถสร้างโพสต์บล็อกใหม่ของตนเองได้ (แต่ไม่ใช่หน้า) และเผยแพร่โดยไม่ได้รับอนุญาต อย่างไรก็ตาม พวกเขาไม่สามารถแทรกแซงเนื้อหาของผู้ใช้รายอื่นได้ พวกเขาได้รับอนุญาตให้อัปโหลดภาพไปยังโพสต์ของพวกเขาด้วย ซึ่งผู้ร่วมให้ข้อมูลไม่สามารถทำได้

ผู้ร่วมให้ข้อมูล

โดยพื้นฐานแล้วนี่เป็นบทบาทผู้เขียนเวอร์ชันที่ไม่น่าไว้วางใจ และมีประโยชน์อย่างยิ่งสำหรับบล็อกเกอร์ผู้เยี่ยมชม คุณอาจต้องการให้บล็อกเกอร์ของแขกสามารถเข้าสู่ระบบเพื่อป้อนเนื้อหาของพวกเขาได้โดยตรง (ช่วยให้คุณไม่ต้องคัดลอกด้วยตนเอง อย่างน้อยที่สุด) แต่คุณไม่ต้องการให้เผยแพร่ต่อสาธารณะโดยไม่ได้รับการตรวจสอบและอนุมัติจากทีมงานหลักของคุณก่อน โพสต์ของผู้ร่วมให้ข้อมูลต้องได้รับการอนุมัติจากผู้ดูแลระบบก่อนแล้วจึงเผยแพร่ เมื่อเผยแพร่แล้ว ผู้ร่วมให้ข้อมูลจะไม่สามารถแก้ไขได้อีกต่อไป หากคุณต้องการให้สมาชิกคนอื่นๆ ในทีมสามารถอนุมัติและเผยแพร่โพสต์ได้ คุณจะต้องแก้ไขบทบาทของพวกเขาก่อน

สมาชิก

ผู้ใช้เหล่านี้โดยปกติคือผู้อ่านของคุณ ซึ่งสำหรับเว็บไซต์ที่เปิดเผยต่อสาธารณะ อาจจำเป็นต้องเข้าสู่ระบบเพื่อแสดงความคิดเห็นหรือเพื่อรับฟังก์ชันเพิ่มเติม เช่น การดาวน์โหลดไฟล์ สำหรับไซต์อินทราเน็ต (หรือสำหรับสมาชิกเท่านั้น) คุณอาจกำหนดให้ผู้ใช้ต้องลงทะเบียนเป็นผู้สมัครสมาชิก (หรือสูงกว่า) ก่อนจึงจะได้รับอนุญาตให้ดูเนื้อหาใดๆ ได้เลย

เครือข่ายหลายไซต์

หากคุณมีการตั้งค่าที่ซับซ้อนมากขึ้นซึ่งเรียกว่าเครือข่ายหลายไซต์ โดยพื้นฐานแล้วคุณกำลังเรียกใช้ไซต์ต่างๆ ทั้งชุด บทบาทข้างต้นทั้งหมดจะถูกลดระดับลง และผู้ใช้คนแรกที่สร้างมันขึ้นมาทั้งหมดจะเรียกว่า 'Super Admin' – พวกเขามีสิทธิ์ควบคุมเครือข่ายเอง ผู้ใช้รายอื่นทั้งหมด และเว็บไซต์แต่ละแห่งได้อย่างเต็มที่ จากนั้นพวกเขาอาจต้องการสร้างผู้ดูแลระบบสำหรับไซต์ย่อยแต่ละไซต์ที่ควบคุมเฉพาะไซต์ที่กำหนด - แม้ว่าความสามารถของผู้ดูแลระบบในสถานการณ์นี้จะลดลงเล็กน้อยเมื่อเทียบกับเวอร์ชันไซต์เดียว: ตัวอย่างเช่น อาจเป็นความเสี่ยงด้านความปลอดภัยต่อทั้งเครือข่ายหากผู้ดูแลระบบไซต์ย่อยสามารถเลือกและติดตั้งปลั๊กอินของตนเองได้

ภัยคุกคามประตูหลัง

อันที่จริง นี่เกือบจะเป็นประตูหน้าแล้ว… ตามค่าเริ่มต้น WordPress จะอนุญาตให้ทุกคนบนอินเทอร์เน็ตลงทะเบียนเป็นผู้ใช้! หากคุณไม่มีลิงก์ "ลงทะเบียน" บนไซต์ของคุณ คุณอาจไม่ทราบเรื่องนี้ แต่บุคคลอื่นสามารถลงทะเบียนได้โดยไปที่ /wp-login.php?action=register

หากต้องการปิดใช้งาน ให้ไปที่แผงการดูแลระบบ WordPress ของคุณไปที่ การตั้งค่า -> การตั้งค่าทั่วไป -> การเป็นสมาชิก และยกเลิกการเลือก ทุกคนสามารถลงทะเบียน

ในหน้าการตั้งค่าทั่วไปเดียวกัน จะมีดรอปดาวน์ บทบาทเริ่มต้นของผู้ใช้ใหม่ ด้วย สิ่งนี้จะนำไปใช้กับผู้ใช้ใหม่ หากคุณตัดสินใจว่าคุณต้องการให้ผู้อื่นสามารถลงทะเบียนตนเองเป็นผู้ใช้ได้ และควรอยู่ที่ระดับต่ำสุดของสมาชิก เว้นแต่จะมีคนอื่นทำการเปลี่ยนแปลง

Google Apps

ถ้าองค์กรของคุณใช้ Google Apps เพื่อจัดการอีเมล ปลั๊กอินของเราจะทำให้การจัดการผู้ใช้ WordPress ง่ายขึ้นมาก

การเข้าสู่ระบบ Google Apps ช่วยให้ผู้ใช้สามารถลงชื่อเข้าใช้เว็บไซต์และบล็อกโดยใช้ Google เพื่อตรวจสอบสิทธิ์บัญชีของตนได้อย่างปลอดภัย ดังนั้นจึงไม่จำเป็นต้องระบุชื่อผู้ใช้หรือรหัสผ่านอย่างชัดเจน

สำหรับผู้ดูแลระบบของไซต์องค์กรที่มีงานยุ่งและเปลี่ยนแปลงตลอดเวลา ปลั๊กอินเวอร์ชันพรีเมียมช่วยให้มั่นใจได้ว่าทีมทั้งหมดของคุณมีบัญชี WordPress โดยไม่ต้องตั้งค่าด้วยตนเอง เนื่องจากจะซิงค์จาก Google Apps โดยอัตโนมัติ

โปรไฟล์ผู้ใช้ใหม่จะถูกเติมตามโปรไฟล์ Google และผู้ดูแลระบบสามารถระบุบทบาทเริ่มต้นของ WordPress สำหรับผู้ใช้ใหม่

ปลั๊กอินรุ่นพรีเมียมยังเพิ่มความปลอดภัยอย่างมากด้วยการทำให้มั่นใจว่าพนักงานที่ออกหรือเปลี่ยนบทบาทไม่สามารถเข้าสู่ระบบได้ในอนาคต หรือเข้าถึงไซต์ที่มีความละเอียดอ่อนโดยไม่ได้รับอนุญาต

สำหรับข้อมูลเพิ่มเติมหรือติดตั้งปลั๊กอิน คลิกที่นี่

บทสรุป

เราหวังว่าบทความนี้จะให้ภาพรวมเกี่ยวกับบทบาทของผู้ใช้ WordPress แบบต่างๆ และวิธีที่คุณสามารถใช้บทบาทเหล่านี้ในการจัดระเบียบไซต์ รับผิดชอบ และจัดการได้ง่ายขึ้นในระยะยาว