Roles y permisos de usuario de WordPress: la guía esencial

Los roles y permisos de usuario de WordPress ofrecen controles de acceso y privilegios para su sitio web. Desde el superadministrador hasta el suscriptor, cada usuario de WordPress que inicia sesión en su sitio web tiene asignado un conjunto específico de permisos o capacidades.

Pero, ¿qué tan familiarizado está con los roles de usuario de WordPress, qué significa cada uno de ellos y por qué es tan importante que utilice cada uno de ellos de la manera correcta? Si aún no tiene una comprensión completa de los roles de los usuarios dentro de la plataforma de WordPress, no está solo. Muchos propietarios de sitios de WordPress no aprovechan al máximo el poder de los roles y permisos de usuario de WordPress mientras administran sus sitios.

En esta guía, cubriremos todo lo que necesita saber para comprender los roles y permisos de usuario de WordPress. Echemos un vistazo más profundo.

¿Qué son los roles de usuario de WordPress?

Una capacidad es una función específica o un conjunto de acciones que un usuario puede completar. Cada rol de usuario de WordPress está claramente definido, por lo que no hay malentendidos sobre las cosas a las que cada rol de usuario puede acceder y las tareas que puede realizar.

Dentro de WordPress, verá que hay seis roles de usuario de WordPress que puede seleccionar para cada nuevo usuario que agregue a su sitio web. El rol de usuario que elija para cada usuario individual depende del nivel de permiso y acceso que desea que tengan en su sitio.

Por ejemplo, un rol de usuario de WordPress define capacidades como:

• Quién puede administrar los comentarios
• Quién puede escribir publicaciones de blog
• Quién puede agregar páginas
• Quién puede instalar o actualizar complementos o temas
• Quién puede agregar nuevos usuarios
• Qué miembros del equipo pueden eliminar el spam

Si bien es posible que haya ignorado los roles y permisos de usuario de WordPress hasta ahora, la verdad es que comprender cada rol es esencial, sin importar si está a cargo de un sitio web corporativo, una revista de noticias o un blog personal.

Los 6 roles de usuario de WordPress

Los seis roles de usuario principales de WordPress disponibles en WordPress son:

1. Superadministrador (para redes multisitio de WordPress)
2. Administrador
3. Editor
4. Autor
5. Contribuyente
6. Abonado

Al agregar un nuevo usuario en WordPress, verá las opciones de función enumeradas en un menú desplegable.

Antes de continuar, veamos cada uno de ellos en detalle.

1. Superadministrador

Los superadministradores tienen el poder de eliminar a otros usuarios (incluso administradores), por lo que es importante asignar esta función solo a los miembros del equipo en los que realmente confía. Un superadministrador puede afectar (negativa o positivamente) muchas partes de su negocio, incluida su red y los demás usuarios que administran su sitio.

Un superadministrador de WordPress también puede crear nuevos sitios web, administrar temas y complementos en la red multisitio, agregar, administrar o eliminar contenido en cada sitio. El superadministrador controla la red con todas las configuraciones y problemas de seguridad. El primer usuario que configura la red multisitio es el superadministrador predeterminado.

Solo tenga en cuenta que las redes multisitio de WordPress son una de las formas más avanzadas de usar WordPress como sistema de gestión de contenido. Si no tiene una red de varios sitios, no necesitará utilizar la función de superadministrador para ninguno de sus usuarios.

Si administra varios sitios de WordPress, ahorre tiempo administrando usuarios y más actualizaciones de WordPress con iThemes Sync.

Consejos sobre el rol de usuario de superadministrador de WordPress

• Dentro de una red de sitios múltiples de WordPress, mantenga simple la organización de sus roles de usuario. Un único usuario con solo un par de sitios solo necesita el superadministrador predeterminado. A medida que la organización crece, cree roles de usuario significativos para los empleados.
• Hay muchas formas de configurar una red multisitio de WordPress y sus usuarios. Si es una agencia o autónomo con varios sitios, asigne a cada cliente el rol de Administrador o Editor para un sitio específico.
• Concéntrese en las comprobaciones de seguridad del usuario de WordPress desde el primer inicio de sesión. WordPress es un objetivo favorito para los piratas informáticos experimentados, y la sofisticación está creciendo en el mundo de los ataques de malware y virus. La toma de huellas dactilares del navegador también es una amenaza creciente para la privacidad.
• Controle la configuración de toda la red con precaución. Planifique con cuidado los registros de nuevos usuarios y los correos electrónicos de bienvenida.

2. Administrador

El rol de administrador del sitio casi siempre se asigna al propietario del sitio web y / o al desarrollador principal y tiene acceso a todas las funciones, configuraciones y opciones de WordPress. A todos los efectos, el Administrador es el Rey y Jefe de su sitio de WordPress. Es por eso que tener un buen manejo de las responsabilidades de ser un administrador de WordPress es una buena idea.

El rol de administrador de WordPress tiene acceso completo para agregar y editar publicaciones y páginas, cambiar o actualizar la configuración del sitio, agregar e instalar temas y complementos, y mucho más.

El rol de administrador de WordPress también puede actualizar WordPress junto con los complementos y temas instalados en el sitio. El proceso de actualización de WordPress es un área que debe abordarse con precaución; un solo error puede acabar con el sitio.

El administrador también está a cargo de asignar roles de usuario y permisos a otros usuarios. El rol de usuario Administrador puede modificar usuarios y sus permisos, que es otra función que se debe manejar con cuidado.

Explicación de las capacidades del administrador

1. Todo el sitio: actualice los archivos centrales de WordPress, administre todas las configuraciones, administre el código HTML y JavaScript para todos los usuarios
2. Complementos: instalar, editar y eliminar
3. Temas: instalar y cambiar, editar widgets y menús, acceder al personalizador
4. Usuarios: crear, editar y eliminar
5. Publicaciones y páginas: agregar nuevas, publicar, administrar taxonomías

Consejos para el usuario administrador

• Limite el número de usuarios con la función de usuario administrador. Idealmente, solo debería haber un usuario que controle la instalación de WordPress.
• Su seguridad de WordPress comienza y termina con el rol de usuario de administrador de WordPress. Dado que los administradores de WordPress tienen acceso completo a todas las cosas en el sitio, un administrador de WordPress necesita un inicio de sesión de WordPress muy seguro. Esto significa usar una contraseña segura, autenticación de dos factores o incluso una función de inicio de sesión sin contraseña proporcionada por un complemento de seguridad de WordPress como iThemes Security Pro.
• Los administradores de WordPress deben mantener los archivos centrales de WordPress actualizados y seguros. Los administradores también son responsables de mantener actualizados los complementos y temas, una parte importante del mantenimiento exitoso de WordPress.

3. Editor

Los usuarios del editor administran todas las ediciones del sitio y aprueban / programan el contenido enviado por los Colaboradores y Autores. Sin embargo, un editor no tiene acceso a cosas como complementos, widgets, configuraciones de WordPress o agregar o eliminar usuarios.

El trabajo de un editor implica una cosa importante: contenido. Y eso es todo lo que podrán acceder en el panel de WordPress. Los editores también pueden administrar categorías en el sitio junto con agregar o eliminar etiquetas personalizadas. Las taxonomías y la carga de archivos al sitio es otra responsabilidad del rol de Editor. Los editores también tienen el control total de los comentarios. Pueden moderar, aprobar o eliminar cualquier comentario.

¿Quién debería tener el rol de usuario editor?

La función del editor debe recaer en la confianza de alguien del administrador. Los roles se pueden modificar en WordPress; si es necesario, los permisos de la función de editor se pueden reducir o cambiar a medida que se gana la confianza.

• El gerente de un equipo de contenido o publicación en línea.
• Gerentes de marketing responsables del contenido
• Los propietarios de pequeñas empresas pueden usar ambos roles (rol de usuario administrador y editor)

Editor frente a autor

Los nuevos usuarios pueden ver a los editores y autores de WordPress de la misma manera. Sin embargo, existen diferencias en muchos sentidos.

• Páginas: los editores tienen acceso a todas las páginas con permiso para agregar, editar o eliminar. Los autores no tienen tal acceso
• Contenido: los editores tienen acceso a todo el contenido del sitio. En una red de varios sitios, solo los permisos otorgados al rol de Editor. Los editores pueden eliminar o editar todo el contenido. Los autores tienen acceso para editar o eliminar, solo el contenido que han producido.

4. Autor

El rol de usuario Autor normalmente se asigna a los nuevos asociados que contrata para centrarse en publicar contenido excelente. Los autores tienen un conjunto limitado de permisos dentro de una instalación de WordPress. El rol puede agregar, editar o eliminar su contenido, pero no tiene acceso a otro contenido ni a la configuración del sitio. Los roles de autor pueden ser tan extensos o limitados como lo permita el editor o el administrador. Los autores tienen permiso para subir contenido e imágenes.

El rol de Autor también tiene el poder de editar los comentarios de los lectores. Sin embargo, solo pueden editar los comentarios que quedan en sus publicaciones.

Los autores no podrán acceder a publicaciones o páginas creadas por otros usuarios. Tampoco pueden agregar complementos, crear nuevas categorías, cambiar la configuración del sitio o hacer cualquier otra cosa que afecte el rendimiento del sitio.

¿Quién debería tener el rol de usuario autor?

• Organizaciones que tienen equipos de marketing o creación de contenido dedicados, como periodistas, relaciones públicas, voceros de la empresa.
• Cualquier empresa que distribuya información, como un canal de noticias o empresas deportivas, debe otorgar a los reporteros el rol de Autor. Se pueden otorgar permisos adicionales según sea necesario

Una nota de precaución para el papel de autor

• Tenga cuidado al otorgar el rol de usuario de Autor a alguien que no esté empleado por usted o que no sea de confianza. Si han creado una gran cantidad de contenido y luego abandonan la empresa, el autor puede eliminar todo el contenido.
• Siempre es una buena práctica eliminar CUALQUIER rol de usuario de Autor que abandone el sitio y reasignar el contenido a otro Autor. Si un usuario se va con planes de regresar, cambie la contraseña inmediatamente y elimine los permisos otorgados. Reinstale el rol cuando el usuario regrese.

5. Colaborador

El rol de usuario Colaborador tiene muy pocos permisos en una instalación de WordPress. El permiso predeterminado es la capacidad de enviar contenido para revisión. Los colaboradores no pueden publicar el contenido ni cargar imágenes asociadas. Solo un editor o un administrador pueden publicar el contenido. Una vez que se publica el contenido, un colaborador ya no tiene acceso a ese contenido.

Los colaboradores envían su contenido a un administrador o editor para su revisión. Aquí hay una descripción general del proceso de envío y aprobación de publicaciones:

1. Los colaboradores escriben su contenido en el Editor de WordPress y cuando terminan, presionan el botón "Enviar para revisión".
2. Los editores o un administrador inician sesión en WordPress y localizan la publicación de aprobaciones pendientes
3. La publicación se edita para detectar errores gramaticales y las imágenes deben insertarse en esta etapa. El administrador o editor luego presiona el botón "Publicar".
4. El administrador o editor debe realizar cualquier edición o cambio futuro porque el colaborador original ya no tiene acceso a la publicación.

Un colaborador tampoco tendrá acceso a la biblioteca multimedia de WordPress. Agregar fotos, imágenes o videos a un artículo enviado por un Colaborador dependerá de un Administrador o Editor.

Los permisos asignados como Colaborador tampoco pueden eliminar, modificar o aprobar los comentarios de los usuarios.

¿Quién debería tener el rol de usuario colaborador?

¿Tiene miembros de la comunidad que contribuyen con artículos y contenido a su sitio? ¿Permiten publicaciones de invitados? Si es así, Colaborador es el rol que les asignaría.

• Escritores ajenos a la organización que pueden contribuir al blog.
• Los escritores de contenido de nivel de entrada que necesitan una gran edición deben ser colaboradores.

Colaborador frente a autor

• Publicación de contenido: los autores tienen los permisos para publicar y editar su contenido y ningún otro. Los colaboradores solo pueden enviar sus publicaciones para su revisión. Una vez que se publica el contenido de un colaborador, solo el administrador o el editor pueden editar la pieza
• Medios e imágenes: los colaboradores no tienen acceso a imágenes o medios. Los autores pueden cargar y editar sus medios

6. Suscriptor

El rol de usuario suscriptor es el rol de usuario más básico que puede asignar a alguien en su sitio de WordPress. De hecho, WordPress usa este rol como el predeterminado para todos los nuevos usuarios del sitio.

Puede pensar en el rol del suscriptor de manera similar a uno de sus seguidores en las redes sociales. Básicamente, un suscriptor sigue tu blog y quiere ser parte de él.

Capacidades del suscriptor

Hay dos permisos principales para el rol de suscriptor de WordPress. Pueden ver su perfil y ver el tablero. Los suscriptores no tienen permiso para editar contenido o cualquier configuración del sitio de WordPress.

Dependiendo de la funcionalidad general de su sitio, un suscriptor puede interactuar con otros usuarios y suscriptores, pero no tienen acceso a su panel de control de WordPress o herramientas de edición.

Los suscriptores se pueden utilizar como una herramienta de acceso de nivel de entrada o inclusivo con fines de marketing. De forma predeterminada, los suscriptores no tienen acceso a ninguna configuración o contenido del sitio, lo que hace que el rol sea inherentemente seguro.

¿Quién debería tener el rol de usuario suscriptor?

Como herramienta de marketing, la función de suscriptor es un punto de entrada perfecto a su sitio. Los suscriptores tienen el papel más restrictivo; sin embargo, le da a la persona un perfil, que es todo lo que una persona necesita para sentirse incluida.

¿Cómo agrego un nuevo usuario en WordPress?

Agregar un nuevo usuario en WordPress requiere que sea un usuario administrador. A partir de ahí, agregar un nuevo usuario en WordPress es un proceso bastante sencillo. Aquí es donde inicialmente le asignará al usuario un rol y permisos.

Por supuesto, como administrador, siempre puede cambiar el rol del usuario más adelante si se adapta mejor a sus necesidades. Más de eso en un minuto.

Los pasos para agregar un nuevo usuario a su sitio de WordPress son los siguientes:

1. Inicie sesión en el panel de administración de WordPress (https://examplesite.com/wp-admin).

2. En el menú del panel de administración de WordPress, haga clic en el elemento del menú Usuarios y, a continuación, haga clic en Agregar nuevo.

3. Ingrese el nombre del nuevo usuario, la dirección de correo electrónico, el nombre y apellido y el sitio web.

4. Seleccione el rol de usuario definido anteriormente.

5. Haga clic en la casilla de verificación delante de "enviar al nuevo usuario un correo electrónico sobre su cuenta".

6. Haga clic en el botón Agregar nuevo usuario y se agregará el nuevo usuario.

Repita estos pasos para cada nuevo usuario, prestando mucha atención a los roles y permisos de usuario que asigna a cada uno.

Consejos para agregar nuevos usuarios de WordPress

Los roles de autor, colaborador y suscriptor son sencillos en su creación y permisos. Los puestos de superadministrador, administrador y editor pueden ser un área importante de fortaleza para la organización si se consideran y trazan cuidadosamente.

• Las instalaciones de varios sitios deben tener un superadministrador, independientemente del número de sitios adicionales. Si hay algún problema de seguridad, usuario o archivo central, los superadministradores son responsables. La seguridad debe estar en la mente de todas las personas involucradas en un sitio web. WordPress es excepcional en la forma en que actualiza los archivos principales y la seguridad; sin embargo, tener varios superadministradores puede causar estragos.
• Designe un solo administrador o editor para cada sitio adicional en una red de varios sitios. Si hay cientos de sitios virtuales, dé a los administradores o editores más de un sitio para administrar.
• Los desarrolladores web independientes que venden sitios o agencias deben otorgar deberes de administrador a cada propietario del sitio, pero prohibir estrictamente el acceso a cualquier configuración de red.

¿Cómo encuentro roles de usuario en WordPress?

Para los usuarios existentes, es posible que desee examinar los roles de usuario que están asignados actualmente. Después de todo, es posible que algunos de estos roles hayan sido asignados antes de tener un conocimiento profundo de los roles y permisos de usuario de WordPress.

Ahora es el momento de verificar sus roles de usuario asignados actualmente.

Para hacer esto, simplemente siga estos pasos:

1. Inicie sesión en el panel de administración de WordPress.

2. En su panel de administración de WordPress, haga clic en la sección Usuarios, luego haga clic en Todos los usuarios.

4. Vea la lista de todos sus usuarios actuales.

5. Junto a la columna Correo electrónico, verá Rol. Este es el rol de usuario asignado a cada usuario del sitio.

Ahora que conoce el rol asignado a cada usuario, tal vez desee realizar algunos ajustes de asignación.

¿Cómo cambio los roles de usuario en WordPress?

Un cambio de rol de usuario de WordPress es inmediato y el usuario será notificado por correo electrónico de su nuevo rol en su sitio.

Para cambiar la función de un usuario de WordPress, siga los pasos 1-4 anteriores. Una vez que esté viendo la lista de todos los usuarios de su sitio, querrá:

1. Desplácese sobre el nombre del usuario que desea actualizar. Al pasar el cursor sobre el usuario seleccionado, se le presentarán las opciones de edición.

2. Después de hacer clic para editar, podrá cambiar campos como nombre, correo electrónico y sitio web. Sin embargo, no puede cambiar un nombre de usuario aquí.

3. En la parte inferior del perfil de usuario, verá un menú desplegable que le permite cambiar / seleccionar el rol del usuario.

4. Elija el nuevo rol de usuario.

5. Guarde el perfil de usuario.

WordPress implementa los cambios de roles y permisos en el instante en que los guarda.

¿Cómo elimino un usuario existente?

Probablemente habrá ocasiones en las que un usuario deba ser eliminado por completo de su sitio.

Quizás contrató a un editor independiente temporal para brindar servicios de edición para su sitio en el transcurso de dos meses. Cuando expira el período de dos meses y finaliza el contrato, ya no desea que el profesional independiente tenga acceso a su sitio.

Para eliminar este usuario y eliminar todos sus permisos en su sitio web, siga los pasos 1 a 4 enumerados anteriormente para encontrar un usuario.

Después de localizar al usuario que se eliminará, coloque el cursor sobre su nombre y haga clic en la opción de eliminar.

Después de confirmar la eliminación, se notificará al usuario por correo electrónico que se ha eliminado de su sitio. Ya no tendrán credenciales para iniciar sesión.

Es importante tener en cuenta que no puede eliminarse a sí mismo ni a otros administradores (a menos que sea un superadministrador en una cuenta de varios sitios).

¿Cómo administro los roles de usuario en WordPress?

La forma en que elige administrar los roles y permisos de los usuarios en su sitio de WordPress depende completamente de usted. Después de todo, ¿quién conoce las habilidades y limitaciones de los miembros de su equipo tan bien como usted?

Antes de elegir los roles que son apropiados para cada usuario en su sitio, dé un paso atrás y hágase una serie de preguntas sobre ellos.

• ¿Se puede confiar en el usuario para administrar completamente su panel de WordPress?
• ¿Tiene confianza en el usuario para organizar adecuadamente el contenido de su sitio?
• ¿Necesita revisar las publicaciones del usuario antes de que se publiquen? ¿O confías en su juicio?
• ¿Debería el usuario tener la capacidad de editar y publicar publicaciones de otros usuarios?

Antes de asignar un nuevo usuario a la función de administrador, es importante que tenga un conocimiento profundo de la plataforma de WordPress.

Seguridad del usuario de WordPress

La seguridad de los usuarios de su sitio web es importante. Mucho! ¿Por qué? Un solo usuario administrador con una contraseña débil podría socavar todas las demás medidas de seguridad del sitio web que ha implementado. Por eso es tan importante que audite la fuerza de seguridad utilizada por los usuarios Administrador y Editor en su sitio web.

La verificación de seguridad del usuario del complemento iThemes Security Pro le permite auditar y modificar rápidamente 5 elementos críticos de la seguridad del usuario:

1. Estado de autenticación de dos factores
2. Antigüedad y fuerza de la contraseña
3. Última vez activo
4. Sesiones activas de WordPress
5. Rol del usuario

Además, el complemento iThemes Security Pro tiene un montón de herramientas que puede utilizar para aumentar la seguridad del usuario de WordPress en su sitio web. Las funciones de autenticación de dos factores y requisitos de contraseña por sí solas protegen a sus usuarios de WordPress del 100% de los ataques de bots automatizados.

Sin embargo, estas dos herramientas de seguridad del usuario solo son efectivas si los usuarios de su sitio web las están utilizando.

7 consejos para proteger a sus usuarios de WordPress

Echemos un vistazo a las cosas que puede hacer para proteger a sus usuarios de WordPress. La verdad es que estos métodos de seguridad ayudarán a proteger a todo tipo de usuario de WordPress. Pero, a medida que revisemos cada uno de los métodos, le haremos saber qué usuarios necesita para usar el método.

1. Solo brinde a las personas las capacidades que necesitan

La forma más fácil de proteger su sitio web es dándoles a sus usuarios las capacidades que necesitan y nada más. Si lo único que alguien va a hacer en su sitio web es crear y editar sus propias publicaciones de blog, no necesita la capacidad de editar las publicaciones de otras personas.

2. Limite los intentos de inicio de sesión

Los ataques de fuerza bruta se refieren a un método de prueba y error que se utiliza para descubrir combinaciones de nombre de usuario y contraseña para piratear un sitio web. De forma predeterminada, no hay nada integrado en WordPress para limitar la cantidad de intentos fallidos de inicio de sesión que alguien puede realizar.

Sin un límite en el número de intentos fallidos de inicio de sesión que un atacante puede realizar, puede seguir probando un sinfín de nombres de usuario y contraseñas hasta que tengan éxito.

La función iThemes Security Pro Local Brute Force Protection realiza un seguimiento de los intentos de inicio de sesión no válidos realizados por direcciones IP y nombres de usuario. Una vez que una IP o un nombre de usuario ha realizado demasiados intentos consecutivos de inicio de sesión no válidos, se bloqueará y no podrá realizar más intentos de inicio de sesión.

3. Proteja a los usuarios de WordPress con contraseñas seguras

Cuanto más fuerte sea la contraseña de su cuenta de usuario de WordPress, más difícil será adivinarla. Se necesitan 0,29 milisegundos para descifrar una contraseña de siete caracteres. ¡Pero un hacker necesita dos siglos para descifrar una contraseña de doce caracteres!

Idealmente, una contraseña segura es una cadena alfanumérica de doce caracteres. La contraseña debe contener letras mayúsculas y minúsculas, así como otros caracteres ASCII.

Si bien todos pueden beneficiarse del uso de una contraseña segura, es posible que solo desee obligar a las personas con capacidades de autor y superiores a tener contraseñas seguras.

La función Requisito de contraseñas de iThemes Security Pro le permite obligar a usuarios específicos a utilizar una contraseña segura.

4. Rechace las contraseñas comprometidas

Los piratas informáticos a menudo usan una forma de ataque de fuerza bruta llamada ataque de diccionario. Un ataque de diccionario es un método para irrumpir en un sitio web de WordPress con contraseñas de uso común que han aparecido en volcados de bases de datos. La “Colección # 1? La filtración de datos alojada en MEGA incluyó 1,160,253,228 combinaciones únicas de direcciones de correo electrónico y contraseñas. Eso es mil millones con una b. Ese tipo de puntuación realmente ayudará a un ataque de diccionario a reducir las contraseñas de WordPress más utilizadas.

Es imprescindible evitar que los usuarios con capacidades de autor y superiores utilicen contraseñas comprometidas. También puede pensar en no permitir que sus usuarios de nivel inferior utilicen contraseñas comprometidas.

Es completamente comprensible y se recomienda hacer que la creación de una nueva cuenta de cliente sea lo más fácil posible. Sin embargo, es posible que su cliente no sepa que la contraseña que está utilizando se ha encontrado en un volcado de datos. Le estaría haciendo un gran servicio a su cliente al alertarlo del hecho de que la contraseña que está usando se ha visto comprometida. Si usan esa contraseña en todas partes, podría salvarlos de algunos dolores de cabeza importantes en el futuro.

La función de rechazo de contraseñas comprometidas de iThemes Security Pro obliga a los usuarios a utilizar contraseñas que no han aparecido en ninguna infracción de contraseña rastreada por Have I Been Pwned.

5. Proteja a los usuarios de WordPress con autenticación de dos factores

La autenticación de dos factores es un proceso de verificación de la identidad de una persona que requiere dos métodos de verificación separados antes de que pueda iniciar sesión. Google compartió en su blog que el uso de la autenticación de dos factores puede detener el 100% de los ataques de bots automatizados. Realmente me gustan esas probabilidades.

Como mínimo, debe solicitar a sus administradores y editores que utilicen la autenticación de dos factores.

La función de autenticación de dos factores de iThemes Security Pro proporciona una gran flexibilidad al implementar 2fa en su sitio web. Puede habilitar dos factores para todos o algunos de sus usuarios, y puede obligar a sus usuarios de alto nivel a usar 2fa en cada inicio de sesión.

6. Limite el acceso del dispositivo al panel de WP

Limitar el acceso al panel de WordPress a un conjunto de dispositivos puede agregar una fuerte capa de seguridad a su sitio web. Si un pirata informático no está en el dispositivo correcto para un usuario, no podrá utilizar al usuario comprometido para infligir daños en su sitio web.

Solo debe limitar el acceso al dispositivo a sus administradores y editores.

La función de dispositivos de confianza de iThemes Security Pro identifica los dispositivos que usted y otros usuarios utilizan para iniciar sesión en su sitio de WordPress. Cuando un usuario ha iniciado sesión en un dispositivo no reconocido, Trusted Devices puede restringir sus capacidades de nivel de administrador. Esto significa que si un atacante pudiera ingresar al backend de su sitio de WordPress, no tendría la capacidad de realizar cambios maliciosos en su sitio web.

7. Proteger a los usuarios de WordPress del secuestro de sesiones

WordPress genera una cookie de sesión cada vez que inicia sesión en su sitio web. Y digamos que tiene una extensión de navegador que el desarrollador ha abandonado y ya no publica actualizaciones de seguridad. Desafortunadamente para ti, la extensión del navegador desatendida tiene una vulnerabilidad. La vulnerabilidad permite a los delincuentes secuestrar las cookies de su navegador, incluida la cookie de sesión de WordPress mencionada anteriormente. Este tipo de pirateo se conoce como secuestro de sesión . Por lo tanto, un atacante puede aprovechar la vulnerabilidad de la extensión para aprovechar su inicio de sesión y comenzar a realizar cambios maliciosos con su usuario de WordPress.

Debe tener una protección contra el secuestro de sesiones para sus administradores y editores.

La función de dispositivos de confianza de iThemes Security Pro hace que el secuestro de sesiones sea cosa del pasado. Si el dispositivo de un usuario cambia durante una sesión, iThemes Security cerrará automáticamente la sesión del usuario para evitar cualquier actividad no autorizada en la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos.

Complementos de roles de usuario de WordPress

Cuando se sumerja en los complementos de roles de usuario de WordPress, encontrará que muchos de los complementos más populares utilizan y administran roles y permisos de usuario fuera de los seis roles principales que hemos discutido.

Hay complementos que le permiten crear y asignar roles y grupos de usuarios personalizados. Los complementos que cubriremos aquí son:

• bbPress
• BuddyPress
• WooCommerce
• Seguridad de iThemes

Cada uno de ellos trabaja con roles de usuario personalizables de diferentes formas.

bbPress

El complemento bbPress es un foro de discusión de WordPress que requiere roles de usuario únicos fuera de los seis principales que se ofrecen en WordPress.

El primer rol de usuario integrado en el complemento bbPress, Keymaster, se encuentra en la cima de la montaña. Los Keymasters son similares al rol de administrador en WordPress. Tienen acceso a todas las herramientas y configuraciones, y pueden editar, crear o eliminar los foros, temas, comentarios y respuestas de otros usuarios. El Keymaster también es un moderador del foro y administra todas las etiquetas.

bbPress luego ofrece el rol de moderador. Este rol es responsable de crear, editar, eliminar y moderar foros. También tienen control total sobre los temas y las respuestas de los usuarios. Sin embargo, un moderador no tiene acceso a la configuración del sitio.

Un participante es un miembro de la comunidad. Pueden crear y editar sus temas y respuestas, pero nada más.

Los espectadores solo pueden leer temas y respuestas. No pueden responder o involucrarse de otras formas.

Los usuarios bloqueados son aquellos que simplemente ya no quieres en la comunidad.

El complemento bbPress también le permite crear sus propios roles de usuario personalizados (alumno y tutor, por ejemplo) agregando código en el códice. Podrá asignar sus propios permisos personalizados a cada función que cree. También puede cambiar los nombres de los roles de usuario de bbPress existentes.

BuddyPress

BuddyPress es un complemento de la comunidad de WordPress que le permite crear una red social dentro de su propio sitio web.

Con el complemento BuddyPress, podrá crear sus propios grupos privados, públicos y ocultos. Luego puede asignar roles de usuario para administrar sus grupos.

El rol de usuario miembro es el rol predeterminado dentro de BuddyPress. Esto se aplica a cualquier usuario que se registre y se una a un grupo. Un usuario con una función de miembro puede enviar y publicar contenido en los foros del grupo. En algunos casos, pueden ver a otros miembros del grupo y enviarles invitaciones o mensajes directos.

Un moderador de BuddyPress es un rol de usuario actualizado con permisos adicionales que incluyen cerrar, editar o eliminar temas en el foro. Pero tenga cuidado, porque también podrán hacer lo mismo con el contenido producido por otros complementos que esté ejecutando en su sitio de WordPress.

Al igual que con la plataforma WordPress y otros complementos, el rol de administrador en BuddyPress tiene control total sobre los grupos y configuraciones. Un administrador puede cambiar la configuración de un grupo, el avatar del grupo y administrar los miembros del grupo. También puede eliminar grupos enteros.

WooCommerce

WooCommerce es un complemento de WordPress muy popular que ayudará a convertir su sitio de WordPress en un sitio de comercio electrónico sólido.

Cuando instale WooCommerce en su sitio, instantáneamente tendrá el poder de comenzar a enumerar productos, publicar imágenes de productos, escribir descripciones de productos y tomar pedidos en línea.

Como tal, WooCommerce ofrece dos roles de usuario que están fuera de los seis estándar en WordPress. Estos roles son:

• Cliente: cualquier usuario que se registre en su sitio WooCommerce o se registre con usted al finalizar la compra. Los clientes son muy similares en permisos a los suscriptores.
• Administrador de la tienda: es la persona que administra la tienda de WooCommerce pero no tiene permisos de administrador. Tendrán automáticamente permisos de Cliente, pero también pueden administrar los productos que se enumeran en la tienda, así como ver informes de ventas.

Cosas bastante sencillas.

Seguridad de iThemes

iThemes Security es un excelente complemento de seguridad de WordPress con más de 50 formas de proteger su sitio web de WordPress, incluidas formas de funciones específicas para los roles de usuario de WordPress.

Por ejemplo, si está buscando un complemento que pueda proporcionar capacidades de actualización y degradación de roles de usuario rápidas y fáciles con escalada temporal de privilegios, definitivamente vale la pena echarle un vistazo al complemento de seguridad de iThemes.

También puede utilizar el complemento para ahorrar mucho tiempo que dedica a proteger su sitio web con grupos de usuarios. Para facilitar la administración de la seguridad de los usuarios en su sitio, iThemes Security Pro clasifica a todos sus usuarios en diferentes grupos. De forma predeterminada, sus usuarios se agruparán según sus funciones y capacidades de usuario de WordPress. La clasificación por rol de usuario de WordPress permite combinar fácilmente WordPress y roles de usuario personalizados en el mismo grupo.

Por ejemplo, si está ejecutando un sitio de WooCommerce, los administradores de su sitio y los gerentes de tienda estarán en el grupo de usuarios administradores, y sus suscriptores y clientes estarán en el grupo de usuarios de suscriptores.

En la configuración de Grupos de usuarios, verá todos sus grupos de usuarios y todas las configuraciones de seguridad que están habilitadas para cada grupo, y rápidamente alternará la configuración entre encendido y apagado. User Group le da la confianza de que está aplicando el nivel correcto de seguridad a los roles de usuario correctos de WordPress.

Cómo personalizar las funciones y los permisos de los usuarios de WordPress

Más allá de los roles de usuario que ya hemos discutido, puede agregar más roles utilizando complementos diseñados para permitirle crear roles de usuario personalizados para WordPress. Aquí hay algunos complementos y herramientas para revisar.

Panel de control del cliente iThemes Sync

iThemes Sync es una herramienta que le ayuda a administrar varios sitios de WordPress. Con Sync, tiene un panel para realizar tareas de administración de WordPress para todos sus sitios web de WordPress. Sync es especialmente útil si crea o mantiene sitios web para clientes como agencia de diseño web, agencia de marketing o autónomo.

La función iThemes Sync Client Dashboard se creó para personalizar la forma en que un usuario ve el panel de administración de WordPress, que es una forma de personalizar los roles y permisos de los usuarios de WordPress.

Por ejemplo, si tiene un cliente que desea convertir en administrador, pero no desea ver ciertas áreas del sitio, como temas o complementos, puede realizar esta tarea con el Panel de control del cliente.

El panel del cliente se puede activar por usuario y luego puede seleccionar los elementos del menú del panel de WordPress para permitir que ese usuario vea. Bastante bien, ¿verdad?

Editor de roles de usuario

Si desea personalizar sus roles de usuario estándar en WordPress, el Editor de roles de usuario es un buen complemento para examinar. El Editor de roles de usuario le permitirá crear sus propios roles, permisos y capacidades de usuario.

También puede usarlo para cambiar o renombrar roles, o eliminarlos por completo. El complemento tiene una versión gratuita y otra de pago.

Administrador de acceso avanzado

Ya sea que esté ejecutando una gran tienda WooCommerce en su sitio o con un blog estándar de WordPress, es posible que esté buscando un control adicional sobre la administración del acceso a su contenido.

User Access Manager podría ser el complemento para ayudarte. Advanced Access Manager se puede utilizar para configurar un área restringida para miembros de su sitio, utilizando roles y permisos de usuario. También lo ayuda a administrar usuarios en las secciones privadas de su sitio.

SEO de Yoast

Si su equipo está enfocado en mejorar el SEO (optimización de motores de búsqueda) de su contenido, el complemento Yoast SEO es un excelente lugar para comenzar.

Este complemento le permite crear dos roles de usuario no estándar:

• Editor SEO
• Gerente de SEO

¿Por qué estos dos nuevos roles de usuario son beneficiosos para usted como propietario de un sitio de WordPress?

Al asignar roles dentro de Yoast SEO, empoderará a su equipo para realizar trabajos relacionados con el SEO sin necesidad de realizar un seguimiento manual de los resultados o pedirle que realice cambios en el sitio cuando sea necesario.

Como dice el blog de Yoast:

“Dos nuevos roles, el editor de SEO y el administrador de SEO, hacen que la solución sea mucho más flexible cuando se trabaja con varias personas en su sitio. El administrador puede determinar quién puede ver y hacer qué, mientras que los usuarios obtienen las herramientas que necesitan para hacer su trabajo ".

El complemento Yoast SEO es otra herramienta que coloca los roles y permisos de usuario de WordPress a la vanguardia de la eficiencia administrativa.

Conclusión: comprensión de los roles y permisos de los usuarios en WordPress

En resumen: los tres roles de usuario de administración principales en una instalación de WordPress tienen áreas del sitio diseñadas específicamente para ese puesto. Los superadministradores y administradores controlan el panel y los archivos principales, y el sitio en sí. Mientras que los editores controlan el administrador de contenido y otros contenidos. Los Autores y Colaboradores controlan solo su contenido y ningún otro. Los suscriptores pueden acceder solo al contenido y los permisos otorgados al rol por los puestos gerenciales.

Después de estudiar la información de este artículo, ahora tiene una comprensión mucho más profunda de los roles y permisos de los usuarios en la plataforma de WordPress. Como puede ver, los roles que asigna a cada uno de sus usuarios juegan un papel importante en la eficiencia con la que ejecuta su sitio web.

Pero no importa cuán cuidadoso sea para asegurarse de que todos los roles de usuario se asignen a las mejores personas, a veces se producirán errores. Por ejemplo, cuando el nuevo empleado que acaba de asignar como administrador hace que su sitio se bloquee al activar un complemento nuevo y no probado, un complemento de respaldo de WordPress como BackupBuddy será un salvavidas absoluto. Asegúrese de tener su complemento de respaldo instalado y activado antes de que ocurra un desastre como este.

Al igual que con otras áreas de WordPress, la asignación adecuada de roles y permisos de usuario requerirá un poco de prueba y error. Pero con la información que acaba de aprender, tomará decisiones más informadas.

Kristen Wright

Kristen ha estado escribiendo tutoriales para ayudar a los usuarios de WordPress desde 2011. Por lo general, puede encontrarla trabajando en nuevos artículos para el blog iThemes o desarrollando recursos para #WPprosper. Fuera del trabajo, a Kristen le gusta llevar un diario (¡ha escrito dos libros!), Hacer caminatas y acampar, cocinar y las aventuras diarias con su familia, con la esperanza de vivir una vida más presente.