充分利用 WordPress 的用戶系統

已發表: 2014-01-06

在您的 WordPress 網站上建立一個全面的用戶層次結構有多重要?

本文將解釋為您的 WordPress 網站創建多個用戶的好處,以及如何理解用戶可以擁有的不同角色將為您提供允許其他人創建內容所需的控制權,而不會冒控製網站本身的風險。 本文還將教您檢查您的站點配置,以了解是否有任何後門可供不受歡迎的訪問者用來註冊、查看私人內容或對您的站點進行不受歡迎的更改。

陷入“管理模式”

WordPress 臭名昭著的一分鐘安裝過程意味著設置新網站或 Intranet 很簡單。 但是為了變得如此快速,它需要走捷徑,這通常是陷入只有一個用戶可以做所有事情的陷阱的第一步。 它默認設置了一個名為“admin”的用戶,而且通常看起來更容易堅持下去,甚至可能與他人共享其密碼,而不是退後一步並設置更好地反映您的方式的用戶和權限希望您的組織與 WordPress 進行交互。

這不僅對您和您的團隊適得其反,而且對您網站的訪問者或用戶來說也是非個人的——每篇文章都是由非個人的“管理員”用戶撰寫的:用戶名“管理員”、名字“管理員”、姓氏——名稱“管理員”…

甚至有黑客攻擊利用用戶名“admin”的擴散,暴力猜測新手 WordPress 管理員可能輸入的密碼。

假設您現在舉起手,並且知道您不僅僅是被欺騙給自己貼標籤的無聊“管理員”(即,像大多數人一樣,您實際上有一個真實姓名)。 第一步是向世界證明自己!

您實際需要做的就是將您的“暱稱”從“管理員”更改為其他名稱,然後在“公開顯示名稱”下拉列表中選擇它。 這至少會將您選擇的名稱列為所有現有博客文章的所有者。

nickname1

但是,您仍然需要在登錄時輸入“admin”作為您的用戶名,並且當您為其他員工創建更多用戶時,您將作為一個需要稍微區別對待的異常脫穎而出(其他人都會有他們的名字或者電子郵件作為他們的用戶名)。

所以,如果你想一路走下去,你也必須改變你的用戶名。 這不是您在標準 WordPress 安裝中被允許執行的操作,但是有第三方插件可以讓您執行此操作。 例如,http://wordpress.org/plugins/admin-username-changer/

有關將您自己的用戶名更改為什麼的想法,您首先需要決定為您的組織中的所有用戶命名的策略。

帶上你的副駕駛

這不需要是一個複雜的決定,但要快速考慮一下還有誰應該成為您博客上的用戶,以及應該允許他們做什麼。 您可能需要閱讀後面有關權限的部分以了解您的選項。

我們建議您為設置新用戶帳戶制定一致的政策——我們只是在談論一個非正式的決定,而不是您需要寫下規則列表或任何東西! 假設您組織中的每個人在同一個域中都有一個電子郵件地址——每個人都只是 [email protected] 或其他任何人——那麼你可以決定將地址的第一部分組成 WordPress 用戶名(即“dan” )。 或者,如果您需要一點靈活性——例如,如果您可能有需要登錄的承包商——請注意,您可以只使用完整的電子郵件地址作為用戶名。 然後對這些字段的名字和姓氏製定政策,對於“友好名稱”字段也是如此。

但不要讓他們開得太快

因此,您很高興其他團隊成員可以更輕鬆地為您的網站做出貢獻——也許您的一些讀者也可以,特別是如果您希望他們發表評論。 但是,您如何阻止他們控制您的網站,甚至將您作為用戶刪除? 如果您還不知道,您已經猜到了:您可以設置不同的“角色”來限制這些用戶的能力。

當您在管理面板中創建用戶時,您需要指定一個角色。

Add new user1

以下是單站點 WordPress 安裝的標準 WordPress 角色的簡要概述(您會知道是否有多站點網絡,稍後會列出此類安裝的差異):

行政

可以在網站上做任何事情的無所不知的用戶:創建新用戶、刪除用戶、安裝新主題和插件,以及網站的所有日常工作(如果他們不完全委託的話)。 這意味著寫帖子和頁面,批准評論等。

編輯

該用戶無法更改站點的技術結構(也就是說,他們無法安裝插件或添加/刪除其他用戶),但他們對內容方面具有完全的編輯控制權。 他們可以添加/刪除頁面和帖子,以及編輯、刪除或批准其他人的內容。

作者

作者可以創建自己的新博客文章(但不能創建頁面)並在未經授權的情況下發布它們。 但是,它們不能干擾其他用戶的內容。 他們也可以將圖像上傳到他們的帖子中,而貢獻者則不能。

貢獻者

這基本上是作者角色的不那麼值得信賴的版本,對客座博主特別有用。 您可能希望來賓博主能夠登錄以直接輸入他們的內容(至少可以節省您手動複製它的時間)。 但是您不希望他們在未經核心團隊審核和批准的情況下公開發布它。 投稿人的帖子必須首先得到管理員的批准,然後才能發布。 發布後,投稿人不得再對其進行編輯。 如果您希望團隊的其他成員能夠批准和發布帖子,您首先需要修改他們的角色。

訂戶

這些用戶通常是您的讀者——對於面向公眾的網站,他們可能需要登錄才能發表評論或接收其他功能,例如文件下載。 對於 Intranet(或僅限會員)站點,您可能要求用戶必須先註冊為訂閱者(或更高級別)才能查看任何內容。

多站點網絡

如果您有一個稱為多站點網絡的更複雜的設置,實際上您在其中運行一整套不同的站點,那麼上述所有角色都會被下推,創建它的初始用戶將被稱為“超級管理員”——他們可以完全控製網絡本身、所有其他用戶和各個站點。 然後,他們可能希望為每個子站點創建管理員,這些子站點只能控制他們指定的站點——儘管在這種情況下管理員的功能與單站點版本相比略有降低:例如,它如果允許子站點管理員選擇和安裝自己的插件,則可能對整個網絡構成安全風險。

後門威脅

實際上,這幾乎是前門……默認情況下,WordPress 將允許互聯網上的任何人註冊為用戶! 如果您的網站上沒有“註冊”鏈接,那麼您可能不知道這一點,但人們可以通過訪問 /wp-login.php?action=register 進行註冊

要禁用此功能,請在您的 WordPress 管理面板中轉到 Settings -> General Settings -> Membership 並取消選中任何人都可以註冊。

settings1

在同一個常規設置頁面上,還會有一個新用戶默認角色下拉菜單。 如果您決定確實希望人們能夠將自己註冊為用戶,這將應用於新用戶,並且它應該位於訂閱者的最低級別,除非其他人更改了它。

newdefualtuser

谷歌應用

如果您的組織使用 Google Apps 來管理電子郵件,那麼我們的插件將使 WordPress 用戶管理變得更加容易。

Google Apps Login 允許用戶使用 Google 登錄網站和博客以安全地驗證他們的帳戶,因此無需明確要求用戶名或密碼。

對於繁忙且不斷變化的公司網站的管理員,該插件的高級版提供了一種簡單的方法來確保您的所有團隊都擁有一個 WordPress 帳戶,而無需手動設置每個帳戶,因為它們會自動從 Google Apps 同步。

新用戶的個人資料是根據他們的 Google 個人資料填充的,管理員可以為新用戶指定一個默認的 WordPress 角色。

該插件的高級版還通過確保離職或更改角色的員工將來無法登錄或未經授權訪問敏感站點來顯著提高安全性。

如需更多信息或安裝插件,請單擊此處。

結論

我們希望本文為您提供了不同 WordPress 用戶角色的概述,以及如何使用它們來使您的網站更有條理、更負責,並且從長遠來看更易於管理!