Rôles et autorisations des utilisateurs WordPress : le guide essentiel

Publié: 2020-11-05

Les rôles et autorisations d'utilisateur WordPress offrent des contrôles d'accès et des privilèges pour votre site Web. Du super administrateur à l'abonné, chaque utilisateur WordPress qui se connecte à votre site Web dispose d'un ensemble spécifique d'autorisations ou de capacités attribuées.

Mais dans quelle mesure êtes-vous familier avec les rôles d'utilisateur WordPress, ce que chacun d'eux signifie et pourquoi il est si important que vous utilisiez chacun d'eux de la bonne manière ? Si vous ne maîtrisez pas encore parfaitement les rôles des utilisateurs au sein de la plate-forme WordPress, vous n'êtes pas seul. De nombreux propriétaires de sites WordPress ne tirent pas pleinement parti de la puissance des rôles et des autorisations des utilisateurs WordPress lors de la gestion de leurs sites.

Dans ce guide, nous couvrirons tout ce que vous devez savoir pour comprendre les rôles et les autorisations des utilisateurs WordPress. Regardons de plus près.

Dans ce guide

    Que sont les rôles d'utilisateur WordPress ?

    Les rôles d'utilisateur WordPress définissent le niveau d'accès et les capacités qu'un utilisateur peut utiliser pour se connecter, afficher, modifier ou gérer un site WordPress.

    Une capacité est une fonction spécifique ou un ensemble d'actions qu'un utilisateur est autorisé à effectuer. Chaque rôle d'utilisateur WordPress est clairement défini, il n'y a donc aucun malentendu sur les choses auxquelles chaque rôle d'utilisateur peut accéder et les tâches qu'il peut effectuer.

    Dans WordPress, vous verrez qu'il existe six rôles d'utilisateur WordPress parmi lesquels vous pouvez sélectionner pour chaque nouvel utilisateur que vous ajoutez à votre site Web. Le rôle d'utilisateur que vous choisissez pour chaque utilisateur individuel dépend du niveau d'autorisation et d'accès que vous souhaitez lui accorder sur votre site.

    Rôles d'utilisateurs WordPress

    Par exemple, un rôle d'utilisateur WordPress définit des capacités telles que :

    • Qui peut gérer les commentaires
    • Qui peut écrire des articles de blog
    • Qui peut ajouter des pages
    • Qui peut installer ou mettre à jour des plugins ou des thèmes
    • Qui est autorisé à ajouter de nouveaux utilisateurs
    • Quels membres de l'équipe peuvent supprimer le spam

    Bien que vous ayez peut-être ignoré les rôles et les autorisations des utilisateurs de WordPress jusqu'à présent, la vérité est que comprendre chaque rôle est essentiel, que vous soyez en charge d'un site Web d'entreprise, d'un magazine d'actualités ou d'un blog personnel.

    Les 6 rôles d'utilisateur WordPress

    Les six principaux rôles d'utilisateur WordPress disponibles dans WordPress sont :

    1. Super administrateur (pour les réseaux multisites WordPress)
    2. Administrateur
    3. Éditeur
    4. Auteur
    5. Donateur
    6. Abonné

    Lors de l'ajout d'un nouvel utilisateur dans WordPress, vous verrez les options de rôle répertoriées dans un menu déroulant.

    rôle d'utilisateur wordpress

    Avant d'aller plus loin, examinons chacun d'eux en détail.

    1. Super administrateur

    Ce rôle de super administrateur dans WordPress est réservé aux réseaux multisites WordPress. Les personnes affectées au rôle de super administrateur ont l'entière responsabilité de tous les sites du réseau et peuvent gérer toutes les fonctionnalités du site au sein de chaque site.

    Les super-administrateurs ont le pouvoir de supprimer d'autres utilisateurs (même les administrateurs), il est donc important de n'attribuer ce rôle qu'aux membres de l'équipe en qui vous avez vraiment confiance. Un super administrateur peut avoir un impact (négatif ou positif) sur de nombreuses parties de votre entreprise, y compris votre réseau et les autres utilisateurs qui gèrent votre site.

    Un super administrateur WordPress peut également créer de nouveaux sites Web, gérer des thèmes et des plugins sur le réseau multisite, ajouter, gérer ou supprimer du contenu sur chaque site. Le super administrateur contrôle le réseau avec tous les paramètres et problèmes de sécurité. Le premier utilisateur qui configure le réseau multisite est le super administrateur par défaut.

    Notez simplement que les réseaux multisites WordPress sont l'un des moyens les plus avancés d'utiliser WordPress comme système de gestion de contenu. Si vous n'avez pas de réseau multi-sites, vous n'aurez pas besoin d'utiliser le rôle de super administrateur pour aucun de vos utilisateurs.

    Si vous gérez plusieurs sites WordPress, gagnez du temps en gérant davantage les utilisateurs et les mises à jour WordPress avec iThemes Sync.

    Conseils sur le rôle de l'utilisateur super administrateur WordPress

    • Au sein d'un réseau multisite WordPress, gardez l'organisation de vos rôles d'utilisateurs simple. Un seul utilisateur avec seulement quelques sites n'a besoin que du super administrateur par défaut. Au fur et à mesure que l'organisation se développe, créez des rôles d'utilisateur significatifs pour les employés.
    • Il existe de nombreuses façons de configurer un réseau multisite WordPress et ses utilisateurs. Si vous êtes une agence ou un indépendant avec plusieurs sites, attribuez à chaque client le rôle d'administrateur ou d'éditeur pour un site spécifique.
    • Concentrez-vous sur les contrôles de sécurité des utilisateurs WordPress dès la première connexion. WordPress est une cible de prédilection pour les pirates informatiques expérimentés, et la sophistication augmente dans le monde des attaques de logiciels malveillants et de virus. Les empreintes digitales du navigateur constituent également une menace croissante pour la vie privée.
    • Contrôlez les paramètres à l'échelle du réseau avec prudence. Planifiez les inscriptions des nouveaux utilisateurs et les e-mails de bienvenue avec soin.

    2. Administrateur

    Dans une seule installation WordPress, le rôle d'utilisateur Administrateur a un accès complet à toutes les fonctionnalités du site. Pour la plupart des propriétaires de sites, le rôle d'administrateur WordPress est le rôle d'utilisateur le plus important dans WordPress.

    Le rôle d'administrateur du site est presque toujours attribué au propriétaire du site Web et/ou au développeur principal et a accès à toutes les fonctionnalités, paramètres et options de WordPress. À toutes fins utiles, l'administrateur est le roi et le chef de votre site WordPress. C'est pourquoi avoir une bonne maîtrise des responsabilités d'un administrateur WordPress est une bonne idée.

    Le rôle d'administrateur WordPress a un accès complet pour ajouter et modifier des publications et des pages, modifier ou mettre à jour les paramètres du site, ajouter et installer des thèmes et des plugins, et bien plus encore.

    Le rôle d'administrateur WordPress peut également mettre à jour WordPress ainsi que tous les plugins et thèmes installés sur le site. Le processus de mise à jour de WordPress est un domaine qui doit être abordé avec prudence ; une seule erreur peut détruire le site.

    L'administrateur est également chargé d'attribuer des rôles d'utilisateur et des autorisations aux autres utilisateurs. Le rôle d'utilisateur Administrateur peut modifier les utilisateurs et leurs autorisations, ce qui est une autre fonction à gérer avec précaution.

    Fonctionnalités d'administrateur expliquées

    1. À l'échelle du site : mettre à jour les fichiers principaux de WordPress, gérer tous les paramètres, gérer le code HTML et JavaScript pour tous les utilisateurs
    2. Plugins : installer, modifier et supprimer
    3. Thèmes : installer et basculer, modifier les widgets et les menus, accéder au personnalisateur
    4. Utilisateurs : créer, modifier et supprimer
    5. Articles et pages : ajouter de nouveaux, publier, gérer des taxonomies

    Conseils d'utilisation de l'administrateur

    • Limitez le nombre d'utilisateurs attribués au rôle d'utilisateur Administrateur. Idéalement, il ne devrait y avoir qu'un seul utilisateur qui contrôle l'installation de WordPress.
    • Votre sécurité WordPress commence et se termine avec le rôle d'utilisateur Administrateur WordPress. Étant donné que les administrateurs WordPress ont un accès complet à toutes les choses sur le site, un administrateur WordPress a besoin d'une connexion WordPress très sécurisée. Cela signifie utiliser un mot de passe fort, une authentification à deux facteurs ou même une fonction de connexion sans mot de passe fournie par un plugin de sécurité WordPress comme iThemes Security Pro.
    • Les administrateurs WordPress doivent maintenir les fichiers principaux de WordPress à jour et sécurisés. Les administrateurs sont également responsables de la mise à jour des plugins et des thèmes, une partie importante de la maintenance réussie de WordPress.
    Obtenez le contenu bonus : La liste de contrôle ultime pour la maintenance de WordPress
    Cliquez ici

    3. Éditeur

    Le rôle d'utilisateur Éditeur dans WordPress est responsable de la gestion et de la création de contenu pour votre site WordPress. Un éditeur peut créer, supprimer et modifier tout contenu de site, y compris le contenu produit par d'autres utilisateurs avec des autorisations égales ou inférieures à celles de l'éditeur.

    Les utilisateurs de l'éditeur gèrent toutes les modifications du site et approuvent/planifient le contenu soumis par les contributeurs et les auteurs. Cependant, un éditeur n'a pas accès à des éléments tels que les plugins, les widgets, les paramètres WordPress, ou l'ajout ou la suppression d'utilisateurs.

    Le travail d'un éditeur implique une chose majeure : le contenu. Et c'est tout ce à quoi ils pourront accéder dans le tableau de bord WordPress. Les éditeurs peuvent également gérer les catégories sur le site ainsi que l'ajout ou la suppression de balises personnalisées. Les taxonomies et le téléchargement de fichiers sur le site sont une autre responsabilité du rôle d'éditeur. Les éditeurs ont également un contrôle total sur les commentaires. Ils peuvent modérer, approuver ou supprimer n'importe quel commentaire.

    Qui devrait avoir le rôle d'utilisateur Éditeur ?

    Le rôle de l'éditeur doit être confié à quelqu'un d'administrateur. Les rôles peuvent être modifiés dans WordPress ; si nécessaire, les autorisations du rôle Éditeur peuvent être réduites ou modifiées à mesure que la confiance est acquise.

    • Le responsable d'une équipe de contenu ou d'une publication en ligne
    • Responsables marketing en charge du contenu
    • Les propriétaires de petites entreprises peuvent porter les deux chapeaux (rôle d'utilisateur administrateur et éditeur)

    Éditeur contre auteur

    Les nouveaux utilisateurs peuvent voir les éditeurs et les auteurs WordPress sous le même angle. À bien des égards, ils le sont cependant, il existe des différences.

    • Pages : les éditeurs ont accès à toutes les pages avec la permission d'ajouter, de modifier ou de supprimer. Les auteurs n'ont pas un tel accès
    • Contenu : les éditeurs ont accès à tout le contenu du site. Dans un réseau multisite, seules les autorisations attribuées au rôle Éditeur. Les éditeurs peuvent supprimer ou modifier tout le contenu. Les auteurs ont accès pour modifier ou supprimer, uniquement le contenu qu'ils ont produit

    4. Auteur

    Comme vous vous en doutez probablement, le rôle d'utilisateur Auteur dans WordPress a la capacité d'écrire, de rédiger et de publier du nouveau contenu sur votre site. Ils ont également accès au contenu de votre médiathèque WordPress. Ils auront besoin de ce niveau d'accès pour produire d'excellents articles de blog.

    Le rôle d'utilisateur Auteur est normalement attribué aux nouveaux associés que vous embauchez pour se concentrer sur la diffusion d'un contenu de qualité. Les auteurs ont un ensemble limité d'autorisations dans une installation WordPress. Le rôle peut ajouter, modifier ou supprimer leur contenu, mais n'a pas accès à d'autres contenus ou paramètres de site. Les rôles d'auteur peuvent être aussi étendus ou limités que l'éditeur ou l'administrateur le permet. Les auteurs ont la permission de télécharger du contenu et des images.

    Le rôle Auteur a également le pouvoir de modifier les commentaires des lecteurs. Cependant, ils ne peuvent modifier que les commentaires laissés sur leurs publications.

    Les auteurs ne pourront pas accéder aux publications ou aux pages créées par d'autres utilisateurs. Ils ne peuvent pas non plus ajouter de plugins, créer de nouvelles catégories, modifier les paramètres du site ou faire quoi que ce soit d'autre qui aura un impact sur les performances du site.

    Qui devrait avoir le rôle d'utilisateur auteur ?

    • Les organisations qui ont des équipes dédiées à la création de contenu ou au marketing telles que des journalistes, des relations publiques, des porte-parole de l'entreprise
    • Toute entreprise qui distribue des informations, telle qu'une chaîne d'information ou des sociétés sportives, doit donner aux journalistes le rôle d'auteur. Des autorisations supplémentaires peuvent être accordées selon les besoins

    Une note de prudence pour le rôle d'auteur

    • Soyez prudent en donnant le rôle d'utilisateur d'auteur à quelqu'un qui n'est pas à votre service ou qui n'est pas digne de confiance. S'il a créé beaucoup de contenu et qu'il quitte ensuite l'entreprise, l'auteur peut supprimer tout le contenu.
    • Il est toujours recommandé de supprimer TOUT rôle d'utilisateur Auteur quittant le site et de réattribuer le contenu à un autre auteur. Si un utilisateur part avec l'intention de revenir, modifiez immédiatement le mot de passe et supprimez toutes les autorisations accordées. Rétablissez le rôle lorsque l'utilisateur revient.

    5. Contributeur

    Le rôle utilisateur Contributeur peut rédiger des billets de blog ou des articles, mais ne peut pas les publier. Lorsqu'ils terminent un brouillon, celui-ci va dans la section brouillon pour qu'un administrateur ou un éditeur puisse le réviser avant de le publier.

    Le rôle d'utilisateur Contributeur a très peu d'autorisations dans une installation WordPress. L'autorisation par défaut est la possibilité de soumettre du contenu pour examen. Les contributeurs ne peuvent pas publier le contenu ou télécharger des images associées. Seul un éditeur ou un administrateur peut publier le contenu. Une fois le contenu publié, un Contributeur n'a plus accès à ce contenu.

    Les contributeurs soumettent leur contenu à un administrateur ou à un éditeur pour examen. Voici un aperçu du processus de soumission et d'approbation des articles :

    1. Les contributeurs écrivent leur contenu dans l'éditeur WordPress et une fois terminé, cliquez sur le bouton « Soumettre pour examen »
    2. Les éditeurs ou un administrateur se connectent à WordPress et localisent la publication à partir des approbations en attente
    3. Le message est édité pour toute erreur grammaticale et les images doivent être insérées à ce stade. L'administrateur ou l'éditeur appuie ensuite sur le bouton « Publier ».
    4. Toute modification ou modification future doit être effectuée par l'administrateur ou l'éditeur, car le contributeur d'origine n'a plus accès à la publication.

    Un contributeur n'aura pas non plus accès à la médiathèque WordPress. L'ajout de photos, d'images ou de vidéos à un article soumis par un contributeur incombera à un administrateur ou à un éditeur.

    Les autorisations attribuées en tant que contributeur ne peuvent pas non plus supprimer, modifier ou approuver les commentaires des utilisateurs.

    Qui devrait avoir le rôle d'utilisateur Contributeur ?

    Avez-vous des membres de la communauté qui contribuent aux articles et au contenu de votre site ? Autorisez-vous les publications d'invités ? Si tel est le cas, Contributor est le rôle que vous leur attribuez.

    • Rédacteur extérieur à l'organisation pouvant contribuer au blog
    • Les rédacteurs de contenu débutants qui ont besoin d'une édition lourde devraient être des contributeurs

    Contributeur contre auteur

    • Publication de contenu : les auteurs ont les autorisations de publier et de modifier leur contenu et pas d'autres. Les contributeurs peuvent uniquement soumettre leurs messages pour examen. Une fois le contenu d'un contributeur publié, seul l'administrateur ou l'éditeur peut modifier l'article
    • Médias et images : les contributeurs n'ont pas accès aux images ou aux médias. Les auteurs peuvent télécharger et éditer leurs médias

    6. Abonné

    Le rôle d'utilisateur Abonné est le rôle d'utilisateur le plus simple que vous puissiez attribuer à quelqu'un sur votre site WordPress. En fait, WordPress utilise ce rôle par défaut pour tous les nouveaux utilisateurs du site.

    Vous pouvez penser au rôle d'abonné de la même manière que l'un de vos abonnés sur les réseaux sociaux. Fondamentalement, un abonné suit votre blog et veut en faire partie.

    Capacités de l'abonné

    Il existe deux autorisations principales pour le rôle d'abonné WordPress. Ils peuvent consulter leur profil et consulter le tableau de bord. Les abonnés n'ont pas l'autorisation de modifier le contenu ou les paramètres du site WordPress.

    Selon la fonctionnalité globale de votre site, un abonné peut être en mesure d'interagir avec d'autres utilisateurs et abonnés, mais il n'a pas accès à votre tableau de bord WordPress ou à vos outils d'édition.

    Les abonnés peuvent être utilisés comme outil d'accès d'inclusion ou d'entrée de gamme à des fins de marketing. Par défaut, les abonnés n'ont accès à aucun paramètre ou contenu du site, ce qui rend le rôle intrinsèquement sûr.

    Qui devrait avoir le rôle d'utilisateur abonné ?

    En tant qu'outil marketing, le rôle d'Abonné est un point d'entrée parfait sur votre site. Les abonnés ont le rôle le plus restrictif ; cependant, cela donne à la personne un profil, qui est tout ce dont une personne a besoin pour se sentir incluse.

    Comment ajouter un nouvel utilisateur dans WordPress ?

    L'ajout d'un nouvel utilisateur dans WordPress nécessite que vous soyez un utilisateur administrateur. À partir de là, l'ajout d'un nouvel utilisateur dans WordPress est un processus assez simple. C'est ici que vous attribuerez initialement à l'utilisateur un rôle et des autorisations.

    Bien sûr, en tant qu'administrateur, vous pouvez toujours modifier le rôle de l'utilisateur ultérieurement si cela correspond mieux à vos besoins. Plus sur ce sujet dans une minute.

    Les étapes pour ajouter un nouvel utilisateur à votre site WordPress sont les suivantes :

    1. Connectez-vous au tableau de bord WordPress Admin (https://examplesite.com/wp-admin).

    2. Dans le menu de votre tableau de bord WordPress Admin, cliquez sur l'élément de menu Utilisateurs, puis cliquez sur Ajouter un nouveau.

    WordPress ajoute un nouvel utilisateur

    3. Saisissez le nom, l'adresse e-mail, le prénom, le nom et le site Web du nouvel utilisateur.

    Ajouter un nouvel utilisateur dans WordPress

    4. Sélectionnez le rôle d'utilisateur tel que défini ci-dessus.

    rôle d'utilisateur wordpress

    5. Cochez la case devant « envoyer au nouvel utilisateur un e-mail concernant son compte ».

    6. Cliquez sur le bouton Ajouter un nouvel utilisateur et le nouvel utilisateur est ajouté.

    Répétez ces étapes pour chaque nouvel utilisateur, en portant une attention particulière aux rôles d'utilisateur et aux autorisations que vous attribuez à chacun.

    Conseils pour ajouter de nouveaux utilisateurs WordPress

    Les rôles d'auteur, de contributeur et d'abonné sont simples dans leur création et leurs autorisations. Les postes de super administrateur, d'administrateur et d'éditeur peuvent être un atout majeur pour l'organisation s'ils sont soigneusement étudiés et définis.

    • Les installations multi-sites doivent avoir un super administrateur, quel que soit le nombre de sites supplémentaires. En cas de problème de sécurité, d'utilisateur ou de fichier principal, les super-administrateurs sont responsables. La sécurité devrait être dans l'esprit de chaque personne impliquée dans un site Web. WordPress est exceptionnel dans la façon dont il met à jour les fichiers principaux et la sécurité ; cependant, avoir plusieurs super-administrateurs peut causer des ravages.
    • Désignez un seul administrateur ou éditeur pour chaque site supplémentaire dans un réseau multisite. S'il existe des centaines de sites virtuels, donnez aux administrateurs ou aux éditeurs plus d'un site à gérer.
    • Les développeurs Web indépendants vendant des sites ou des agences doivent confier des tâches d'administrateur à chaque propriétaire de site, mais interdire strictement l'accès à tout paramètre réseau.

    Comment trouver des rôles d'utilisateur dans WordPress ?

    Pour les utilisateurs existants, vous souhaiterez peut-être examiner les rôles d'utilisateur actuellement attribués. Après tout, certains de ces rôles peuvent avoir été attribués avant que vous ayez une compréhension approfondie des rôles et des autorisations des utilisateurs de WordPress.

    Il est maintenant temps de vérifier vos rôles d'utilisateur actuellement attribués.

    Pour ce faire, suivez simplement ces étapes :

    1. Connectez-vous au tableau de bord d'administration WordPress.

    2. Dans votre tableau de bord d'administration WordPress, cliquez sur la section Utilisateurs, puis sur Tous les utilisateurs.

    Liste des utilisateurs de WordPress

    4. Affichez la liste de tous vos utilisateurs actuels.

    5. À côté de la colonne E-mail, vous verrez Rôle. Il s'agit du rôle d'utilisateur attribué à chaque utilisateur du site.

    Maintenant que vous connaissez le rôle attribué à chaque utilisateur, vous souhaitez peut-être effectuer quelques ajustements d'attribution.

    Comment changer les rôles des utilisateurs dans WordPress ?

    Un changement de rôle d'utilisateur WordPress est immédiat et l'utilisateur sera averti par email de son nouveau rôle sur votre site.

    Pour modifier un rôle d'utilisateur WordPress, suivez les étapes 1 à 4 ci-dessus. Une fois que vous aurez consulté la liste de tous les utilisateurs de votre site, vous voudrez :

    1. Survolez le nom de l'utilisateur que vous souhaitez mettre à jour. En survolant l'utilisateur sélectionné, des options d'édition vous seront présentées.

    changer le rôle d'utilisateur WordPress

    2. Après avoir cliqué pour modifier, vous pourrez modifier les champs tels que le nom, l'e-mail et le site Web. Vous ne pouvez cependant pas modifier un nom d'utilisateur ici.

    3. Au bas du profil d'utilisateur, vous verrez un menu déroulant qui vous permet de modifier/sélectionner le rôle d'utilisateur.

    modifier le rôle d'utilisateur WordPress

    4. Choisissez le nouveau rôle d'utilisateur.

    5. Enregistrez le profil utilisateur.

    Les changements de rôle et d'autorisation sont implémentés par WordPress dès que vous les enregistrez.

    Comment supprimer un utilisateur existant ?

    Il y aura probablement des moments où un utilisateur devra être complètement supprimé de votre site.

    Peut-être avez-vous embauché un éditeur indépendant temporaire pour fournir des services d'édition pour votre site pendant deux mois. Lorsque le délai de deux mois expire et que le contrat est terminé, vous ne voulez plus que le pigiste ait accès à votre site.

    Pour supprimer cet utilisateur et supprimer toutes ses autorisations sur votre site Web, suivez les étapes 1 à 4 répertoriées ci-dessus pour rechercher un utilisateur.

    Après avoir localisé l'utilisateur qui sera supprimé, survolez son nom et cliquez sur l'option de suppression.

    supprimer l'utilisateur WordPress

    Après avoir confirmé la suppression, l'utilisateur sera informé par e-mail qu'il a été supprimé de votre site. Ils n'auront plus aucune information d'identification pour se connecter.

    Il est important de noter que vous ne pouvez pas vous supprimer ou supprimer d'autres administrateurs (sauf si vous êtes un super administrateur sur un compte multi-sites).

    Comment gérer les rôles des utilisateurs dans WordPress ?

    La façon dont vous choisissez de gérer les rôles et les autorisations des utilisateurs sur votre site WordPress dépend entièrement de vous. Après tout, qui connaît aussi bien que vous les capacités et les limites des membres de votre équipe ?

    Avant de choisir les rôles qui conviennent à chaque utilisateur de votre site, prenez du recul et posez-vous une série de questions à leur sujet.

    • Peut-on faire confiance à l'utilisateur pour gérer entièrement votre tableau de bord WordPress ?
    • Faites-vous confiance à l'utilisateur pour organiser correctement le contenu de votre site ?
    • Avez-vous besoin d'examiner les messages de l'utilisateur avant qu'ils ne soient publiés ? Ou faites-vous confiance à leur jugement ?
    • L'utilisateur doit-il avoir la possibilité d'éditer et de publier des articles d'autres utilisateurs ?

    Avant d'affecter un nouvel utilisateur au rôle d'administrateur, il est important qu'il ait une compréhension approfondie de la plate-forme WordPress.

    Sécurité des utilisateurs WordPress

    La sécurité des utilisateurs de votre site Web est importante. Beaucoup ! Pourquoi? Un seul utilisateur Admin avec un mot de passe faible pourrait saper toutes les autres mesures de sécurité du site Web que vous avez mises en place. C'est pourquoi il est si important pour vous d'auditer le niveau de sécurité utilisé par les utilisateurs Administrateur et Éditeur sur votre site Web.

    Le contrôle de sécurité utilisateur du plug-in iThemes Security Pro vous permet d'auditer et de modifier rapidement 5 éléments critiques de la sécurité des utilisateurs :

    1. Statut d'authentification à deux facteurs
    2. Âge et force du mot de passe
    3. Dernière fois actif
    4. Sessions WordPress actives
    5. Rôle d'utilisateur

    De plus, le plugin iThemes Security Pro dispose d'une tonne d'outils que vous pouvez utiliser pour augmenter la sécurité des utilisateurs WordPress sur votre site Web. Les fonctionnalités d'authentification à deux facteurs et d'exigences de mot de passe protègent à elles seules vos utilisateurs WordPress contre 100 % des attaques de bots automatisées.

    Cependant, ces deux outils de sécurité utilisateur ne sont efficaces que si les utilisateurs de votre site Web les utilisent réellement.

    Obtenez le contenu bonus : Un guide de la sécurité WordPress
    Cliquez ici

    7 astuces pour sécuriser vos utilisateurs WordPress

    Jetons un coup d'œil aux choses que vous pouvez faire pour sécuriser vos utilisateurs WordPress. La vérité est que ces méthodes de sécurité aideront à sécuriser chaque type d'utilisateur WordPress. Mais, au fur et à mesure que nous passerons en revue chacune des méthodes, nous vous indiquerons les utilisateurs dont vous devriez avoir besoin pour utiliser la méthode.

    1. Ne donnez aux gens que les capacités dont ils ont besoin

    Le moyen le plus simple de protéger votre site Web est de ne donner à vos utilisateurs que les capacités dont ils ont besoin et rien de plus. Si la seule chose que quelqu'un va faire sur votre site Web est de créer et de modifier ses propres articles de blog, il n'a pas besoin de pouvoir modifier les articles d'autres personnes.

    2. Limiter les tentatives de connexion

    Les attaques par force brute font référence à une méthode d'essai et d'erreur utilisée pour découvrir des combinaisons de nom d'utilisateur et de mot de passe pour pirater un site Web. Par défaut, rien n'est intégré à WordPress pour limiter le nombre de tentatives de connexion infructueuses qu'une personne peut effectuer.

    Sans limite sur le nombre de tentatives de connexion infructueuses qu'un attaquant peut effectuer, il peut continuer à essayer un nombre infini de noms d'utilisateur et de mots de passe jusqu'à ce qu'il réussisse.

    La fonction de protection contre la force brute locale d'iThemes Security Pro garde une trace des tentatives de connexion non valides effectuées par les adresses IP et les noms d'utilisateur. Une fois qu'une adresse IP ou un nom d'utilisateur a fait trop de tentatives de connexion invalides consécutives, ils seront verrouillés et ne pourront plus tenter de connexion.

    3. Sécurisez les utilisateurs WordPress avec des mots de passe forts

    Plus le mot de passe de votre compte utilisateur WordPress est fort, plus il est difficile à deviner. Il faut 0,29 milliseconde pour déchiffrer un mot de passe à sept caractères. Mais, un pirate a besoin de deux siècles pour déchiffrer un mot de passe à douze caractères !

    Idéalement, un mot de passe fort est une chaîne alphanumérique de douze caractères. Le mot de passe doit contenir des lettres majuscules et minuscules ainsi que d'autres caractères ASCII.

    Bien que tout le monde puisse bénéficier de l'utilisation d'un mot de passe fort, vous souhaiterez peut-être forcer uniquement les personnes disposant de capacités de niveau Auteur et supérieures à avoir des mots de passe forts.

    La fonction d'exigence de mots de passe iThemes Security Pro vous permet de forcer des utilisateurs spécifiques à utiliser un mot de passe fort.

    4. Refuser les mots de passe compromis

    Les pirates utilisent souvent une forme d'attaque par force brute appelée attaque par dictionnaire. Une attaque par dictionnaire est une méthode pour pénétrer dans un site Web WordPress avec des mots de passe couramment utilisés qui sont apparus dans les vidages de la base de données. La « Collection 1 ? La violation de données hébergée sur MEGA incluait 1 160 253 228 combinaisons uniques d'adresses e-mail et de mots de passe. C'est un milliard avec un b. Ce type de score aidera vraiment une attaque par dictionnaire à affiner les mots de passe WordPress les plus couramment utilisés.

    Il est indispensable d'empêcher les utilisateurs ayant des capacités de niveau Auteur et supérieur d'utiliser des mots de passe compromis. Vous pouvez également penser à ne pas laisser vos utilisateurs de niveau inférieur utiliser des mots de passe compromis.

    Il est tout à fait compréhensible et encouragé de rendre la création d'un nouveau compte client aussi simple que possible. Cependant, votre client peut ne pas savoir que le mot de passe qu'il utilise a été trouvé dans un vidage de données. Vous rendriez un grand service à vos clients en les alertant du fait que le mot de passe qu'ils utilisent a été compromis. S'ils utilisent ce mot de passe partout, vous pourriez leur éviter de gros maux de tête plus tard.

    La fonctionnalité Refuser les mots de passe compromis d'iThemes Security Pro oblige les utilisateurs à utiliser des mots de passe qui n'apparaissent dans aucune violation de mot de passe suivie par Have I Been Pwned.

    5. Sécurisez les utilisateurs WordPress avec une authentification à deux facteurs

    L'authentification à deux facteurs est un processus de vérification de l'identité d'une personne en exigeant deux méthodes de vérification distinctes avant de pouvoir se connecter. Google a partagé sur son blog que l'utilisation de l'authentification à deux facteurs peut arrêter 100% des attaques de bots automatisées. J'aime vraiment ces cotes.

    À tout le moins, vous devriez exiger de vos administrateurs et éditeurs qu'ils utilisent l'authentification à deux facteurs.

    La fonction d'authentification à deux facteurs d'iThemes Security Pro offre une grande flexibilité lors de la mise en œuvre de 2fa sur votre site Web. Vous pouvez activer le double facteur pour tout ou partie de vos utilisateurs, et vous pouvez forcer vos utilisateurs de haut niveau à utiliser 2fa à chaque connexion.

    6. Limiter l'accès de l'appareil au tableau de bord WP

    Limiter l'accès au tableau de bord WordPress à un ensemble d'appareils peut ajouter une forte couche de sécurité à votre site Web. Si un pirate informatique n'est pas sur le bon appareil pour un utilisateur, il ne pourra pas utiliser l'utilisateur compromis pour infliger des dommages à votre site Web.

    Vous ne devez limiter l'accès aux appareils qu'à vos administrateurs et éditeurs.

    La fonctionnalité Appareils de confiance iThemes Security Pro identifie les appareils que vous et les autres utilisateurs utilisez pour vous connecter à votre site WordPress. Lorsqu'un utilisateur s'est connecté sur un appareil non reconnu, les appareils de confiance peuvent restreindre leurs capacités de niveau administrateur. Cela signifie que si un attaquant était capable de pénétrer dans le backend de votre site WordPress, il n'aurait pas la possibilité d'apporter des modifications malveillantes à votre site Web.

    7. Sécurisez les utilisateurs de WordPress contre le piratage de session

    WordPress génère un cookie de session chaque fois que vous vous connectez à votre site Web. Et disons que vous avez une extension de navigateur qui a été abandonnée par le développeur et ne publie plus de mises à jour de sécurité. Malheureusement pour vous, l'extension de navigateur négligée présente une vulnérabilité. La vulnérabilité permet à de mauvais acteurs de détourner les cookies de votre navigateur, y compris le cookie de session WordPress mentionné précédemment. Ce type de piratage est connu sous le nom de piratage de session . Ainsi, un attaquant peut exploiter la vulnérabilité de l'extension pour se greffer à votre connexion et commencer à apporter des modifications malveillantes à votre utilisateur WordPress.

    Vous devriez avoir mis en place une protection contre le piratage de session pour vos administrateurs et éditeurs.

    La fonction Appareils de confiance iThemes Security Pro fait du piratage de session une chose du passé. Si l'appareil d'un utilisateur change au cours d'une session, iThemes Security déconnectera automatiquement l'utilisateur pour empêcher toute activité non autorisée sur le compte de l'utilisateur, telle que la modification de l'adresse e-mail de l'utilisateur ou le téléchargement de plug-ins malveillants.

    Plugins de rôle d'utilisateur WordPress

    Lorsque vous plongez dans les plugins de rôle d'utilisateur WordPress, vous constaterez que bon nombre des plugins les plus populaires utilisent et gèrent les rôles d'utilisateur et les autorisations en dehors des six principaux rôles dont nous avons parlé.

    Il existe des plugins qui vous permettent de créer et d'attribuer des rôles et des groupes d'utilisateurs personnalisés. Les plugins que nous allons couvrir ici sont :

    • bbPress
    • Presse copain
    • WooCommerce
    • Sécurité des iThèmes

    Ils fonctionnent chacun de différentes manières avec des rôles d'utilisateur personnalisables.

    bbPress

    Le plugin bbPress est un forum de discussion WordPress qui nécessite des rôles d'utilisateur uniques en dehors des six principaux proposés dans WordPress.

    bbPress

    Le premier rôle utilisateur intégré au plugin bbPress, Keymaster, se trouve au sommet de la montagne. Les keymasters sont similaires au rôle d'administrateur dans WordPress. Ils ont accès à tous les outils et paramètres, et peuvent modifier, créer ou supprimer les forums, les sujets, les commentaires et les réponses des autres utilisateurs. Le Keymaster est également un modérateur du forum et gère tous les tags.

    bbPress propose alors le rôle de Modérateur. Ce rôle est responsable de la création, de l'édition, de la suppression et de la modération des forums. Ils ont également un contrôle total sur les sujets et les réponses des utilisateurs. Cependant, un modérateur n'a pas accès aux paramètres du site.

    Un participant est un membre de la communauté. Ils peuvent créer et modifier leurs sujets et leurs réponses, mais rien d'autre.

    Les spectateurs ne peuvent lire que les sujets et les réponses. Ils ne peuvent pas répondre ou s'impliquer autrement.

    Les utilisateurs bloqués sont ceux dont vous ne voulez tout simplement plus dans la communauté.

    Le plugin bbPress vous permet également de créer vos propres rôles d'utilisateurs personnalisés (Elève et Tuteur, par exemple) en ajoutant du code dans le codex. Vous pourrez attribuer vos propres autorisations personnalisées à chaque rôle que vous créez. Vous pouvez également modifier les noms des rôles d'utilisateur bbPress existants.

    Presse copain

    BuddyPress est un plugin communautaire WordPress qui vous permet de créer un réseau social au sein de votre propre site Web.

    Presse copain

    Avec le plugin BuddyPress, vous pourrez créer vos propres groupes privés, publics et cachés. Vous pouvez ensuite attribuer des rôles d'utilisateur pour gérer vos groupes.

    Le rôle d'utilisateur Membre est le rôle par défaut dans BuddyPress. Cela s'applique à tout utilisateur qui s'inscrit et rejoint un groupe. Un utilisateur avec un rôle de membre peut soumettre et publier du contenu sur les forums de groupe. Dans certains cas, ils peuvent voir d'autres membres du groupe et leur envoyer des invitations ou des messages directs.

    Un modérateur BuddyPress est un rôle d'utilisateur mis à niveau avec des autorisations supplémentaires, notamment la fermeture, la modification ou la suppression de sujets dans le forum. Mais attention, car ils pourront également faire de même avec le contenu produit par d'autres plugins que vous exécutez sur votre site WordPress.

    Comme pour la plate-forme WordPress et d'autres plugins, le rôle d'administrateur dans BuddyPress a un contrôle total sur les groupes et les paramètres. Un administrateur peut modifier les paramètres d'un groupe, l'avatar du groupe et gérer les membres du groupe. Il peut également supprimer des groupes entiers.

    WooCommerce

    WooCommerce est un plugin WordPress très populaire qui vous aidera à transformer votre site WordPress en un site de commerce électronique robuste.

    Lorsque vous installez WooCommerce sur votre site, vous aurez instantanément le pouvoir de commencer à répertorier les produits, à publier des images de produits, à rédiger des descriptions de produits et à prendre des commandes en ligne.

    WooCommerce

    En tant que tel, WooCommerce propose deux rôles d'utilisateur qui sont en dehors des six standards de WordPress. Ces rôles sont :

    • Client : tout utilisateur qui s'inscrit sur votre site WooCommerce ou s'enregistre avec vous lors du paiement. Les autorisations des clients sont très similaires à celles des abonnés.
    • Shop Manager : c'est la personne qui gère la boutique WooCommerce mais n'a pas les autorisations d'administrateur. Ils disposeront automatiquement des autorisations Client, mais pourront également gérer les produits répertoriés dans le magasin, ainsi que consulter les rapports de vente.

    Des trucs assez simples.

    iThemes Sécurité

    iThemes Security est un excellent plugin de sécurité WordPress avec plus de 50 façons de sécuriser votre site Web WordPress, y compris des moyens de fonctionnalités spécifiques pour les rôles d'utilisateur WordPress.

    Par exemple, si vous recherchez un plugin qui peut fournir des capacités de mise à niveau et de rétrogradation des rôles d'utilisateur rapides et faciles avec une escalade temporaire des privilèges, le plugin iThemes Security vaut vraiment le détour.

    Vous pouvez également utiliser le plugin pour économiser beaucoup de temps que vous passez à sécuriser votre site Web avec des groupes d'utilisateurs. Pour faciliter la gestion de la sécurité des utilisateurs sur votre site, iThemes Security Pro trie tous vos utilisateurs dans différents groupes. Par défaut, vos utilisateurs seront regroupés selon leurs rôles et capacités d'utilisateur WordPress. Le tri par rôle d'utilisateur WordPress permet de combiner facilement les rôles d'utilisateur WordPress et personnalisés dans le même groupe.

    Par exemple, si vous exécutez un site WooCommerce, les administrateurs de votre site et les responsables de boutique seront dans le groupe d'utilisateurs administrateur, et vos abonnés et clients seront dans le groupe d'utilisateurs d'abonnés.

    Dans les paramètres des groupes d'utilisateurs, vous verrez tous vos groupes d'utilisateurs et tous les paramètres de sécurité qui sont activés pour chaque groupe, et activer et désactiver rapidement les paramètres. Le groupe d'utilisateurs vous donne l'assurance que vous appliquez le bon niveau de sécurité aux bons rôles d'utilisateur WordPress.

    Comment personnaliser les rôles et les autorisations des utilisateurs WordPress

    Au-delà des rôles d'utilisateur dont nous avons déjà parlé, vous pouvez ajouter plus de rôles en utilisant des plugins conçus pour vous permettre de créer des rôles d'utilisateur personnalisés pour WordPress. Voici quelques plugins et outils à vérifier.

    Tableau de bord du client de synchronisation iThemes

    iThemes Sync est un outil pour vous aider à gérer plusieurs sites WordPress. Avec Sync, vous disposez d'un tableau de bord pour effectuer des tâches d'administration WordPress pour tous vos sites Web WordPress. La synchronisation est particulièrement utile si vous créez ou gérez des sites Web pour des clients en tant qu'agence de conception Web, agence de marketing ou pigiste.

    La fonctionnalité de tableau de bord client iThemes Sync a été conçue pour personnaliser la façon dont un utilisateur voit le tableau de bord d'administration WordPress, ce qui est un moyen de personnaliser les rôles et les autorisations des utilisateurs WordPress.

    Par exemple, si vous avez un client que vous souhaitez définir comme administrateur, mais que vous ne souhaitez pas voir certaines zones du site telles que les thèmes ou les plugins, vous pouvez accomplir cette tâche avec Client Dashboard.

    Le tableau de bord client peut être activé par utilisateur, puis vous pouvez sélectionner les éléments de menu du tableau de bord WordPress pour permettre à cet utilisateur de voir. Plutôt cool, non ?

    Éditeur de rôle d'utilisateur

    Si vous souhaitez personnaliser vos rôles d'utilisateur standard dans WordPress, l'éditeur de rôle d'utilisateur est un bon plugin à examiner. L'éditeur de rôle d'utilisateur vous permettra de créer vos propres rôles, autorisations et capacités d'utilisateur.

    Éditeur de rôle d'utilisateur

    Vous pouvez également l'utiliser pour modifier ou renommer des rôles, ou les supprimer complètement. Le plugin a une version gratuite et une version payante.

    Gestionnaire d'accès avancé

    Que vous exploitiez une énorme boutique WooCommerce sur votre site ou un blog WordPress standard, vous recherchez peut-être un contrôle supplémentaire sur la gestion de l'accès à votre contenu.

    Gestionnaire d'accès avancé

    User Access Manager pourrait être le plugin pour vous aider. Advanced Access Manager peut être utilisé pour configurer une zone réservée aux membres de votre site, en utilisant les rôles et les autorisations des utilisateurs. Il vous assiste également dans la gestion des utilisateurs dans les sections privées de votre site.

    Yoast SEO

    Si votre équipe se concentre sur l'amélioration du référencement (optimisation des moteurs de recherche) de votre contenu, le plugin Yoast SEO est un excellent point de départ.

    Yoast SEO

    Ce plugin vous permet de créer deux rôles d'utilisateur non standard :

    • Éditeur SEO
    • Responsable référencement

    Pourquoi ces deux nouveaux rôles d'utilisateur sont-ils bénéfiques pour vous en tant que propriétaire de site WordPress ?

    En attribuant des rôles au sein de Yoast SEO, vous permettrez à votre équipe d'effectuer des travaux liés au référencement sans avoir besoin de suivre manuellement les résultats ou de vous demander d'apporter des modifications au site chaque fois que nécessaire.

    Comme le dit le blog de Yoast :

    « Deux nouveaux rôles, l'éditeur de référencement et le gestionnaire de référencement, constituent une solution beaucoup plus flexible lorsque vous travaillez avec plusieurs personnes sur votre site. L'administrateur peut déterminer qui peut voir et faire quoi, tandis que les utilisateurs disposent des outils dont ils ont besoin pour faire leur travail.

    Le plugin Yoast SEO est un autre outil qui place les rôles et les autorisations des utilisateurs WordPress au premier plan de l'efficacité administrative.

    Conclusion : Comprendre les rôles et les autorisations des utilisateurs dans WordPress

    Pour récapituler : les trois principaux rôles d'utilisateur de gestion dans une installation WordPress ont des zones du site spécialement conçues pour ce poste. Les super administrateurs et les administrateurs contrôlent le tableau de bord et les fichiers principaux, ainsi que le site lui-même. Tandis que les éditeurs contrôlent le gestionnaire de contenu et d'autres contenus. Les Auteurs et Contributeurs ne contrôlent que leur contenu et aucun autre. Les abonnés peuvent accéder uniquement au contenu et aux autorisations accordées au rôle par les postes de gestion.

    Après avoir étudié les informations contenues dans cet article, vous avez maintenant une compréhension beaucoup plus approfondie des rôles et des autorisations des utilisateurs sur la plate-forme WordPress. Comme vous pouvez le constater, les rôles que vous attribuez à chacun de vos utilisateurs jouent un rôle important dans l'efficacité avec laquelle vous gérez votre site Web.

    Mais peu importe à quel point vous faites attention à ce que tous les rôles d'utilisateur soient attribués aux meilleures personnes, des erreurs peuvent parfois se produire. Par exemple, lorsque le nouvel employé que vous venez d'affecter en tant qu'administrateur fait planter votre site lors de l'activation d'un nouveau plugin non testé, un plugin de sauvegarde WordPress comme BackupBuddy vous sauvera la vie. Assurez-vous d'avoir installé et activé votre plugin de sauvegarde avant qu'une catastrophe comme celle-ci ne se produise.

    Comme pour les autres domaines de WordPress, l'attribution correcte des rôles et des autorisations d'utilisateur nécessitera quelques essais et erreurs. Mais avec les informations que vous venez d'apprendre, vous prendrez des décisions plus éclairées.

    Rôles d'utilisateurs WordPress