Ruoli utente e autorizzazioni di WordPress: la guida essenziale

I ruoli utente e le autorizzazioni di WordPress offrono controlli di accesso e privilegi per il tuo sito web. Da Super Admin a Abbonato, ogni utente di WordPress che accede al tuo sito Web ha un insieme specifico di autorizzazioni o funzionalità assegnate.

Ma quanto conosci i ruoli utente di WordPress, cosa significa ciascuno di essi e perché è così importante utilizzarli nel modo corretto? Se non hai ancora una conoscenza completa dei ruoli utente all'interno della piattaforma WordPress, non sei solo. Molti proprietari di siti WordPress non sfruttano appieno la potenza dei ruoli utente e delle autorizzazioni di WordPress durante la gestione dei propri siti.

In questa guida, tratteremo tutto ciò che devi sapere per comprendere i ruoli e le autorizzazioni degli utenti di WordPress. Diamo uno sguardo più approfondito.

Quali sono i ruoli utente di WordPress?

Una capacità è una funzione specifica o un insieme di azioni che un utente può completare. Ogni ruolo utente di WordPress è chiaramente definito, quindi non ci sono malintesi sulle cose a cui ogni ruolo utente può accedere e sulle attività che può svolgere.

All'interno di WordPress, vedrai che ci sono sei ruoli utente WordPress tra cui puoi selezionare per ogni nuovo utente che aggiungi al tuo sito web. Il ruolo utente che scegli per ogni singolo utente dipende dal livello di autorizzazione e accesso che desideri che abbia sul tuo sito.

Ad esempio, un ruolo utente di WordPress definisce funzionalità come:

• Chi può gestire i commenti
• Chi può scrivere post sul blog
• Chi può aggiungere pagine
• Chi può installare o aggiornare plugin o temi
• Chi è autorizzato ad aggiungere nuovi utenti
• Quali membri del team possono eliminare lo spam

Sebbene tu possa aver ignorato i ruoli utente e le autorizzazioni di WordPress fino ad ora, la verità è che la comprensione di ogni ruolo è essenziale, indipendentemente dal fatto che tu sia responsabile di un sito Web aziendale, di una rivista di notizie o di un blog personale.

I 6 ruoli utente di WordPress

I sei principali ruoli utente di WordPress disponibili in WordPress sono:

1. Super amministratore (per reti multisito WordPress)
2. Amministratore
3. Editor
4. Autore
5. Collaboratore
6. Abbonato

Quando aggiungi un nuovo utente in WordPress, vedrai le opzioni del ruolo elencate in un menu a discesa.

Prima di andare oltre, diamo un'occhiata a ciascuno di essi in dettaglio.

1. Super amministratore

I super amministratori hanno il potere di eliminare altri utenti (anche amministratori), quindi è importante assegnare questo ruolo solo ai membri del team di cui ti fidi veramente. Un super amministratore può avere un impatto (negativo o positivo) su molte parti della tua attività, inclusa la tua rete e gli altri utenti che gestiscono il tuo sito.

Un Super Admin di WordPress può anche creare nuovi siti Web, gestire temi e plug-in attraverso la rete multisito, aggiungere, gestire o eliminare contenuti su ogni sito. Il Super Administrator controlla la rete con tutte le impostazioni e i problemi di sicurezza. Il primo utente che configura la rete multisito è il Super amministratore predefinito.

Tieni presente che le reti multisito di WordPress sono uno dei modi più avanzati per utilizzare WordPress come sistema di gestione dei contenuti. Se non disponi di una rete multisito, non dovrai utilizzare il ruolo di Super amministratore per nessuno dei tuoi utenti.

Se gestisci più siti WordPress, risparmia più tempo nella gestione degli utenti e degli aggiornamenti di WordPress con iThemes Sync.

Suggerimenti per il ruolo dell'utente Super Admin di WordPress

• All'interno di una rete multisito WordPress, mantieni semplice l'organizzazione dei ruoli utente. Un singolo utente con solo un paio di siti ha bisogno solo del Super amministratore predefinito. Man mano che l'organizzazione cresce, crea ruoli utente significativi per i dipendenti.
• Esistono molti modi per configurare una rete multisito WordPress e i suoi utenti. Se sei un'agenzia o un libero professionista con più siti, assegna a ciascun cliente il ruolo di amministratore o editore per un sito specifico.
• Concentrati sui controlli di sicurezza degli utenti di WordPress dal primo accesso. WordPress è il bersaglio preferito degli hacker esperti e la sofisticatezza sta crescendo nel mondo degli attacchi di malware e virus. Anche il fingerprinting del browser rappresenta una crescente minaccia per la privacy.
• Controlla le impostazioni a livello di rete con cautela. Pianifica le registrazioni dei nuovi utenti e accogli con cura le email.

2. Amministratore

Il ruolo di amministratore del sito è quasi sempre assegnato al proprietario del sito web e/o allo sviluppatore principale e ha accesso a tutte le funzionalità, impostazioni e opzioni di WordPress. A tutti gli effetti, l'amministratore è il re e il capo del tuo sito WordPress. Ecco perché avere una buona gestione delle responsabilità di essere un amministratore di WordPress è una buona idea.

Il ruolo di amministratore di WordPress ha pieno accesso per aggiungere e modificare post e pagine, modificare o aggiornare le impostazioni del sito, aggiungere e installare temi e plug-in e molto altro.

Il ruolo di amministratore di WordPress può anche aggiornare WordPress insieme a eventuali plugin e temi installati sul sito. Il processo di aggiornamento di WordPress è un'area che deve essere affrontata con cautela; un singolo errore può distruggere il sito.

L'amministratore ha anche il compito di assegnare ruoli utente e autorizzazioni ad altri utenti. Il ruolo utente Amministratore può modificare gli utenti e le loro autorizzazioni, un'altra funzione da gestire con cura.

Spiegazione delle capacità dell'amministratore

1. A livello di sito: aggiorna i file core di WordPress, gestisci tutte le impostazioni, gestisci il codice HTML e JavaScript per tutti gli utenti
2. Plugin: installa, modifica ed elimina
3. Temi: installa e cambia, modifica widget e menu, accedi al personalizzatore
4. Utenti: crea, modifica e rimuovi
5. Post e Pagine: aggiungi nuovi, pubblica, gestisci tassonomie

Suggerimenti per l'utente amministratore

• Limita il numero di utenti a cui viene assegnato il ruolo utente di amministratore. Idealmente, dovrebbe esserci un solo utente che controlla l'installazione di WordPress.
• La sicurezza di WordPress inizia e termina con il ruolo utente di amministratore di WordPress. Poiché gli amministratori di WordPress hanno pieno accesso a tutte le cose sul sito, un amministratore di WordPress ha bisogno di un accesso WordPress molto sicuro. Ciò significa utilizzare una password complessa, un'autenticazione a due fattori o persino una funzione di accesso senza password fornita da un plug-in di sicurezza di WordPress come iThemes Security Pro.
• Gli amministratori di WordPress devono mantenere i file core di WordPress aggiornati e protetti. Gli amministratori sono anche responsabili di mantenere aggiornati plugin e temi, una parte importante della corretta manutenzione di WordPress.

3. Editor

Gli utenti dell'editor gestiscono tutte le modifiche al sito e approvano/pianificano i contenuti inviati da contributori e autori. Tuttavia, un editor non ha accesso a elementi come plug-in, widget, impostazioni di WordPress o aggiunta o rimozione di utenti.

Il lavoro di un editore implica una cosa importante: il contenuto. E questo è tutto ciò a cui potranno accedere nella dashboard di WordPress. Gli editor possono anche gestire le categorie sul sito insieme all'aggiunta o all'eliminazione di tag personalizzati. Le tassonomie e il caricamento di file sul sito sono un'altra responsabilità del ruolo di Editor. Gli editori hanno anche il pieno controllo dei commenti. Possono moderare, approvare o eliminare qualsiasi commento.

Chi dovrebbe avere il ruolo di utente editor?

Il ruolo dell'editore dovrebbe andare a qualcuno di fiducia dell'amministratore. I ruoli possono essere modificati in tutto WordPress; se necessario, le autorizzazioni del ruolo Editor possono essere ridotte o modificate man mano che si acquisisce fiducia.

• Il manager di un team di contenuti o di una pubblicazione online
• Responsabili marketing responsabili dei contenuti
• I proprietari di piccole imprese possono indossare entrambi i cappelli (ruolo utente Amministratore ed Editor)

Editor contro Autore

I nuovi utenti possono vedere gli editor e gli autori di WordPress nella stessa luce. In molti modi, sono tuttavia, ci sono differenze.

• Pagine: gli editor hanno accesso a tutte le pagine con il permesso di aggiungere, modificare o eliminare. Gli autori non hanno tale accesso
• Contenuto: gli editor hanno accesso a tutti i contenuti del sito. In una rete multisito, solo le autorizzazioni assegnate al ruolo di Editor. Gli editori possono eliminare o modificare tutto il contenuto. Gli autori hanno accesso per modificare o eliminare solo il contenuto che hanno prodotto

4. Autore

Il ruolo utente Autore viene normalmente assegnato ai nuovi associati che assumi per concentrarti sulla pubblicazione di ottimi contenuti. Gli autori hanno un set limitato di autorizzazioni all'interno di un'installazione di WordPress. Il ruolo può aggiungere, modificare o eliminare il proprio contenuto, ma non ha accesso ad altri contenuti o alle impostazioni del sito. I ruoli dell'autore possono essere tanto estesi o limitati quanto consentito dall'editor o dall'amministratore. Gli autori hanno il permesso di caricare contenuti e immagini.

Il ruolo Autore ha anche il potere di modificare i commenti dei lettori. Tuttavia, possono modificare solo i commenti lasciati sui loro post.

Gli autori non potranno accedere a post o pagine create da altri utenti. Inoltre, non possono aggiungere plug-in, creare nuove categorie, modificare le impostazioni del sito o fare qualsiasi altra cosa che possa influire sulle prestazioni del sito.

Chi dovrebbe avere il ruolo di utente autore?

• Organizzazioni che dispongono di team di marketing o creazione di contenuti dedicati come giornalisti, pubbliche relazioni, portavoce aziendali
• Qualsiasi azienda che distribuisce informazioni come un canale di notizie o società sportive dovrebbe dare ai giornalisti il ​​ruolo di Autore. Ulteriori autorizzazioni possono essere concesse in base alle necessità

Una nota di cautela per il ruolo dell'autore

• Sii cauto nel dare il ruolo utente di Autore a qualcuno che non è alle tue dipendenze o non è degno di fiducia. Se hanno creato molti contenuti e poi lasciano l'azienda, l'Autore può eliminare ogni bit di contenuto.
• È sempre una buona pratica eliminare QUALSIASI ruolo utente Autore che lascia il sito e riassegnare il contenuto a un altro Autore. Se un utente parte con l'intenzione di tornare, cambia immediatamente la password e togli tutte le autorizzazioni concesse. Ripristina il ruolo quando l'utente ritorna.

5. Collaboratore

Il ruolo utente Collaboratore ha pochissime autorizzazioni in un'installazione di WordPress. L'autorizzazione predefinita è la possibilità di inviare contenuti per la revisione. I contributori non possono pubblicare il contenuto o caricare immagini associate. Solo un editore o un amministratore può pubblicare il contenuto. Una volta che il contenuto è stato pubblicato, un collaboratore non ha più accesso a quel contenuto.

I contributori inviano i loro contenuti a un amministratore o a un editor per la revisione. Ecco una panoramica del processo di invio e approvazione dei post:

1. I contributori scrivono il loro contenuto nell'editor di WordPress e, una volta completato, premi il pulsante "Invia per revisione"
2. Gli editori o un amministratore accedono a WordPress e individuano il post dalle approvazioni in sospeso
3. Il post viene modificato per eventuali errori grammaticali e le immagini devono essere inserite in questa fase. L'amministratore o l'editor quindi preme il pulsante "Pubblica".
4. Eventuali modifiche o cambiamenti futuri devono essere apportati dall'amministratore o dall'editor perché il collaboratore originale non ha più accesso al post.

Inoltre, un collaboratore non avrà alcun accesso alla libreria multimediale di WordPress. L'aggiunta di foto, immagini o video a un articolo inviato da un collaboratore spetta a un amministratore o a un editore.

Anche le autorizzazioni assegnate come Collaboratore non possono eliminare, alterare o approvare i commenti degli utenti.

Chi dovrebbe avere il ruolo di utente collaboratore?

Hai membri della community che contribuiscono con articoli e contenuti al tuo sito? Consenti i post degli ospiti? In tal caso, Contributor è il ruolo che gli assegneresti.

• Scrittore esterno all'organizzazione che può contribuire al blog
• Gli scrittori di contenuti di livello base che necessitano di modifiche pesanti dovrebbero essere collaboratori

Collaboratore contro autore

• Pubblicazione di contenuti: gli autori hanno le autorizzazioni per pubblicare e modificare il loro contenuto e nessun altro. I contributori possono solo inviare i propri post per la revisione. Una volta pubblicato il contenuto di un collaboratore, solo l'amministratore o l'editore possono modificare il pezzo
• Media e immagini: i contributori non hanno accesso a immagini o media. Gli autori possono caricare e modificare i propri media

6. Abbonato

Il ruolo utente Abbonato è il ruolo utente più essenziale che puoi assegnare a qualcuno sul tuo sito WordPress. In effetti, WordPress utilizza questo ruolo come predefinito per tutti i nuovi utenti del sito.

Puoi pensare al ruolo di abbonato in modo simile a uno dei tuoi follower sui social media. Fondamentalmente, un abbonato segue il tuo blog e vuole farne parte.

Funzionalità dell'abbonato

Esistono due autorizzazioni principali per il ruolo di abbonato WordPress. Possono visualizzare il proprio profilo e visualizzare la dashboard. Gli abbonati non hanno le autorizzazioni per modificare il contenuto o le impostazioni del sito WordPress.

A seconda della funzionalità generale del tuo sito, un abbonato potrebbe essere in grado di interagire con altri utenti e abbonati, ma non ha alcun accesso alla dashboard di WordPress o agli strumenti di modifica.

Gli abbonati possono essere utilizzati come strumento di accesso inclusivo o di livello base per scopi di marketing. Per impostazione predefinita, gli abbonati non hanno accesso ad alcuna impostazione o contenuto del sito, rendendo il ruolo intrinsecamente sicuro.

Chi dovrebbe avere il ruolo di utente abbonato?

Come strumento di marketing, il ruolo di abbonato è un punto di ingresso perfetto per il tuo sito. Gli abbonati hanno il ruolo più restrittivo; tuttavia, dà alla persona un profilo, che è tutto ciò di cui una persona ha bisogno per sentirsi inclusa.

Come aggiungo un nuovo utente in WordPress?

L'aggiunta di un nuovo utente in WordPress richiede che tu sia un utente amministratore. Da lì, aggiungere un nuovo utente in WordPress è un processo piuttosto semplice. Qui è dove inizialmente assegnerai all'utente un ruolo e le autorizzazioni.

Ovviamente, in qualità di amministratore, puoi sempre modificare il ruolo dell'utente in un secondo momento, se più adatto alle tue esigenze. Più su quello in un minuto.

I passaggi per aggiungere un nuovo utente al tuo sito WordPress sono i seguenti:

1. Accedi alla dashboard di amministrazione di WordPress (https://examplesite.com/wp-admin).

2. Nel menu della dashboard dell'amministratore di WordPress, fai clic sulla voce di menu Utenti, quindi fai clic su Aggiungi nuovo.

3. Immettere il nome, l'indirizzo e-mail, il nome, il cognome e il sito Web del nuovo utente.

4. Selezionare il ruolo utente come definito sopra.

5. Fare clic sulla casella di controllo davanti a "invia al nuovo utente un'e-mail sul suo account".

6. Fare clic sul pulsante Aggiungi nuovo utente e il nuovo utente viene aggiunto.

Ripeti questi passaggi per ogni nuovo utente, prestando molta attenzione ai ruoli utente e alle autorizzazioni che assegni a ciascuno.

Suggerimenti per l'aggiunta di nuovi utenti WordPress

I ruoli di autore, collaboratore e sottoscrittore sono semplici nella creazione e nelle autorizzazioni. Le posizioni di super amministratore, amministratore ed editore possono essere una delle principali aree di forza per l'organizzazione se attentamente considerate e tracciate.

• Le installazioni multisito dovrebbero avere un super amministratore, indipendentemente dal numero di siti aggiuntivi. In caso di problemi di sicurezza, utente o file di base, i super amministratori sono responsabili. La sicurezza dovrebbe essere nella mente di ogni persona coinvolta in un sito web. WordPress è eccezionale nel modo in cui aggiorna i file principali e la sicurezza; tuttavia, avere più Super amministratori può causare il caos.
• Designare un singolo amministratore o editore per ogni sito aggiuntivo in una rete multisito. Se ci sono centinaia di siti virtuali, assegna agli amministratori o ai redattori più di un sito da gestire.
• Gli sviluppatori web freelance che vendono siti o agenzie dovrebbero dare compiti di amministratore a ciascun proprietario del sito, ma vietare rigorosamente l'accesso a qualsiasi impostazione di rete.

Come trovo i ruoli utente in WordPress?

Per gli utenti esistenti, potresti voler esaminare i ruoli utente attualmente assegnati. Dopotutto, alcuni di questi ruoli potrebbero essere stati assegnati prima di avere una conoscenza approfondita dei ruoli utente e delle autorizzazioni di WordPress.

Ora è il momento di verificare i ruoli utente attualmente assegnati.

Per fare ciò, segui semplicemente questi passaggi:

1. Accedi alla dashboard di amministrazione di WordPress.

2. Nella dashboard di amministrazione di WordPress, fai clic sulla sezione Utenti, quindi fai clic su Tutti gli utenti.

4. Visualizza l'elenco di tutti i tuoi utenti attuali.

5. Accanto alla colonna Email, vedrai Ruolo. Questo è il ruolo utente assegnato a ciascun utente del sito.

Ora che sei a conoscenza del ruolo assegnato a ciascun utente, forse desideri apportare alcune modifiche all'assegnazione.

Come posso modificare i ruoli utente in WordPress?

Una modifica del ruolo utente di WordPress è immediata e l'utente riceverà una notifica via e-mail del suo nuovo ruolo sul tuo sito.

Per modificare un ruolo utente di WordPress, segui i passaggi 1-4 sopra. Dopo aver visualizzato l'elenco di tutti gli utenti del tuo sito, ti consigliamo di:

1. Passa il mouse sopra il nome dell'utente che desideri aggiornare. Passando con il mouse sull'utente selezionato, ti verranno presentate le opzioni di modifica.

2. Dopo aver fatto clic per modificare, sarai in grado di modificare campi come nome, email e sito web. Tuttavia, non è possibile modificare un nome utente qui.

3. Nella parte inferiore del profilo utente, vedrai un menu a discesa che ti consente di modificare/selezionare il ruolo utente.

4. Scegli il nuovo ruolo utente.

5. Salvare il profilo utente.

Le modifiche al ruolo e ai permessi vengono implementate da WordPress nell'istante in cui le salvi.

Come faccio a eliminare un utente esistente?

Ci saranno probabilmente momenti in cui un utente dovrà essere rimosso completamente dal tuo sito.

Forse hai assunto un editor freelance temporaneo per fornire servizi di editing per il tuo sito nel corso di due mesi. Quando il periodo di due mesi scade e il contratto è scaduto, non vuoi più che il libero professionista abbia accesso al tuo sito.

Per eliminare questo utente e rimuovere tutte le sue autorizzazioni sul tuo sito web, segui i passaggi 1-4 sopra elencati per trovare un utente.

Dopo aver individuato l'utente che verrà eliminato, passa il mouse sopra il suo nome e fai clic sull'opzione di eliminazione.

Dopo aver confermato l'eliminazione, l'utente riceverà una notifica via e-mail che è stato rimosso dal tuo sito. Non avranno più credenziali per accedere.

È importante notare che non puoi eliminare te stesso o altri amministratori (a meno che tu non sia un Super amministratore su un account multisito).

Come gestisco i ruoli utente in WordPress?

Il modo in cui scegli di gestire i ruoli utente e le autorizzazioni sul tuo sito WordPress dipende completamente da te. Dopotutto, chi conosce le capacità e i limiti dei membri del tuo team quanto te?

Prima di scegliere i ruoli appropriati per ogni utente del tuo sito, fai un passo indietro e fatti una serie di domande su di essi.

• L'utente può essere considerato affidabile per gestire completamente la dashboard di WordPress?
• Hai fiducia nell'utente per organizzare correttamente i contenuti del tuo sito?
• Hai bisogno di rivedere i post dell'utente prima che vengano pubblicati? O ti fidi del loro giudizio?
• L'utente dovrebbe avere la possibilità di modificare e pubblicare post di altri utenti?

Prima di assegnare un nuovo utente al ruolo di amministratore, è importante che abbia una conoscenza approfondita della piattaforma WordPress.

Sicurezza degli utenti di WordPress

La sicurezza degli utenti sul tuo sito web è importante. Un sacco! Come mai? Un singolo utente amministratore con una password debole potrebbe compromettere tutte le altre misure di sicurezza del sito web che hai messo in atto. Ecco perché è così importante per te controllare la forza della sicurezza utilizzata dagli utenti Administrator ed Editor sul tuo sito web.

Il controllo sicurezza utente del plug-in iThemes Security Pro ti consente di controllare e modificare rapidamente 5 elementi critici della sicurezza dell'utente:

1. Stato di autenticazione a due fattori
2. Età e forza della password
3. Ultima volta attivo
4. Sessioni WordPress attive
5. Ruolo utente

Inoltre, il plug-in iThemes Security Pro ha un sacco di strumenti che puoi utilizzare per aumentare la sicurezza degli utenti di WordPress sul tuo sito web. Le sole funzionalità di autenticazione a due fattori e requisiti per la password proteggono i tuoi utenti di WordPress dal 100% degli attacchi bot automatizzati.

Tuttavia, questi due strumenti di sicurezza per gli utenti sono efficaci solo se gli utenti del tuo sito web li stanno effettivamente utilizzando.

7 suggerimenti per proteggere i tuoi utenti di WordPress

Diamo un'occhiata alle cose che puoi fare per proteggere i tuoi utenti di WordPress. La verità è che questi metodi di sicurezza aiuteranno a proteggere ogni tipo di utente di WordPress. Ma, mentre esaminiamo ciascuno dei metodi, ti faremo sapere quali utenti dovresti richiedere per utilizzare il metodo.

1. Dai alle persone solo le capacità di cui hanno bisogno

Il modo più semplice per proteggere il tuo sito Web è fornire ai tuoi utenti solo le funzionalità di cui hanno bisogno e non altro. Se l'unica cosa che qualcuno farà sul tuo sito web è creare e modificare i propri post sul blog, non è necessaria la capacità di modificare i post di altre persone.

2. Limitare i tentativi di accesso

Gli attacchi di forza bruta si riferiscono a un metodo di prova ed errore utilizzato per scoprire combinazioni di nome utente e password per hackerare un sito web. Per impostazione predefinita, non c'è nulla di integrato in WordPress per limitare il numero di tentativi di accesso falliti che qualcuno può fare.

Senza un limite al numero di tentativi di accesso falliti che un utente malintenzionato può fare, può continuare a provare un numero infinito di nomi utente e password finché non hanno successo.

La funzione iThemes Security Pro Local Brute Force Protection tiene traccia dei tentativi di accesso non validi effettuati da indirizzi IP e nomi utente. Una volta che un IP o un nome utente hanno effettuato troppi tentativi di accesso consecutivi non validi, verranno bloccati e non potranno più effettuare altri tentativi di accesso.

3. Proteggi gli utenti di WordPress con password complesse

Più è forte la password dell'account utente di WordPress, più è difficile da indovinare. Ci vogliono 0,29 millisecondi per decifrare una password di sette caratteri. Ma un hacker ha bisogno di due secoli per decifrare una password di dodici caratteri!

Idealmente, una password complessa è una stringa alfanumerica di dodici caratteri. La password deve contenere lettere maiuscole e minuscole e altri caratteri ASCII.

Sebbene tutti possano trarre vantaggio dall'utilizzo di una password complessa, potresti voler forzare solo le persone con capacità a livello di Autore e superiori ad avere password complesse.

La funzione Requisito password di iThemes Security Pro ti consente di obbligare utenti specifici a utilizzare una password complessa.

4. Rifiuta le password compromesse

Gli hacker usano spesso una forma di attacco di forza bruta chiamata attacco del dizionario. Un attacco a dizionario è un metodo per violare un sito Web WordPress con password di uso comune che sono apparse nei dump del database. La “Collezione #1? La violazione dei dati ospitata su MEGA ospitata includeva 1.160.253.228 combinazioni univoche di indirizzi e-mail e password. Sono miliardi con la b. Questo tipo di punteggio aiuterà davvero un attacco al dizionario a restringere le password WordPress più comunemente usate.

È necessario impedire agli utenti con capacità a livello di autore e superiori di utilizzare password compromesse. Potresti anche pensare di non consentire ai tuoi utenti di livello inferiore di utilizzare password compromesse.

È completamente comprensibile e incoraggiato a rendere la creazione di un nuovo account cliente il più semplice possibile. Tuttavia, il tuo cliente potrebbe non sapere che la password che sta utilizzando è stata trovata in un dump di dati. Faresti un ottimo servizio ai tuoi clienti avvisandoli del fatto che la password che stanno utilizzando è stata compromessa. Se stanno usando quella password ovunque, potresti salvarli da alcuni grossi grattacapi lungo la strada.

La funzione iThemes Security Pro Refuse Compromise Passwords costringe gli utenti a utilizzare password che non sono apparse in nessuna violazione della password tracciata da Have I Been Pwned.

5. Proteggi gli utenti di WordPress con l'autenticazione a due fattori

L'autenticazione a due fattori è un processo di verifica dell'identità di una persona che richiede due metodi di verifica separati prima che possa accedere. Google ha condiviso sul suo blog che l'utilizzo dell'autenticazione a due fattori può bloccare il 100% degli attacchi bot automatizzati. Mi piacciono molto quelle probabilità.

Per lo meno, dovresti richiedere ai tuoi amministratori ed editori di utilizzare l'autenticazione a due fattori.

La funzione di autenticazione a due fattori di iThemes Security Pro offre una grande flessibilità durante l'implementazione di 2fa sul tuo sito web. Puoi abilitare due fattori per tutti o alcuni dei tuoi utenti e puoi forzare i tuoi utenti di alto livello a utilizzare 2fa ad ogni accesso.

6. Limitare l'accesso del dispositivo alla dashboard di WP

Limitare l'accesso alla dashboard di WordPress a un insieme di dispositivi può aggiungere un forte livello di sicurezza al tuo sito web. Se un hacker non si trova sul dispositivo corretto per un utente, non sarà in grado di utilizzare l'utente compromesso per infliggere danni al tuo sito web.

Dovresti limitare l'accesso al dispositivo solo ai tuoi amministratori ed editor.

La funzione Dispositivi attendibili di iThemes Security Pro identifica i dispositivi che tu e altri utenti utilizzate per accedere al tuo sito WordPress. Quando un utente ha effettuato l'accesso su un dispositivo non riconosciuto, Trusted Devices può limitare le proprie capacità a livello di amministratore. Ciò significa che se un utente malintenzionato fosse in grado di entrare nel backend del tuo sito WordPress, non avrebbe la possibilità di apportare modifiche dannose al tuo sito web.

7. Proteggi gli utenti di WordPress dal dirottamento della sessione

WordPress genera un cookie di sessione ogni volta che accedi al tuo sito web. E supponiamo che tu abbia un'estensione del browser che è stata abbandonata dallo sviluppatore e non rilascia più aggiornamenti di sicurezza. Sfortunatamente per te, l'estensione del browser trascurata ha una vulnerabilità. La vulnerabilità consente ai malintenzionati di dirottare i cookie del browser, incluso il cookie di sessione di WordPress menzionato in precedenza. Questo tipo di hack è noto come dirottamento di sessione . Quindi, un utente malintenzionato può sfruttare la vulnerabilità dell'estensione per eseguire il piggyback del tuo accesso e iniziare a apportare modifiche dannose con il tuo utente WordPress.

Dovresti disporre di una protezione contro il dirottamento della sessione per i tuoi amministratori ed editori.

La funzione Dispositivi attendibili di iThemes Security Pro rende il dirottamento di sessione un ricordo del passato. Se il dispositivo di un utente cambia durante una sessione, iThemes Security disconnetterà automaticamente l'utente per impedire qualsiasi attività non autorizzata sull'account dell'utente, come la modifica dell'indirizzo e-mail dell'utente o il caricamento di plug-in dannosi.

Plugin del ruolo utente di WordPress

Quando ti immergi nei plug-in dei ruoli utente di WordPress, scoprirai che molti dei plug-in più popolari utilizzano e gestiscono ruoli utente e autorizzazioni al di fuori dei sei ruoli principali di cui abbiamo discusso.

Esistono plugin che ti consentono di creare e assegnare ruoli utente e gruppi personalizzati. I plugin che tratteremo qui sono:

• bbPress
• BuddyPress
• WooCommerce
• iThemes Sicurezza

Ciascuno di essi lavora con ruoli utente personalizzabili in modi diversi.

bbPress

Il plugin bbPress è un forum di discussione di WordPress che richiede ruoli utente univoci al di fuori dei sei principali offerti in WordPress.

Il primo ruolo utente integrato nel plug-in bbPress, Keymaster, si trova in cima alla montagna. I keymaster sono simili al ruolo di amministratore in WordPress. Hanno accesso a tutti gli strumenti e le impostazioni e possono modificare, creare o eliminare forum, argomenti, commenti e risposte di altri utenti. Il Keymaster è anche un moderatore del forum e gestisce tutti i tag.

bbPress offre quindi il ruolo di moderatore. Questo ruolo è responsabile della creazione, modifica, eliminazione e moderazione dei forum. Hanno anche il pieno controllo sugli argomenti e sulle risposte degli utenti. Tuttavia, un moderatore non ha accesso alle impostazioni del sito.

Un Partecipante è un membro della comunità. Possono creare e modificare i propri argomenti e risposte, ma nient'altro.

Gli spettatori possono solo leggere argomenti e risposte. Non possono rispondere o farsi coinvolgere in altri modi.

Gli utenti bloccati sono quelli che semplicemente non vuoi più nella community.

Il plug-in bbPress ti consente anche di creare i tuoi ruoli utente personalizzati (allievo e tutor, ad esempio) aggiungendo codice nel codice. Sarai in grado di assegnare le tue autorizzazioni personalizzate a ciascun ruolo che crei. Puoi anche cambiare i nomi dei ruoli utente bbPress esistenti.

BuddyPress

BuddyPress è un plug-in della community di WordPress che ti consente di creare un social network all'interno del tuo sito web.

Con il plugin BuddyPress, sarai in grado di creare i tuoi gruppi privati, pubblici e nascosti. Puoi quindi assegnare ruoli utente per gestire i tuoi gruppi.

Il ruolo utente Membro è il ruolo predefinito all'interno di BuddyPress. Questo viene applicato a qualsiasi utente che si iscrive e si unisce a un gruppo. Un utente con un ruolo Membro può inviare e pubblicare contenuti nei forum del gruppo. In alcuni casi, possono vedere altri membri del gruppo e inviare loro inviti o messaggi diretti.

Un Moderatore BuddyPress è un ruolo utente aggiornato con autorizzazioni aggiuntive tra cui la chiusura, la modifica o l'eliminazione di argomenti nel forum. Ma fai attenzione, perché saranno anche in grado di fare lo stesso con i contenuti prodotti da altri plugin che stai eseguendo sul tuo sito WordPress.

Come con la piattaforma WordPress e altri plugin, il ruolo di amministratore in BuddyPress ha il pieno controllo su gruppi e impostazioni. Un amministratore può modificare le impostazioni in un gruppo, l'avatar del gruppo e gestire i membri del gruppo. Possono anche eliminare interi gruppi.

WooCommerce

WooCommerce è un plugin WordPress molto popolare che ti aiuterà a trasformare il tuo sito WordPress in un solido sito di e-commerce.

Quando installi WooCommerce sul tuo sito, avrai immediatamente il potere di iniziare a elencare prodotti, pubblicare immagini di prodotti, scrivere descrizioni di prodotti e prendere ordini online.

In quanto tale, WooCommerce offre due ruoli utente che sono al di fuori dei sei standard in WordPress. Questi ruoli sono:

• Cliente: qualsiasi utente che si iscrive al tuo sito WooCommerce o si registra con te al momento del pagamento. I clienti sono molto simili nelle autorizzazioni agli abbonati.
• Shop Manager: è la persona che gestisce il negozio WooCommerce ma non dispone dei permessi di amministratore. Avranno automaticamente le autorizzazioni del cliente, ma potranno anche gestire i prodotti elencati nel negozio, nonché visualizzare i rapporti sulle vendite.

Roba abbastanza semplice.

iThemes Sicurezza

iThemes Security è un eccellente plug-in di sicurezza per WordPress con oltre 50 modi per proteggere il tuo sito Web WordPress, inclusi modi per funzionalità specifiche per i ruoli utente di WordPress.

Ad esempio, se stai cercando un plug-in in grado di fornire funzionalità di aggiornamento e downgrade dei ruoli utente rapide e semplici con escalation temporanea dei privilegi, vale sicuramente la pena provare il plug-in iThemes Security.

Puoi anche utilizzare il plug-in per risparmiare molto tempo che dedichi alla protezione del tuo sito Web con i gruppi di utenti. Per semplificare la gestione della sicurezza degli utenti sul tuo sito, iThemes Security Pro ordina tutti i tuoi utenti in gruppi diversi. Per impostazione predefinita, i tuoi utenti verranno raggruppati in base ai loro ruoli utente e capacità di WordPress. L'ordinamento per ruolo utente di WordPress consente di combinare facilmente WordPress e ruoli utente personalizzati nello stesso gruppo.

Ad esempio, se stai eseguendo un sito WooCommerce, gli amministratori del tuo sito e i responsabili del negozio saranno nel gruppo utenti amministratori e i tuoi abbonati e clienti saranno nel gruppo utenti abbonati.

Nelle impostazioni dei gruppi di utenti, vedrai tutti i tuoi gruppi di utenti e tutte le impostazioni di sicurezza abilitate per ciascun gruppo e attiverai e disattiverai rapidamente le impostazioni. User Group ti dà la sicurezza di applicare il giusto livello di sicurezza ai giusti ruoli utente di WordPress.

Come personalizzare i ruoli utente e le autorizzazioni di WordPress

Oltre ai ruoli utente di cui abbiamo già discusso, puoi aggiungere più ruoli utilizzando plugin progettati per consentirti di creare ruoli utente personalizzati per WordPress. Ecco alcuni plugin e strumenti da verificare.

iThemes Sync Client Dashboard

iThemes Sync è uno strumento che ti aiuta a gestire più siti WordPress. Con Sync, hai una dashboard per eseguire attività di amministrazione di WordPress per tutti i tuoi siti Web WordPress. La sincronizzazione è particolarmente utile se crei o gestisci siti Web per i clienti come un'agenzia di web design, un'agenzia di marketing o un libero professionista.

La funzione iThemes Sync Client Dashboard è stata creata per personalizzare il modo in cui un utente vede la dashboard di amministrazione di WordPress, che è un modo per personalizzare i ruoli utente e le autorizzazioni di WordPress.

Ad esempio, se disponi di un client che desideri nominare amministratore, ma non desideri visualizzare determinate aree del sito come temi o plug-in, puoi eseguire questa attività con Client Dashboard.

La dashboard del cliente può essere attivata per utente, quindi puoi selezionare le voci del menu della dashboard di WordPress per consentire a quell'utente di vedere. Abbastanza bello, vero?

Editor ruoli utente

Se desideri personalizzare i tuoi ruoli utente standard in WordPress, l'editor dei ruoli utente è un buon plugin da esaminare. L'editor dei ruoli utente ti consentirà di creare i tuoi ruoli, permessi e capacità utente.

Puoi anche usarlo per cambiare o rinominare i ruoli o eliminarli del tutto. Il plugin ha una versione gratuita e una a pagamento.

Gestione avanzata degli accessi

Sia che tu stia gestendo un enorme negozio WooCommerce sul tuo sito o che gestisca un blog WordPress standard, potresti cercare un controllo aggiuntivo sulla gestione dell'accesso ai tuoi contenuti.

User Access Manager potrebbe essere il plugin per aiutarti. Advanced Access Manager può essere utilizzato per configurare un'area riservata ai membri del tuo sito, utilizzando ruoli utente e autorizzazioni. Ti assiste anche nella gestione degli utenti nelle sezioni private del tuo sito.

Yoast SEO

Se il tuo team è concentrato sul miglioramento della SEO (ottimizzazione per i motori di ricerca) dei tuoi contenuti, il plug-in Yoast SEO è un ottimo punto di partenza.

Questo plugin ti permette di creare due ruoli utente non standard:

• Editor SEO
• Responsabile SEO

Perché questi due nuovi ruoli utente sono vantaggiosi per te come proprietario di un sito WordPress?

Assegnando ruoli all'interno di Yoast SEO, consentirai al tuo team di svolgere lavori relativi alla SEO senza dover monitorare manualmente i risultati o chiederti di apportare modifiche al sito ogni volta che è necessario.

Come dice il blog di Yoast:

“Due nuovi ruoli, l'editor SEO e il gestore SEO, rappresentano una soluzione molto più flessibile quando si lavora con più persone sul tuo sito. L'amministratore può determinare chi può vedere e fare cosa, mentre gli utenti ottengono gli strumenti di cui hanno bisogno per svolgere il proprio lavoro".

Il plugin Yoast SEO è un altro strumento che mette i ruoli utente e le autorizzazioni di WordPress in prima linea nell'efficienza amministrativa.

Riepilogo: Comprensione dei ruoli utente e dei permessi in WordPress

Per ricapitolare: i primi tre ruoli utente di gestione in un'installazione di WordPress hanno aree del sito progettate specificamente per quella posizione. I super amministratori e amministratori controllano la dashboard, i file principali e il sito stesso. Mentre gli editor controllano il gestore dei contenuti e altri contenuti. Gli autori e i collaboratori controllano solo il loro contenuto e nessun altro. Gli abbonati possono accedere solo ai contenuti e ai permessi concessi al ruolo dalle posizioni dirigenziali.

Dopo aver studiato le informazioni in questo articolo, ora hai una comprensione molto più profonda dei ruoli e delle autorizzazioni degli utenti nella piattaforma WordPress. Come puoi vedere, i ruoli che assegni a ciascuno dei tuoi utenti giocano un ruolo importante nell'efficienza con cui gestisci il tuo sito web.

Ma non importa quanto stai attento nell'assicurarti che tutti i ruoli utente siano assegnati alle persone migliori, a volte si verificheranno degli errori. Ad esempio, quando il nuovo dipendente che hai appena assegnato come amministratore causa l'arresto anomalo del tuo sito durante l'attivazione di un plug-in nuovo e non testato, un plug-in di backup di WordPress come BackupBuddy sarà un vero e proprio salvavita. Assicurati di aver installato e attivato il plug-in di backup prima che si verifichi un disastro come questo.

Come con altre aree di WordPress, assegnare correttamente ruoli utente e autorizzazioni richiederà un po' di tentativi ed errori. Ma con le informazioni che hai appena appreso, prenderai decisioni più informate.

Kristen Wright

Kristen scrive tutorial per aiutare gli utenti di WordPress dal 2011. Di solito puoi trovarla mentre lavora su nuovi articoli per il blog iThemes o sviluppa risorse per #WPprosper. Al di fuori del lavoro, a Kristen piace scrivere nel diario (ha scritto due libri!), fare escursioni e campeggiare, cucinare e avventure quotidiane con la sua famiglia, sperando di vivere una vita più presente.