Funções e permissões do usuário do WordPress: o guia essencial
Publicados: 2022-04-05As funções e permissões de usuário do WordPress oferecem controles e privilégios de acesso ao seu site WordPress. De Super Admin a Subscriber, todo usuário do WordPress que faz login no seu site tem um conjunto específico de permissões ou recursos atribuídos.
Mas você está familiarizado com as funções de usuário do WordPress, o que cada uma delas significa e por que é tão importante que você use cada uma delas da maneira correta? Se você ainda não tem uma compreensão completa das funções do usuário na plataforma WordPress, você não está sozinho. Muitos proprietários de sites WordPress não aproveitam ao máximo o poder das funções e permissões de usuário do WordPress ao gerenciar seus sites.
Neste guia, abordaremos tudo o que você precisa saber para entender as funções e permissões do usuário do WordPress. Vamos dar uma olhada mais profunda.
Quais são as funções de usuário do WordPress?
As funções de usuário do WordPress definem o nível de acesso e os recursos que um usuário pode utilizar para fazer login, visualizar, editar ou gerenciar um site WordPress.Um recurso é uma função específica ou um conjunto de ações que um usuário tem permissão para concluir. Cada função de usuário do WordPress é claramente definida, portanto, não há mal-entendidos sobre as coisas que cada função de usuário pode acessar e as tarefas que podem executar.
No WordPress, você verá que existem seis funções de usuário do WordPress que você pode selecionar para cada novo usuário adicionado ao seu site. A função de usuário que você escolhe para cada usuário individual depende do nível de permissão e acesso que você deseja que eles tenham em seu site.
Por exemplo, uma função de usuário do WordPress define recursos como:
- Quem pode gerenciar comentários
- Quem pode escrever postagens no blog
- Quem pode adicionar páginas
- Quem pode instalar ou atualizar plugins ou temas
- Quem tem permissão para adicionar novos usuários
- Quais membros da equipe podem excluir spam
Embora você possa ter ignorado as funções e permissões do usuário do WordPress até agora, a verdade é que entender cada função é essencial, não importa se você está encarregado de um site corporativo, revista de notícias ou administra um blog pessoal.
As 6 funções de usuário do WordPress
As seis principais funções de usuário do WordPress disponíveis no WordPress são:
- Super administrador (para redes multisite WordPress)
- Administrador
- editor
- Autor
- Contribuinte
- Assinante
Ao adicionar um novo usuário no WordPress, você verá as opções de função listadas em um menu suspenso.
Antes de prosseguirmos, vamos analisar cada um deles em detalhes.
1. Superadministrador
Esta função de Super Administrador no WordPress é reservada para redes multisite do WordPress. Os indivíduos atribuídos como superadministrador têm responsabilidade total por todos os sites da rede e podem gerenciar todos os recursos do site em cada site.Os superadministradores têm o poder de excluir outros usuários (até mesmo administradores), portanto, é importante atribuir essa função apenas a membros da equipe em quem você realmente confia. Um superadministrador pode impactar (negativa ou positivamente) muitas partes do seu negócio, incluindo sua rede e os outros usuários que administram seu site.
Um WordPress Super Admin também pode criar novos sites, gerenciar temas e plugins na rede multisite, adicionar, gerenciar ou excluir conteúdo em todos os sites. O Super Administrador controla a rede com todas as configurações e problemas de segurança. O primeiro usuário que configura a rede multisite é o Super Admin padrão.
Apenas observe que as redes multisite do WordPress são uma das formas mais avançadas de usar o WordPress como um sistema de gerenciamento de conteúdo. Se você não tiver uma rede multissite, não precisará usar a função de superadministrador para nenhum de seus usuários.
Dicas sobre a função do usuário superadministrador do WordPress
- Em uma rede multisite do WordPress, mantenha a organização de suas funções de usuário simples. Um único usuário com apenas alguns sites precisa apenas do Super Admin padrão. À medida que a organização cresce, crie funções de usuário significativas para os funcionários.
- Existem muitas maneiras de configurar uma rede multisite do WordPress e seus usuários. Se você for uma agência ou freelancer com vários sites, atribua a cada cliente a função de Administrador ou Editor para um site específico.
- Concentre-se nas verificações de segurança do usuário do WordPress desde o primeiro login. O WordPress é o alvo favorito de hackers experientes, e a sofisticação está crescendo no mundo dos ataques de malware e vírus. A impressão digital do navegador também é uma ameaça crescente à privacidade.
- Controle as configurações de toda a rede com cuidado. Planeje os novos registros de usuários e receba e-mails com cuidado.
2. Administrador
Em uma única instalação do WordPress, a função de usuário Administrador tem acesso total a todos os recursos do site. Para a maioria dos proprietários de sites, a função de administrador do WordPress é a função de usuário mais significativa no WordPress.A função de administrador do site quase sempre é atribuída ao proprietário do site e/ou ao desenvolvedor principal e tem acesso a todos os recursos, configurações e opções do WordPress. Para todos os efeitos, o Administrador é o Rei e Chefe do seu site WordPress. É por isso que ter um bom controle sobre as responsabilidades de ser um administrador do WordPress é uma boa ideia.
A função de administrador do WordPress tem acesso total para adicionar e editar postagens e páginas, alterar ou atualizar as configurações do site, adicionar e instalar temas e plugins e muito mais.
A função de administrador do WordPress também pode atualizar o WordPress junto com quaisquer plugins e temas instalados no site. O processo de atualização do WordPress é uma área que precisa ser abordada com cautela; um único erro pode derrubar o site.
O Administrador também é responsável por atribuir funções de usuário e permissões a outros usuários. A função de usuário Administrador pode modificar usuários e suas permissões, outra função a ser tratada com cuidado.
Recursos do administrador explicados
- Todo o site: atualize os arquivos principais do WordPress, gerencie todas as configurações, gerencie o código HTML e JavaScript para todos os usuários
- Plugins: instale, edite e exclua
- Temas: instalar e alternar, editar widgets e menus, acessar o personalizador
- Usuários: criar, editar e remover
- Posts e Páginas: adicione novos, publique, gerencie taxonomias
Dicas para usuários administradores
- Limite o número de usuários com a função de usuário Administrador. Idealmente, deve haver apenas um usuário que controle a instalação do WordPress.
- Sua segurança do WordPress começa e termina com a função de usuário Administrador do WordPress. Como os administradores do WordPress têm acesso total a todas as coisas no site, um administrador do WordPress precisa de um login WordPress muito seguro. Isso significa usar uma senha forte, autenticação de dois fatores ou até mesmo um recurso de login sem senha fornecido por um plug-in de segurança do WordPress como o iThemes Security Pro.
- Os administradores do WordPress devem manter os arquivos principais do WordPress atualizados e seguros. Os administradores também são responsáveis por manter plugins e temas atualizados, uma parte importante da manutenção bem-sucedida do WordPress.
3. Editor
A função de usuário Editor no WordPress é responsável por gerenciar e criar conteúdo para seu site WordPress. Um Editor pode criar, excluir e editar qualquer conteúdo do site, incluindo conteúdo produzido por outros usuários com permissões iguais ou inferiores a Editor.Os usuários editores gerenciam todas as edições do site e aprovam/agendam o conteúdo enviado por Colaboradores e Autores. No entanto, um Editor não tem acesso a coisas como plugins, widgets, configurações do WordPress ou adicionar ou remover usuários.
O trabalho de um editor envolve uma coisa importante: conteúdo. E isso é tudo que eles poderão acessar no painel do WordPress. Os editores também podem gerenciar categorias no site junto com a adição ou exclusão de tags personalizadas. Taxonomias e upload de arquivos para o site são outra responsabilidade do papel do Editor. Os editores também têm controle total dos comentários. Eles podem moderar, aprovar ou excluir qualquer comentário.
Quem deve ter a função de usuário do editor?
O papel do Editor deve ir para alguém de confiança do Administrador. As funções podem ser ajustadas em todo o WordPress; se necessário, as permissões da função Editor podem ser reduzidas ou alteradas à medida que a confiança é adquirida.
- O gerente de uma equipe de conteúdo ou publicação online
- Gerentes de marketing responsáveis pelo conteúdo
- Os proprietários de pequenas empresas podem usar os dois chapéus (função de usuário Administrador e Editor)
Editor vs. Autor
Novos usuários podem ver os editores e autores do WordPress da mesma forma. De muitas maneiras, eles são, no entanto, existem diferenças.
- Páginas: os editores têm acesso a todas as páginas com permissão para adicionar, editar ou excluir. Os autores não têm esse acesso
- Conteúdo: Os editores têm acesso a todo o conteúdo do site. Em uma rede multisite, apenas as permissões atribuídas à função Editor. Os editores podem excluir ou editar todo o conteúdo. Os autores têm acesso para editar ou excluir, apenas o conteúdo que produziram
4. Autor
Como você provavelmente suspeitou, a função de usuário Autor no WordPress tem a capacidade de escrever, redigir e publicar novos conteúdos em seu site. Eles também têm acesso ao conteúdo da sua biblioteca de mídia do WordPress. Eles precisarão desse nível de acesso para produzir ótimas postagens no blog.A função de usuário Autor é normalmente atribuída a novos associados que você contrata para se concentrar em divulgar um ótimo conteúdo. Os autores têm um conjunto limitado de permissões em uma instalação do WordPress. A função pode adicionar, editar ou excluir seu conteúdo, mas não tem acesso a outros conteúdos ou configurações do site. As funções de autor podem ser tão extensas ou limitadas quanto o Editor ou Administrador permitir. Os autores têm permissão para fazer upload de conteúdo e imagens.
A função Autor também tem o poder de editar comentários de leitores. No entanto, eles só podem editar comentários deixados em suas postagens.
Os autores não poderão acessar postagens ou páginas criadas por outros usuários. Eles também não podem adicionar plug-ins, criar novas categorias, alterar as configurações do site ou fazer qualquer outra coisa que afete o desempenho do site.
Quem deve ter a função de usuário autor?
- Organizações que possuem equipes dedicadas de criação de conteúdo ou marketing, como repórteres, relações públicas, porta-vozes da empresa
- Qualquer empresa que distribua informações, como um canal de notícias ou empresas esportivas, deve atribuir aos repórteres o papel de autor. Permissões adicionais podem ser concedidas conforme necessário
Uma nota de cautela para o papel do autor
- Seja cauteloso ao atribuir a função de usuário de Autor a alguém que não seja seu empregado ou não seja confiável. Se eles criaram muito conteúdo e depois saírem da empresa, o Autor pode excluir todo o conteúdo.
- É sempre uma prática recomendada excluir QUALQUER função de usuário de autor ao sair do site e reatribuir o conteúdo a outro autor. Se um usuário estiver saindo com planos de retornar, altere a senha imediatamente e retire todas as permissões concedidas. Restabeleça a função quando o usuário retornar.
5. Contribuinte
A função de usuário Colaborador pode escrever postagens ou artigos de blog, mas não pode publicá-los. Quando eles concluem um rascunho, ele vai para a seção de rascunho para um administrador ou editor revisar antes de publicar.A função de usuário Contribuidor tem muito poucas permissões em uma instalação do WordPress. A permissão padrão é a capacidade de enviar conteúdo para revisão. Os colaboradores não podem publicar o conteúdo ou fazer upload de imagens associadas. Apenas um Editor ou Administrador pode publicar o conteúdo. Depois que o conteúdo for publicado, um Colaborador não terá mais acesso a esse conteúdo.
Os colaboradores enviam seu conteúdo a um administrador ou editor para revisão. Aqui está uma visão geral do processo de envio e aprovação da postagem:
- Os colaboradores escrevem seu conteúdo no Editor do WordPress e, quando concluídos, clicam no botão “Enviar para revisão”
- Editores ou um administrador fazem login no WordPress e localizam a postagem de aprovações pendentes
- O post é editado para eventuais erros gramaticais e as imagens devem ser inseridas nesta fase. O administrador ou editor clica no botão “Publicar”.
- Quaisquer edições ou alterações futuras precisam ser feitas pelo Administrador ou Editor porque o Colaborador original não tem mais acesso à postagem.
Um Colaborador também não terá acesso à biblioteca de mídia do WordPress. A adição de fotos, imagens ou vídeos a um artigo enviado por um Colaborador ficará a cargo de um Administrador ou Editor.
Essas permissões atribuídas como Colaborador também não podem excluir, alterar ou aprovar comentários de usuários.
Quem deve ter a função de usuário colaborador?
Você tem membros da comunidade que contribuem com artigos e conteúdo para o seu site? Você permite postagens de convidados? Nesse caso, Colaborador é a função que você atribuiria a eles.
- Escritores fora da organização que podem contribuir para o blog
- Os redatores de conteúdo de nível básico que precisam de edição pesada devem ser colaboradores
Colaborador vs. Autor
- Publicando conteúdo: os autores têm permissão para publicar e editar seu conteúdo e nenhum outro. Os colaboradores só podem enviar suas postagens para revisão. Uma vez que o conteúdo de um Colaborador é publicado, apenas o Administrador ou Editor pode editar a peça
- Mídia e imagens: Os colaboradores não têm acesso a imagens ou mídia. Os autores podem fazer upload e editar suas mídias
6. Assinante
A função de usuário Assinante é a função de usuário mais básica que você pode atribuir a alguém em seu site WordPress. Na verdade, o WordPress usa essa função como padrão para todos os novos usuários do site.
Você pode pensar no papel de Assinante de maneira semelhante a um de seus seguidores de mídia social. Basicamente, um Assinante segue seu blog e quer fazer parte dele.
Capacidades do Assinante
Existem duas permissões principais para a função de Assinante do WordPress. Eles podem visualizar seu perfil e visualizar o painel. Os assinantes não têm permissão para editar conteúdo ou qualquer configuração do site WordPress.
Dependendo da funcionalidade geral do seu site, um Assinante pode interagir com outros usuários e Assinantes, mas eles não têm acesso ao painel do WordPress ou às ferramentas de edição.
Os assinantes podem ser usados como uma ferramenta de acesso inclusivo ou de nível básico para fins de marketing. Por padrão, os Assinantes não têm acesso a nenhuma configuração ou conteúdo do site, tornando a função inerentemente segura.
Quem deve ter a função de usuário do assinante?
Como ferramenta de marketing, a função de Assinante é um ponto de entrada perfeito para o seu site. Os assinantes têm o papel mais restritivo; no entanto, dá à pessoa um perfil, que é tudo o que uma pessoa precisa para se sentir incluída.
Gráfico de comparação de funções de usuário do WordPress
Abaixo está um gráfico de comparação de funções de usuário do WordPress e seus recursos.
| Capacidade | Superadministrador (na configuração de vários sites) | Administrador | editor | Autor | Contribuinte | Assinante |
|---|---|---|---|---|---|---|
| Criar sites | S | N | N | N | N | N |
| Excluir sites | S | N | N | N | N | N |
| Gerenciar rede | S | N | N | N | N | N |
| Gerenciar sites | S | N | N | N | N | N |
| Gerenciar usuários da rede | S | N | N | N | N | N |
| Gerenciar plug-ins de rede | S | N | N | N | N | N |
| Gerenciar temas de rede | S | N | N | N | N | N |
| Gerenciar opções de rede | S | N | N | N | N | N |
| Carregar plug-ins | S | Y (local único) | N | N | N | N |
| Carregar temas | S | Y (local único) | N | N | N | N |
| Atualizar rede | S | N | N | N | N | N |
| Configurar rede | S | N | N | N | N | N |
| Ativar plug-ins | S | Y (local único ou ativado por configuração de rede) | N | N | N | N |
| Criar usuários | S | Y (local único) | N | N | N | N |
| Excluir plug-ins | S | Y (local único) | N | N | N | N |
| Excluir temas | S | Y (local único) | N | N | N | N |
| Excluir usuários | S | Y (local único) | N | N | N | N |
| Editar arquivos | S | Y (local único) | N | N | N | N |
| Editar plug-ins | S | Y (local único) | N | N | N | N |
| Editar opções de tema | S | S | N | N | N | N |
| Editar temas | S | Y (local único) | N | N | N | N |
| Editar usuários | S | Y (local único) | N | N | N | N |
| Exportar | S | S | N | N | N | N |
| Importar | S | S | N | N | N | N |
| Instalar plug-ins | S | Y (local único) | N | N | N | N |
| Instalar temas | S | Y (local único) | N | N | N | N |
| Listar usuários | S | S | N | N | N | N |
| Gerenciar opções | S | S | N | N | N | N |
| Promover usuários | S | S | N | N | N | N |
| Remover usuários | S | S | N | N | N | N |
| Alternar temas | S | S | N | N | N | N |
| Atualizar núcleo | S | Y (local único) | N | N | N | N |
| Atualizar plug-ins | S | Y (local único) | N | N | N | N |
| Atualizar temas | S | Y (local único) | N | N | N | N |
| Editar painel | S | S | N | N | N | N |
| Customizar | S | S | N | N | N | N |
| Excluir site | S | S | N | N | N | N |
| Comentários moderados | S | S | S | N | N | N |
| Gerenciar categorias | S | S | S | N | N | N |
| Gerenciar links | S | S | S | N | N | N |
| Editar outras postagens | S | S | S | N | N | N |
| Editar páginas | S | S | S | N | N | N |
| Editar outras páginas | S | S | S | N | N | N |
| Editar páginas publicadas | S | S | S | N | N | N |
| Publicar páginas | S | S | S | N | N | N |
| Excluir páginas | S | S | S | N | N | N |
| Excluir outras páginas | S | S | S | N | N | N |
| Excluir páginas publicadas | S | S | S | N | N | N |
| Excluir outras postagens | S | S | S | N | N | N |
| Excluir postagens privadas | S | S | S | N | N | N |
| Editar postagens privadas | S | S | S | N | N | N |
| Ler mensagens privadas | S | S | S | N | N | N |
| Excluir páginas privadas | S | S | S | N | N | N |
| Editar páginas privadas | S | S | S | N | N | N |
| Ler páginas privadas | S | S | S | N | N | N |
| Editar postagens publicadas | S | S | S | S | N | N |
| Carregar arquivos para a biblioteca de mídia | S | S | S | S | N | N |
| Publicar postagens | S | S | S | S | N | N |
| Excluir postagens publicadas | S | S | S | Y (se autor) | N (se autor) | N |
| Editar postagens | S | S | S | Y (se autor) | Y (se autor) | N |
| Excluir postagens | S | S | S | Y (se autor) | Y (se autor) | N |
| Ler páginas e postagens | S | S | S | S | S | S |
Como faço para adicionar um novo usuário no WordPress?
Adicionar um novo usuário no WordPress requer que você seja um usuário Admin. A partir daí, adicionar um novo usuário no WordPress é um processo bastante simples. É aqui que você atribuirá inicialmente ao usuário uma função e permissões.
É claro que, como Administrador, você sempre pode alterar a função do usuário posteriormente, se melhor atender às suas necessidades. Mais sobre isso em um minuto.
As etapas para adicionar um novo usuário ao seu site WordPress são as seguintes:
1. Faça login no painel de administração do WordPress (https://examplesite.com/wp-admin).
2. No menu do painel de administração do WordPress, clique no item de menu Usuários e, em seguida, clique em Adicionar novo.
3. Insira o nome do novo usuário, endereço de e-mail, nome e sobrenome e site.
4. Selecione a função do usuário conforme definido acima.
5. Clique na caixa de seleção ao lado de "enviar ao novo usuário um e-mail sobre sua conta".
6. Clique no botão Adicionar novo usuário e o novo usuário será adicionado.
Repita essas etapas para cada novo usuário, prestando muita atenção às funções e permissões de usuário que você atribui a cada um.
Dicas para adicionar novos usuários do WordPress
As funções de autor, colaborador e assinante são diretas em sua criação e permissões. Os cargos de superadministrador, administrador e editor podem ser uma grande área de força para a organização, se cuidadosamente considerados e planejados.
- Instalações em vários sites devem ter um superadministrador, independentemente do número de sites adicionais. Se houver algum problema de segurança, usuário ou arquivo principal, os superadministradores serão responsáveis. A segurança deve estar na mente de todas as pessoas envolvidas com um site. O WordPress é excepcional na maneira como atualiza os arquivos principais e a segurança; no entanto, ter vários Super Admins pode causar estragos.
- Designe um único Administrador ou Editor para cada site adicional em uma rede multisite. Se houver centenas de sites virtuais, dê aos administradores ou editores mais de um site para gerenciar.
- Desenvolvedores web freelancers que vendem sites ou agências devem dar deveres de Administrador a cada proprietário de site, mas proíbem estritamente o acesso a qualquer configuração de rede.
Como faço para encontrar funções de usuário no WordPress?
Para usuários existentes, você pode querer examinar as funções de usuário que estão atribuídas no momento. Afinal, algumas dessas funções podem ter sido atribuídas antes de você ter uma compreensão completa das funções e permissões do usuário do WordPress.
Agora é a hora de verificar suas funções de usuário atualmente atribuídas.
Para isso, basta seguir estes passos:
1. Faça login no painel de administração do WordPress.
2. No painel de administração do WordPress, clique na seção Usuários e clique em Todos os usuários.
4. Visualize a lista de todos os seus usuários atuais.
5. Ao lado da coluna Email, você verá Função. Esta é a função de usuário atribuída a cada usuário do site.
Agora que você conhece a função atribuída a cada usuário, talvez queira fazer alguns ajustes de atribuição.
Como faço para alterar as funções do usuário no WordPress?
Uma mudança de função de usuário do WordPress é imediata e o usuário será notificado por e-mail sobre sua nova função em seu site.
Para alterar uma função de usuário do WordPress, siga as etapas de 1 a 4 acima. Depois de visualizar a lista de todos os usuários do seu site, você desejará:
1. Passe o mouse sobre o nome do usuário que deseja atualizar. Ao passar o mouse sobre o usuário selecionado, você verá as opções de edição apresentadas a você.
2. Após clicar para editar, você poderá alterar campos como nome, e-mail e site. No entanto, você não pode alterar um nome de usuário aqui.
3. Na parte inferior do perfil do usuário, você verá um menu suspenso que permite alterar/selecionar a função do usuário.
4. Escolha a nova função de usuário.
5. Salve o perfil do usuário.
As alterações de função e permissão são implementadas pelo WordPress no instante em que você as salva.
Como faço para excluir um usuário existente?
Provavelmente haverá momentos em que um usuário precisará ser removido completamente do seu site.
Talvez você tenha contratado um editor freelance temporário para fornecer serviços de edição para o seu site ao longo de dois meses. Quando o período de dois meses expirar e o contrato terminar, você não quer mais que o freelancer tenha acesso ao seu site.
Para excluir este usuário e remover todas as permissões dele para seu site, siga as etapas 1 a 4 listadas acima para encontrar um usuário.
Depois de localizar o usuário que será excluído, passe o mouse sobre o nome dele e clique na opção excluir.
Depois de confirmar a exclusão, o usuário será notificado por e-mail de que foi removido do seu site. Eles não terão mais credenciais para fazer login.
É importante observar que você não pode excluir a si mesmo ou a outros administradores (a menos que seja um superadministrador em uma conta de vários sites).
Como faço para gerenciar funções de usuário no WordPress?
A maneira como você escolhe gerenciar as funções e permissões do usuário em seu site WordPress é totalmente sua. Afinal, quem conhece as habilidades e limitações dos membros de sua equipe tão bem quanto você?
Antes de escolher as funções apropriadas para cada usuário em seu site, dê um passo para trás e faça uma série de perguntas sobre elas.
- O usuário pode ser confiável para gerenciar totalmente seu painel do WordPress?
- Você confia no usuário para organizar adequadamente o conteúdo do seu site?
- Você precisa revisar as postagens do usuário antes de serem publicadas? Ou você confia no julgamento deles?
- O usuário deve ter a capacidade de editar e publicar postagens de outros usuários?
Antes de atribuir um novo usuário à função de Administrador, é importante que ele tenha uma compreensão completa da plataforma WordPress.
Segurança do usuário do WordPress
A segurança dos usuários do seu site é importante. Muito! Por quê? Um único usuário Admin com uma senha fraca pode prejudicar todas as outras medidas de segurança do site que você implementou. É por isso que é tão importante auditar a força da segurança usada pelos usuários Administrador e Editor em seu site.
A verificação de segurança do usuário do plug-in iThemes Security Pro permite auditar e modificar rapidamente 5 elementos críticos da segurança do usuário:
- Status de autenticação de dois fatores
- Idade e força da senha
- Última vez ativo
- Sessões ativas do WordPress
- Papel do usuário
Além disso, o plug-in iThemes Security Pro possui várias ferramentas que você pode usar para aumentar a segurança do usuário do WordPress em seu site. Os recursos de autenticação de dois fatores e requisitos de senha sozinhos protegem seus usuários do WordPress de 100% dos ataques de bot automatizados.
No entanto, essas duas ferramentas de segurança do usuário só são eficazes se os usuários do seu site realmente as estiverem usando.
7 dicas para proteger seus usuários do WordPress
Vamos dar uma olhada nas coisas que você pode fazer para proteger seus usuários do WordPress. A verdade é que esses métodos de segurança ajudarão a proteger todo tipo de usuário do WordPress. Mas, à medida que passamos por cada um dos métodos, informaremos quais usuários você deve exigir para usar o método.
1. Dê às pessoas apenas as capacidades de que elas precisam
A maneira mais fácil de proteger seu site é fornecer apenas aos usuários os recursos de que eles precisam e nada mais. Se a única coisa que alguém vai fazer em seu site é criar e editar suas próprias postagens de blog, eles não precisam da capacidade de editar as postagens de outras pessoas.
2. Limite as tentativas de login
Ataques de força bruta referem-se a um método de tentativa e erro usado para descobrir combinações de nome de usuário e senha para invadir um site. Por padrão, não há nada embutido no WordPress para limitar o número de tentativas de login com falha que alguém pode fazer.
Sem um limite no número de tentativas de login com falha que um invasor pode fazer, ele pode continuar tentando um número infinito de nomes de usuário e senhas até obter sucesso.
O recurso de proteção de força bruta local do iThemes Security Pro mantém rastros de tentativas de login inválidas feitas por endereços IP e nomes de usuários. Uma vez que um IP ou nome de usuário tenha feito muitas tentativas consecutivas de login inválidos, eles serão bloqueados e serão impedidos de fazer mais tentativas de login.
3. Proteja os usuários do WordPress com senhas fortes
Quanto mais forte for a senha da sua conta de usuário do WordPress, mais difícil será adivinhar. Leva 0,29 milissegundos para quebrar uma senha de sete caracteres. Mas, um hacker precisa de dois séculos para quebrar uma senha de doze caracteres!
Idealmente, uma senha forte é uma cadeia alfanumérica de doze caracteres. A senha deve conter letras maiúsculas e minúsculas, bem como outros caracteres ASCII.
Embora todos possam se beneficiar do uso de uma senha forte, talvez você queira apenas forçar as pessoas com recursos de nível de autor e acima a terem senhas fortes.
O recurso Requisito de Senhas do iThemes Security Pro permite que você force usuários específicos a usar uma senha forte.
4. Recuse senhas comprometidas
Os hackers costumam usar uma forma de ataque de força bruta chamada ataque de dicionário. Um ataque de dicionário é um método de invadir um site WordPress com senhas comumente usadas que apareceram em despejos de banco de dados. A “Coleção #1? A violação de dados hospedada no MEGA incluiu 1.160.253.228 combinações exclusivas de endereços de e-mail e senhas. Isso é bilhões com um b. Esse tipo de pontuação realmente ajudará um ataque de dicionário a restringir as senhas mais usadas do WordPress.
É uma obrigação evitar que usuários com recursos de nível de autor e acima usem senhas comprometidas. Você também pode pensar em não permitir que seus usuários de nível inferior usem senhas comprometidas.
É completamente compreensível e incentivado tornar a criação de uma nova conta de cliente o mais fácil possível. No entanto, seu cliente pode não saber que a senha que está usando foi encontrada em um despejo de dados. Você estaria prestando um ótimo serviço ao seu cliente alertando-o para o fato de que a senha que ele está usando foi comprometida. Se eles estiverem usando essa senha em todos os lugares, você poderá salvá-los de algumas grandes dores de cabeça no futuro.
O recurso Recusar senhas comprometidas do iThemes Security Pro força os usuários a usar senhas que não apareceram em nenhuma violação de senha rastreada pelo Have I Been Pwned.
5. Proteja os usuários do WordPress com autenticação de dois fatores
A autenticação de dois fatores é um processo de verificação da identidade de uma pessoa, exigindo dois métodos separados de verificação antes que ela possa fazer login. O Google compartilhou em seu blog que o uso de autenticação de dois fatores pode impedir 100% dos ataques automatizados de bots. Eu realmente gosto dessas probabilidades.
No mínimo, você deve exigir que seus administradores e editores usem autenticação de dois fatores.
O recurso de autenticação de dois fatores do iThemes Security Pro oferece muita flexibilidade ao implementar o 2fa em seu site. Você pode habilitar dois fatores para todos ou alguns de seus usuários e pode forçar seus usuários de alto nível a usar 2fa em cada login.
6. Limite o acesso do dispositivo ao painel WP
Limitar o acesso ao painel do WordPress a um conjunto de dispositivos pode adicionar uma forte camada de segurança ao seu site. Se um hacker não estiver no dispositivo correto para um usuário, ele não poderá usar o usuário comprometido para causar danos ao seu site.
Você só deve limitar o acesso do dispositivo aos seus administradores e editores.
O recurso Dispositivos confiáveis do iThemes Security Pro identifica os dispositivos que você e outros usuários usam para fazer login no seu site WordPress. Quando um usuário faz login em um dispositivo não reconhecido, os Dispositivos confiáveis podem restringir seus recursos de nível de administrador. Isso significa que, se um invasor conseguir invadir o back-end do seu site WordPress, ele não poderá fazer alterações maliciosas em seu site.
7. Proteja os usuários do WordPress contra o seqüestro de sessão
O WordPress gera um cookie de sessão toda vez que você faz login em seu site. E digamos que você tenha uma extensão de navegador que foi abandonada pelo desenvolvedor e não está mais lançando atualizações de segurança. Infelizmente para você, a extensão do navegador negligenciada tem uma vulnerabilidade. A vulnerabilidade permite que atores mal-intencionados sequestrem os cookies do seu navegador, incluindo o cookie de sessão do WordPress mencionado anteriormente. Este tipo de hack é conhecido como Session Hijacking . Assim, um invasor pode explorar a vulnerabilidade da extensão para pegar carona no seu login e começar a fazer alterações maliciosas com seu usuário do WordPress.
Você deve ter proteção contra seqüestro de sessão para seus administradores e editores.
O recurso Dispositivos confiáveis do iThemes Security Pro torna o Sequestro de Sessão uma coisa do passado. Se o dispositivo de um usuário for alterado durante uma sessão, o iThemes Security desconectará automaticamente o usuário para evitar qualquer atividade não autorizada na conta do usuário, como alterar o endereço de e-mail do usuário ou carregar plugins maliciosos.
Plugins de função de usuário do WordPress
Ao mergulhar nos plugins de funções de usuário do WordPress, você descobrirá que muitos dos plugins mais populares utilizam e gerenciam funções e permissões de usuários fora das seis principais funções que discutimos.
Existem plugins que permitem criar e atribuir funções e grupos de usuários personalizados. Os plugins que abordaremos aqui são:
- bbPress
- BuddyPress
- WooCommerce
- Restringir conteúdo
- Segurança iThemes
Cada um deles trabalha com funções de usuário personalizáveis de maneiras diferentes.
bbPress
O plugin bbPress é um fórum de discussão do WordPress que requer funções de usuário exclusivas fora das seis principais oferecidas no WordPress.
A primeira função de usuário incorporada ao plugin bbPress, Keymaster, fica no topo da montanha. Keymasters são semelhantes à função Administrador no WordPress. Eles têm acesso a todas as ferramentas e configurações, podendo editar, criar ou excluir os fóruns, tópicos, comentários e respostas de outros usuários. O Keymaster também é um moderador do fórum e gerencia todas as tags.
O bbPress oferece então a função de Moderador. Esta função é responsável por criar, editar, excluir e moderar fóruns. Eles também têm controle total sobre os tópicos e respostas dos usuários. No entanto, um moderador não tem acesso às configurações do site.
Um participante é um membro da comunidade. Eles podem criar e editar seus tópicos e respostas, mas nada mais.
Os espectadores só podem ler tópicos e respostas. Eles não podem responder ou se envolver de outras maneiras.
Usuários bloqueados são aqueles que você simplesmente não quer mais na comunidade.
O plugin bbPress também permite que você crie suas próprias funções de usuário personalizadas (Pupil e Tutor, por exemplo) adicionando código ao codex. Você poderá atribuir suas próprias permissões personalizadas para cada função que criar. Você também pode alterar os nomes das funções de usuário do bbPress existentes.
BuddyPress
BuddyPress é um plugin da comunidade WordPress que permite que você construa uma rede social dentro do seu próprio site.
Com o plugin BuddyPress, você poderá criar seus próprios grupos privados, públicos e ocultos. Você pode então atribuir funções de usuário para gerenciar seus grupos.
A função de usuário Membro é a função padrão no BuddyPress. Isso é aplicado a qualquer usuário que se inscreva e ingresse em um grupo. Um usuário com uma função de Membro pode enviar e postar conteúdo nos fóruns do grupo. Em alguns casos, eles podem ver outros membros do grupo e enviar convites ou mensagens diretas.
Um moderador do BuddyPress é uma função de usuário atualizada com permissões adicionais, incluindo fechar, editar ou excluir tópicos no fórum. Mas tenha cuidado, porque eles também poderão fazer o mesmo com o conteúdo produzido por outros plugins que você está executando no seu site WordPress.
Assim como na plataforma WordPress e em outros plugins, a função Administrador no BuddyPress tem controle total sobre grupos e configurações. Um Administrador pode alterar as configurações de um grupo, o avatar do grupo e gerenciar os membros do grupo. Ele também pode excluir grupos inteiros.
WooCommerce
WooCommerce é um plugin WordPress altamente popular que ajudará a transformar seu site WordPress em um site de comércio eletrônico robusto.
Ao instalar o WooCommerce em seu site, você terá instantaneamente o poder de começar a listar produtos, postar imagens de produtos, escrever descrições de produtos e receber pedidos online.
Como tal, o WooCommerce oferece duas funções de usuário que estão fora das seis padrão no WordPress. Esses papéis são:
- Cliente: qualquer usuário que se inscreva no seu site WooCommerce ou se registre com você no checkout. Os clientes são muito semelhantes em permissões para assinantes.
- Gerente de loja: é a pessoa que gerencia a loja WooCommerce, mas não possui permissões de administrador. Eles terão automaticamente permissões de Cliente, mas também poderão gerenciar os produtos listados na loja, além de visualizar relatórios de vendas.
Coisas bem diretas.
Restringir conteúdo
O plugin gratuito Restringir conteúdo permite que você configure a restrição de conteúdo com base em níveis de associação personalizados que podem ser aplicados às funções de usuário padrão do WordPress. Isso pode ser útil para controlar quem pode ver o conteúdo em um site WordPress, com base em seu nível de associação e/ou função de usuário do WordPress.
Use Restringir conteúdo como um plug-in de restrição de conteúdo do WordPress para:
- Restrinja o acesso à sua função de usuário baseada no site WordPress. Limite o acesso ao conteúdo completo por meio de uma interface simples nas telas de edição de postagem, página e tipo de postagem personalizada.
- Controle o acesso do usuário ao conteúdo com base na função de usuário do WordPress, níveis de acesso ou níveis de associação.
- Proteja o conteúdo sensível.
- Separe claramente o conteúdo público do conteúdo privado
- Restringir o acesso a páginas inteiras ou seções específicas
- Permita que os usuários se registrem e façam login no frontend do seu site
Segurança iThemes
O iThemes Security é um excelente plugin de segurança do WordPress com mais de 30 maneiras de proteger seu site WordPress, incluindo maneiras de recursos específicos para funções de usuário do WordPress.
Por exemplo, se você estiver procurando por um plug-in que possa fornecer recursos rápidos e fáceis de atualização e downgrade de funções de usuário com escalonamento temporário de privilégios, o plug-in iThemes Security definitivamente vale a pena conferir.
Você também pode usar o plug-in para economizar muito tempo que gasta protegendo seu site com grupos de usuários. Para facilitar o gerenciamento da segurança do usuário em seu site, o iThemes Security Pro classifica todos os seus usuários em diferentes grupos. Por padrão, seus usuários serão agrupados por suas funções e recursos de usuário do WordPress. A classificação por função de usuário do WordPress permite a fácil combinação de funções de usuário do WordPress e personalizadas no mesmo grupo.
Por exemplo, se você estiver executando um site WooCommerce, os administradores do site e os gerentes de loja estarão no grupo de usuários do administrador e seus assinantes e clientes estarão no grupo de usuários do assinante.
Nas configurações de Grupos de usuários, você verá todos os seus grupos de usuários e todas as configurações de segurança que estão habilitadas para cada grupo e ativará e desativará rapidamente as configurações. O grupo de usuários oferece a confiança de que você está aplicando o nível certo de segurança às funções de usuário corretas do WordPress.
Como personalizar as funções e permissões do usuário do WordPress
Além das funções de usuário que já discutimos, você pode adicionar mais funções usando plugins projetados para permitir a criação de funções de usuário personalizadas para o WordPress. Aqui estão alguns plugins e ferramentas para verificar.
Painel do cliente de sincronização do iThemes
iThemes Sync é uma ferramenta para ajudá-lo a gerenciar vários sites WordPress. Com o Sync, você tem um painel para executar tarefas administrativas do WordPress para todos os seus sites WordPress. A sincronização é especialmente útil se você criar ou manter sites para clientes como agência de web design, agência de marketing ou freelancer.
O recurso iThemes Sync Client Dashboard foi criado para personalizar como um usuário vê o painel de administração do WordPress, que é uma maneira de personalizar as funções e permissões do usuário do WordPress.
Por exemplo, se você tem um cliente que deseja tornar um Administrador, mas não quer ver certas áreas do site, como temas ou plugins, você pode realizar essa tarefa com o Painel do Cliente.
O Painel do Cliente pode ser ativado por usuário e, em seguida, você pode selecionar os itens do menu do painel do WordPress para permitir que o usuário veja. Bem legal, certo?
Editor de função do usuário
Se você deseja personalizar suas funções de usuário padrão no WordPress, o User Role Editor é um bom plugin para analisar. O User Role Editor permitirá que você crie suas próprias funções, permissões e recursos de usuário.
Você também pode usá-lo para alterar ou renomear funções ou excluí-las completamente. O plugin tem uma versão gratuita e uma paga.
Gerenciador de acesso avançado
Esteja você administrando uma enorme loja WooCommerce em seu site ou operando um blog WordPress padrão, você pode estar procurando por controle adicional sobre o gerenciamento de acesso ao seu conteúdo.
O User Access Manager pode ser o plugin para ajudá-lo. O Advanced Access Manager pode ser usado para configurar uma área restrita de membros do seu site, utilizando funções e permissões de usuário. Ele também ajuda você a gerenciar usuários nas seções privadas do seu site.
Yoast SEO
Se sua equipe está focada em melhorar o SEO (otimização para mecanismos de busca) do seu conteúdo, o plugin Yoast SEO é um ótimo lugar para começar.
Este plugin permite que você crie duas funções de usuário não padrão:
- Editor de SEO
- Gerente de SEO
Por que essas duas novas funções de usuário são benéficas para você como proprietário de um site WordPress?
Ao atribuir funções no Yoast SEO, você capacitará sua equipe a fazer trabalhos relacionados a SEO sem precisar rastrear manualmente os resultados ou solicitar que você faça alterações no site sempre que necessário.
Como diz o blog do Yoast:
“Duas novas funções, o editor de SEO e o gerente de SEO, criam uma solução muito mais flexível ao trabalhar com várias pessoas em seu site. O Administrador pode determinar quem pode ver e fazer o quê, enquanto os usuários obtêm as ferramentas de que precisam para fazer seu trabalho.”
O plugin Yoast SEO é mais uma ferramenta que coloca as funções e permissões do usuário do WordPress na vanguarda da eficiência administrativa.
Resumindo: Entendendo as funções e permissões do usuário no WordPress
Para recapitular: as três principais funções de usuário de gerenciamento em uma instalação do WordPress têm áreas do site projetadas especificamente para essa posição. Os superadministradores e administradores controlam o painel e os arquivos principais e o próprio site. Enquanto os editores controlam o gerenciador de conteúdo e outros conteúdos. Autores e Contribuidores controlam apenas seu conteúdo e nenhum outro. Os assinantes podem acessar apenas o conteúdo e as permissões concedidas à função pelos cargos de gerenciamento.
Depois de estudar as informações deste artigo, agora você tem uma compreensão muito mais profunda das funções e permissões do usuário na plataforma WordPress. Como você pode ver, as funções que você atribui a cada um de seus usuários desempenham um papel importante na eficiência com que você administra seu site.
Mas não importa o quão cuidadoso você seja em garantir que todas as funções de usuário sejam atribuídas às melhores pessoas, às vezes erros acontecerão. Por exemplo, quando o novo funcionário que você acabou de atribuir como Administrador faz com que seu site falhe ao ativar um plug-in novo e não testado, um plug-in de backup do WordPress como o BackupBuddy será um salva-vidas absoluto. Certifique-se de ter seu plug-in de backup instalado e ativado antes que um desastre como esse aconteça.
Assim como em outras áreas do WordPress, atribuir corretamente as funções e permissões do usuário exigirá um pouco de tentativa e erro. Mas com as informações que você acabou de aprender, você estará tomando decisões mais informadas.
Kristen escreve tutoriais para ajudar os usuários do WordPress desde 2011. Como diretora de marketing aqui na iThemes, ela se dedica a ajudá-lo a encontrar as melhores maneiras de construir, gerenciar e manter sites WordPress eficazes. Kristen também gosta de escrever no diário (confira seu projeto paralelo, The Transformation Year !), caminhadas e acampamentos, aeróbica, culinária e aventuras diárias com sua família, esperando viver uma vida mais presente.