Роли и разрешения пользователей WordPress: основное руководство
Опубликовано: 2022-04-05Роли и разрешения пользователей WordPress предлагают контроль доступа и привилегии для вашего веб-сайта WordPress. От суперадминистратора до подписчика каждый пользователь WordPress, который входит на ваш сайт, имеет определенный набор назначенных разрешений или возможностей.
Но насколько вы знакомы с ролями пользователей WordPress, что означает каждая из них и почему так важно правильно использовать каждую из них? Если вы еще не имеете полного представления о ролях пользователей на платформе WordPress, вы не одиноки. Многие владельцы сайтов WordPress не в полной мере используют возможности ролей и разрешений пользователей WordPress при управлении своими сайтами.
В этом руководстве мы рассмотрим все, что вам нужно знать для понимания ролей и разрешений пользователей WordPress. Давайте посмотрим глубже.
Что такое роли пользователей WordPress?
Роли пользователей WordPress определяют уровень доступа и возможности, которые пользователь может использовать для входа, просмотра, редактирования или управления сайтом WordPress.Возможность — это определенная функция или набор действий, которые разрешено выполнять пользователю. Каждая роль пользователя WordPress четко определена, поэтому нет никаких недопониманий относительно вещей, к которым может получить доступ каждая роль пользователя, и задач, которые они могут выполнять.
В WordPress вы увидите шесть ролей пользователей WordPress, которые вы можете выбрать для каждого нового пользователя, которого вы добавляете на свой веб-сайт. Роль пользователя, которую вы выбираете для каждого отдельного пользователя, зависит от уровня разрешений и доступа, который вы хотите, чтобы они имели на своем сайте.
Например, роль пользователя WordPress определяет такие возможности, как:
- Кто может управлять комментариями
- Кто может писать сообщения в блоге
- Кто может добавлять страницы
- Кто может устанавливать или обновлять плагины или темы
- Кому разрешено добавлять новых пользователей
- Какие члены команды могут удалять спам
Хотя до сих пор вы, возможно, игнорировали роли и разрешения пользователей WordPress, правда в том, что понимание каждой роли необходимо, независимо от того, отвечаете ли вы за корпоративный веб-сайт, новостной журнал или ведете личный блог.
6 ролей пользователей WordPress
Шесть основных ролей пользователей WordPress, доступных в WordPress:
- Суперадминистратор (для многосайтовых сетей WordPress)
- Администратор
- редактор
- Автор
- Автор
- Подписчик
При добавлении нового пользователя в WordPress вы увидите параметры роли, перечисленные в раскрывающемся меню.
Прежде чем идти дальше, давайте подробно рассмотрим каждый из них.
1. Супер администратор
Эта роль суперадминистратора в WordPress зарезервирована для многосайтовых сетей WordPress. Лица, которым назначена роль суперадминистратора, несут полную ответственность за все сайты в сети и могут управлять всеми функциями сайта на каждом сайте.Суперадминистраторы имеют право удалять других пользователей (даже администраторов), поэтому важно назначать эту роль только тем членам команды, которым вы действительно доверяете. Суперадминистратор может повлиять (отрицательно или положительно) на многие части вашего бизнеса, включая вашу сеть и других пользователей, которые управляют вашим сайтом.
Суперадминистратор WordPress также может создавать новые веб-сайты, управлять темами и плагинами в многосайтовой сети, добавлять, управлять или удалять контент на каждом сайте. Суперадминистратор контролирует сеть со всеми настройками и вопросами безопасности. Первый пользователь, настраивающий многосайтовую сеть, является суперадминистратором по умолчанию.
Просто обратите внимание, что многосайтовые сети WordPress — это один из самых продвинутых способов использования WordPress в качестве системы управления контентом. Если у вас нет сети с несколькими сайтами, вам не нужно будет использовать роль суперадминистратора ни для одного из ваших пользователей.
Советы по роли суперадминистратора WordPress
- В мультисайтовой сети WordPress не усложняйте организацию ролей пользователей. Одному пользователю с парой сайтов нужен только суперадминистратор по умолчанию. По мере роста организации создавайте значимые роли пользователей для сотрудников.
- Существует множество способов настроить многосайтовую сеть WordPress и ее пользователей. Если вы агентство или фрилансер с несколькими сайтами, назначьте каждому клиенту роль администратора или редактора для определенного сайта.
- Сосредоточьтесь на проверках безопасности пользователей WordPress с первого входа в систему. WordPress — излюбленная цель опытных хакеров, и в мире вредоносных программ и вирусных атак становится все сложнее. Снятие отпечатков пальцев в браузере также представляет собой растущую угрозу конфиденциальности.
- Управляйте общесетевыми настройками с осторожностью. Тщательно планируйте регистрацию новых пользователей и приветственные письма.
2. Администратор
В одной установке WordPress роль администратора имеет полный доступ ко всем функциям сайта. Для большинства владельцев сайтов роль администратора WordPress является наиболее важной ролью пользователя в WordPress.Роль администратора сайта почти всегда назначается владельцу веб-сайта и/или основному разработчику и имеет доступ ко всем функциям, настройкам и параметрам WordPress. Во всех смыслах и целях администратор является королем и главой вашего сайта WordPress. Вот почему иметь хорошее представление об обязанностях администратора WordPress — хорошая идея.
Роль администратора WordPress имеет полный доступ к добавлению и редактированию сообщений и страниц, изменению или обновлению настроек сайта, добавлению и установке тем и плагинов и многому другому.
Роль администратора WordPress также может обновлять WordPress вместе с любыми плагинами и темами, установленными на сайте. Процесс обновления WordPress — это область, к которой нужно подходить с осторожностью; одна ошибка может вывести сайт из строя.
Администратор также отвечает за назначение ролей пользователей и разрешений другим пользователям. Роль пользователя «Администратор» может изменять пользователей и их разрешения, что является еще одной функцией, требующей осторожности.
Объяснение возможностей администратора
- Для всего сайта: обновляйте основные файлы WordPress, управляйте всеми настройками, управляйте кодом HTML и JavaScript для всех пользователей.
- Плагины: установка, редактирование и удаление
- Темы: установка и переключение, редактирование виджетов и меню, доступ к настройщику
- Пользователи: создавать, редактировать и удалять
- Записи и страницы: добавляйте новые, публикуйте, управляйте таксономиями
Советы администратора для пользователей
- Ограничьте количество пользователей, которым назначена роль администратора. В идеале должен быть только один пользователь, который управляет установкой WordPress.
- Ваша безопасность WordPress начинается и заканчивается ролью пользователя администратора WordPress. Поскольку администраторы WordPress имеют полный доступ ко всему на сайте, администратору WordPress требуется очень безопасный вход в WordPress. Это означает использование надежного пароля, двухфакторной аутентификации или даже функции входа без пароля, предоставляемой плагином безопасности WordPress, таким как iThemes Security Pro.
- Администраторы WordPress должны обновлять и обеспечивать безопасность основных файлов WordPress. Администраторы также несут ответственность за обновление плагинов и тем, что является важной частью успешного обслуживания WordPress.
3. Редактор
Роль пользователя «Редактор» в WordPress отвечает за управление и создание контента для вашего сайта WordPress. Редактор может создавать, удалять и редактировать любой контент сайта, включая контент, созданный другими пользователями с разрешениями, равными или меньшими, чем у редактора.Пользователи-редакторы управляют всеми изменениями сайта и утверждают/планируют контент, отправленный участниками и авторами. Однако у редактора нет доступа к таким вещам, как плагины, виджеты, настройки WordPress или добавление или удаление пользователей.
Работа редактора включает в себя одну важную вещь: содержание. И это все, к чему они смогут получить доступ в панели управления WordPress. Редакторы также могут управлять категориями на сайте, а также добавлять или удалять пользовательские теги. Таксономии и загрузка файлов на сайт — еще одна обязанность редактора. Редакторы также имеют полный контроль над комментариями. Они могут модерировать, одобрять или удалять любой комментарий.
Кто должен иметь роль пользователя редактора?
Роль редактора должна принадлежать кому-то, кому доверяет администратор. Роли можно настроить в WordPress; при необходимости права роли редактора могут быть уменьшены или изменены по мере получения доверия.
- Менеджер контент-команды или интернет-издания
- Менеджеры по маркетингу, ответственные за контент
- Владельцы малого бизнеса могут носить обе шляпы (роль администратора и редактора)
Редактор против автора
Новые пользователи могут видеть редакторов и авторов WordPress в одном свете. Во многом они, тем не менее, имеют различия.
- Страницы: редакторы имеют доступ ко всем страницам с правом добавления, редактирования или удаления. У авторов нет такого доступа
- Контент: редакторы имеют доступ ко всему контенту на сайте. В многосайтовой сети только права, предоставленные роли редактора. Редакторы могут удалять или редактировать весь контент. Авторы имеют доступ к редактированию или удалению только того контента, который они создали.
4. Автор
Как вы, вероятно, подозревали, роль пользователя «Автор» в WordPress имеет возможность писать, набрасывать и публиковать новый контент на вашем сайте. У них также есть доступ к контенту в вашей медиатеке WordPress. Им понадобится этот уровень доступа для создания отличных сообщений в блогах.Роль пользователя «Автор» обычно назначается новым сотрудникам, которых вы нанимаете, чтобы сосредоточиться на выпуске отличного контента. Авторы имеют ограниченный набор разрешений в рамках установки WordPress. Роль может добавлять, редактировать или удалять свой контент, но не имеет доступа к другому контенту или настройкам сайта. Роли авторов могут быть настолько широкими или ограниченными, насколько позволяют редактор или администратор. У авторов есть разрешение на загрузку контента и изображений.
Роль автора также имеет право редактировать комментарии читателей. Однако они могут редактировать только комментарии, оставленные к их сообщениям.
Авторы не смогут получить доступ к сообщениям или страницам, созданным другими пользователями. Они также не могут добавлять плагины, создавать новые категории, изменять настройки сайта или делать что-либо еще, что повлияет на производительность сайта.
Кто должен иметь роль пользователя-автора?
- Организации, в которых есть специальные группы по созданию контента или маркетингу, такие как журналисты, специалисты по связям с общественностью, представители компании.
- Любая компания, распространяющая информацию, такая как новостной канал или спортивные компании, должна предоставить журналистам роль Автора. Дополнительные разрешения могут быть предоставлены по мере необходимости
Предостережение для роли автора
- Будьте осторожны, предоставляя роль пользователя Автора кому-то, кто не работает у вас или не заслуживает доверия. Если они создали много контента, а затем покинули компанию, Автор может удалить каждый бит контента.
- Всегда рекомендуется удалять ЛЮБУЮ пользовательскую роль автора, покидающую сайт, и переназначать контент другому автору. Если пользователь уходит с планами вернуться, немедленно измените пароль и заберите все предоставленные разрешения. Восстановите роль, когда пользователь вернется.
5. Участник
Роль пользователя Contributor может писать сообщения в блогах или статьи, но не может их публиковать. Когда они завершают черновик, он попадает в раздел черновиков, где администратор или редактор может просмотреть его перед публикацией.Роль пользователя Contributor имеет очень мало разрешений в установке WordPress. Разрешение по умолчанию — это возможность отправлять содержимое на проверку. Участники не могут публиковать контент или загружать любые связанные изображения. Только редактор или администратор могут публиковать контент. После публикации контента у участника больше нет доступа к этому контенту.
Участники отправляют свой контент на проверку администратору или редактору. Вот обзор процесса отправки и утверждения публикации:
- Участники пишут свой контент в редакторе WordPress и после завершения нажимают кнопку «Отправить на проверку».
- Редакторы или администратор входят в WordPress и находят сообщение среди ожидающих утверждения.
- Сообщение отредактировано для любых грамматических ошибок, и изображения должны быть вставлены на этом этапе. Затем администратор или редактор нажимает кнопку «Опубликовать».
- Любые будущие правки или изменения должны вноситься администратором или редактором, поскольку первоначальный участник больше не имеет доступа к публикации.
Участник также не будет иметь доступа к медиатеке WordPress. Добавление фотографий, изображений или видео в статью, представленную автором, остается на усмотрение администратора или редактора.
Те, кому назначены разрешения в качестве участника, также не могут удалять, изменять или одобрять комментарии пользователей.
Кто должен иметь роль пользователя-участника?
Есть ли у вас члены сообщества, которые размещают статьи и контент на вашем сайте? Вы разрешаете гостевые посты? Если да, то Contributor — это та роль, которую вы им назначите.
- Автор вне организации, который может внести свой вклад в блог
- Авторы контента начального уровня, которые нуждаются в серьезном редактировании, должны быть соавторами
Участник против автора
- Публикация контента. Авторы имеют право публиковать и редактировать свой контент и ничего другого. Авторы могут отправлять свои сообщения только на проверку. После публикации контента участника только администратор или редактор могут редактировать материал.
- Медиа и изображения: Авторы не имеют доступа к изображениям или мультимедиа. Авторы могут загружать и редактировать свои медиа
6. Подписчик
Роль пользователя «Подписчик» — это самая простая роль пользователя, которую вы можете назначить кому-либо на своем сайте WordPress. Фактически, WordPress использует эту роль по умолчанию для всех новых пользователей сайта.
Вы можете думать о роли подписчика так же, как об одном из ваших подписчиков в социальных сетях. По сути, подписчик следит за вашим блогом и хочет быть его частью.
Возможности подписчика
Существует два основных разрешения для роли подписчика WordPress. Они могут просматривать свой профиль и просматривать панель управления. Подписчики не имеют прав на редактирование контента или каких-либо настроек сайта WordPress.
В зависимости от общей функциональности вашего сайта подписчик может взаимодействовать с другими пользователями и подписчиками, но у них нет доступа к панели управления WordPress или инструментам редактирования.
Подписчики могут использоваться в качестве инклюзивного или начального инструмента доступа в маркетинговых целях. По умолчанию подписчики не имеют доступа ни к каким настройкам или содержимому сайта, что делает эту роль по своей сути безопасной.
Кто должен иметь роль пользователя-подписчика?
В качестве маркетингового инструмента роль подписчика является идеальной точкой входа на ваш сайт. Подписчики играют самую ограничительную роль; тем не менее, это дает человеку профиль, и это все, что нужно человеку, чтобы чувствовать себя включенным.
Сравнительная таблица ролей пользователей WordPress
Ниже приведена сравнительная таблица ролей пользователей WordPress и их возможностей.
| Возможности | Суперадминистратор (в многоузловой настройке) | Администратор | редактор | Автор | Автор | Подписчик |
|---|---|---|---|---|---|---|
| Создание сайтов | Д | Н | Н | Н | Н | Н |
| Удалить сайты | Д | Н | Н | Н | Н | Н |
| Управление сетью | Д | Н | Н | Н | Н | Н |
| Управление сайтами | Д | Н | Н | Н | Н | Н |
| Управление пользователями сети | Д | Н | Н | Н | Н | Н |
| Управление сетевыми плагинами | Д | Н | Н | Н | Н | Н |
| Управление сетевыми темами | Д | Н | Н | Н | Н | Н |
| Управление параметрами сети | Д | Н | Н | Н | Н | Н |
| Загрузить плагины | Д | Y (один сайт) | Н | Н | Н | Н |
| Загрузить темы | Д | Y (один сайт) | Н | Н | Н | Н |
| Обновить сеть | Д | Н | Н | Н | Н | Н |
| Настройка сети | Д | Н | Н | Н | Н | Н |
| Активировать плагины | Д | Y (один сайт или включен сетевыми настройками) | Н | Н | Н | Н |
| Создать пользователей | Д | Y (один сайт) | Н | Н | Н | Н |
| Удалить плагины | Д | Y (один сайт) | Н | Н | Н | Н |
| Удалить темы | Д | Y (один сайт) | Н | Н | Н | Н |
| Удалить пользователей | Д | Y (один сайт) | Н | Н | Н | Н |
| Редактировать файлы | Д | Y (один сайт) | Н | Н | Н | Н |
| Изменить плагины | Д | Y (один сайт) | Н | Н | Н | Н |
| Изменить параметры темы | Д | Д | Н | Н | Н | Н |
| Изменить темы | Д | Y (один сайт) | Н | Н | Н | Н |
| Изменить пользователей | Д | Y (один сайт) | Н | Н | Н | Н |
| Экспорт | Д | Д | Н | Н | Н | Н |
| импорт | Д | Д | Н | Н | Н | Н |
| Установить плагины | Д | Y (один сайт) | Н | Н | Н | Н |
| Установить темы | Д | Y (один сайт) | Н | Н | Н | Н |
| Список пользователей | Д | Д | Н | Н | Н | Н |
| Управление параметрами | Д | Д | Н | Н | Н | Н |
| Продвигайте пользователей | Д | Д | Н | Н | Н | Н |
| Удалить пользователей | Д | Д | Н | Н | Н | Н |
| Переключить тему | Д | Д | Н | Н | Н | Н |
| Обновить ядро | Д | Y (один сайт) | Н | Н | Н | Н |
| Обновить плагины | Д | Y (один сайт) | Н | Н | Н | Н |
| Обновить темы | Д | Y (один сайт) | Н | Н | Н | Н |
| Изменить панель инструментов | Д | Д | Н | Н | Н | Н |
| Настроить | Д | Д | Н | Н | Н | Н |
| Удалить сайт | Д | Д | Н | Н | Н | Н |
| Умеренные комментарии | Д | Д | Д | Н | Н | Н |
| Управление категориями | Д | Д | Д | Н | Н | Н |
| Управление ссылками | Д | Д | Д | Н | Н | Н |
| Изменить чужой пост | Д | Д | Д | Н | Н | Н |
| Редактировать страницы | Д | Д | Д | Н | Н | Н |
| Редактировать другие страницы | Д | Д | Д | Н | Н | Н |
| Редактировать опубликованные страницы | Д | Д | Д | Н | Н | Н |
| Публикация страниц | Д | Д | Д | Н | Н | Н |
| Удалить страницы | Д | Д | Д | Н | Н | Н |
| Удалить чужие страницы | Д | Д | Д | Н | Н | Н |
| Удалить опубликованные страницы | Д | Д | Д | Н | Н | Н |
| Удалить чужие сообщения | Д | Д | Д | Н | Н | Н |
| Удалить личные сообщения | Д | Д | Д | Н | Н | Н |
| Редактировать личные сообщения | Д | Д | Д | Н | Н | Н |
| Читать личные сообщения | Д | Д | Д | Н | Н | Н |
| Удалить личные страницы | Д | Д | Д | Н | Н | Н |
| Редактировать личные страницы | Д | Д | Д | Н | Н | Н |
| Читать личные страницы | Д | Д | Д | Н | Н | Н |
| Редактировать опубликованные сообщения | Д | Д | Д | Д | Н | Н |
| Загрузить файлы в медиатеку | Д | Д | Д | Д | Н | Н |
| Публиковать посты | Д | Д | Д | Д | Н | Н |
| Удалить опубликованные сообщения | Д | Д | Д | Y (если автор) | N (если автор) | Н |
| Редактировать сообщения | Д | Д | Д | Y (если автор) | Y (если автор) | Н |
| Удалить сообщения | Д | Д | Д | Y (если автор) | Y (если автор) | Н |
| Читать страницы и сообщения | Д | Д | Д | Д | Д | Д |
Как добавить нового пользователя в WordPress?
Для добавления нового пользователя в WordPress требуется, чтобы вы были пользователем с правами администратора. Оттуда добавление нового пользователя в WordPress — довольно простой процесс. Здесь вы изначально назначите пользователю роль и разрешения.
Конечно, как администратор, вы всегда можете позже изменить роль пользователя, если она больше соответствует вашим потребностям. Подробнее об этом через минуту.
Чтобы добавить нового пользователя на ваш сайт WordPress, выполните следующие действия:
1. Войдите в панель администратора WordPress (https://examplesite.com/wp-admin).
2. В меню панели администратора WordPress щелкните пункт меню «Пользователи», затем нажмите «Добавить нового».
3. Введите имя нового пользователя, адрес электронной почты, имя и фамилию и веб-сайт.
4. Выберите роль пользователя, как определено выше.
5. Установите флажок перед «отправить новому пользователю электронное письмо об его учетной записи».
6. Нажмите кнопку «Добавить нового пользователя», и новый пользователь будет добавлен.
Повторите эти шаги для каждого нового пользователя, уделяя особое внимание ролям пользователей и разрешениям, которые вы назначаете каждому.
Советы по добавлению новых пользователей WordPress
Роли автора, участника и подписчика просты в их создании и разрешениях. Позиции суперадминистратора, администратора и редактора могут стать сильной стороной организации, если их тщательно обдумать и спланировать.
- В многосайтовых установках должен быть один суперадминистратор, независимо от количества дополнительных сайтов. Если есть какие-либо проблемы с безопасностью, пользователем или основным файлом, ответственность несут суперадминистраторы. Безопасность должна быть в уме каждого человека, связанного с веб-сайтом. WordPress уникален тем, что он обновляет основные файлы и безопасность; однако наличие нескольких суперадминистраторов может привести к хаосу.
- Назначьте одного администратора или редактора для каждого дополнительного сайта в сети с несколькими сайтами. Если есть сотни виртуальных сайтов, предоставьте администраторам или редакторам более одного сайта для управления.
- Веб-разработчики-фрилансеры, продающие сайты или агентства, должны наделить каждого владельца сайта обязанностями администратора, но строго запретить доступ к каким-либо сетевым настройкам.
Как найти роли пользователей в WordPress?
Для существующих пользователей вы можете захотеть изучить роли пользователей, которые в настоящее время назначены. В конце концов, некоторые из этих ролей могли быть назначены до того, как вы получили полное представление о ролях и разрешениях пользователей WordPress.
Настало время проверить ваши текущие назначенные роли пользователей.
Для этого просто выполните следующие действия:
1. Войдите в панель администратора WordPress.
2. На панели администратора WordPress щелкните раздел «Пользователи», затем щелкните «Все пользователи».
4. Просмотрите список всех ваших текущих пользователей.
5. Рядом со столбцом Электронная почта вы увидите Роль. Это роль пользователя, назначенная каждому пользователю сайта.
Теперь, когда вы знаете роль, назначенную каждому пользователю, возможно, вы захотите внести некоторые коррективы в назначение.
Как изменить роли пользователей в WordPress?
Изменение роли пользователя WordPress происходит немедленно, и пользователь будет уведомлен по электронной почте о своей новой роли на вашем сайте.
Чтобы изменить роль пользователя WordPress, выполните шаги 1–4 выше. Когда вы просмотрите список всех пользователей вашего сайта, вы захотите:
1. Наведите курсор на имя пользователя, которого хотите обновить. При наведении курсора на выбранного пользователя вы получите варианты редактирования, представленные вам.
2. После нажатия кнопки «Изменить» вы сможете изменить такие поля, как имя, адрес электронной почты и веб-сайт. Однако здесь нельзя изменить имя пользователя.
3. В нижней части профиля пользователя вы увидите раскрывающееся меню, которое позволяет вам изменить/выбрать роль пользователя.
4. Выберите новую роль пользователя.
5. Сохраните профиль пользователя.
Изменения ролей и разрешений применяются WordPress в момент их сохранения.
Как удалить существующего пользователя?
Вероятно, будут случаи, когда пользователя необходимо будет полностью удалить с вашего сайта.
Возможно, вы наняли временного внештатного редактора для предоставления услуг по редактированию вашего сайта в течение двух месяцев. Когда двухмесячный период истекает и контракт истекает, вы больше не хотите, чтобы фрилансер имел доступ к вашему сайту.
Чтобы удалить этого пользователя и лишить его всех разрешений на доступ к вашему веб-сайту, выполните шаги 1–4, описанные выше для поиска пользователя.
После того, как вы найдете пользователя, который будет удален, наведите указатель мыши на его имя и нажмите «Удалить».
После того, как вы подтвердите удаление, пользователь будет уведомлен по электронной почте о том, что он был удален с вашего сайта. У них больше не будет учетных данных для входа в систему.
Важно отметить, что вы не можете удалить себя или других администраторов (если вы не являетесь суперадминистратором в учетной записи с несколькими сайтами).
Как управлять ролями пользователей в WordPress?
То, как вы решите управлять ролями пользователей и разрешениями на своем сайте WordPress, полностью зависит от вас. В конце концов, кто лучше вас знает способности и ограничения членов вашей команды?
Прежде чем выбрать роли, подходящие для каждого пользователя на вашем сайте, сделайте шаг назад и задайте себе ряд вопросов о них.
- Можно ли доверять пользователю полное управление панелью управления WordPress?
- Доверяете ли вы пользователю правильно организовать контент на вашем сайте?
- Нужно ли просматривать сообщения пользователя перед их публикацией? Или вы доверяете их мнению?
- Должен ли пользователь иметь возможность редактировать и публиковать сообщения других пользователей?
Прежде чем назначать новому пользователю роль администратора, важно, чтобы он хорошо разбирался в платформе WordPress.
Безопасность пользователей WordPress
Безопасность пользователей на вашем сайте имеет значение. Много! Почему? Один пользователь-администратор со слабым паролем может подорвать все другие меры безопасности веб-сайта, которые вы предприняли. Вот почему для вас так важно проверять степень безопасности, используемую администраторами и редакторами на вашем веб-сайте.
Проверка безопасности пользователя плагина iThemes Security Pro позволяет быстро проверить и изменить 5 критических элементов безопасности пользователя:
- Статус двухфакторной аутентификации
- Срок действия и надежность пароля
- Последний раз активен
- Активные сессии WordPress
- Роль пользователя
Кроме того, в плагине iThemes Security Pro есть множество инструментов, которые вы можете использовать для повышения безопасности пользователей WordPress на своем веб-сайте. Только функции двухфакторной аутентификации и требований к паролю защищают ваших пользователей WordPress от 100% атак автоматических ботов.
Однако эти два инструмента безопасности пользователей эффективны только в том случае, если пользователи вашего веб-сайта действительно их используют.
7 советов по защите ваших пользователей WordPress
Давайте посмотрим, что вы можете сделать, чтобы обезопасить своих пользователей WordPress. Правда в том, что эти методы безопасности помогут защитить любого пользователя WordPress. Но по мере того, как мы будем рассматривать каждый из методов, мы сообщим вам, каких пользователей вам следует потребовать для использования этого метода.
1. Дайте людям только те возможности, которые им нужны
Самый простой способ защитить свой веб-сайт — предоставить пользователям только те возможности, которые им нужны, и ничего больше. Если единственное, что кто-то собирается делать на вашем веб-сайте, — это создавать и редактировать свои собственные сообщения в блоге, им не нужна возможность редактировать сообщения других людей.
2. Ограничьте количество попыток входа
Атаки грубой силы относятся к методу проб и ошибок, используемому для обнаружения комбинаций имени пользователя и пароля для взлома веб-сайта. По умолчанию в WordPress нет ничего, что ограничивало бы количество неудачных попыток входа в систему.
Без ограничения количества неудачных попыток входа в систему злоумышленник может продолжать использовать бесконечное количество имен пользователей и паролей, пока не добьется успеха.
Функция iThemes Security Pro Local Brute Force Protection отслеживает недействительные попытки входа в систему с использованием IP-адресов и имен пользователей. Как только IP-адрес или имя пользователя сделали слишком много последовательных неверных попыток входа в систему, они будут заблокированы, и им будет запрещено предпринимать дальнейшие попытки входа в систему.
3. Защитите пользователей WordPress надежными паролями
Чем надежнее пароль вашей учетной записи пользователя WordPress, тем сложнее его угадать. Для взлома семизначного пароля требуется 0,29 миллисекунды. Но хакеру нужно два века, чтобы взломать пароль из двенадцати символов!
В идеале надежный пароль представляет собой буквенно-цифровую строку длиной в двенадцать символов. Пароль должен содержать буквы верхнего и нижнего регистра, а также другие символы ASCII.
Хотя использование надежного пароля может принести пользу всем, вы можете захотеть использовать надежные пароли только для людей с возможностями уровня Автора и выше.
Функция iThemes Security Pro Password Requirement позволяет вам заставить определенных пользователей использовать надежный пароль.
4. Отказ от скомпрометированных паролей
Хакеры часто используют форму атаки грубой силы, называемую атакой по словарю. Атака по словарю — это метод взлома веб-сайта WordPress с часто используемыми паролями, которые появились в дампах базы данных. Сборник №1? Нарушение данных, размещенное на хостинге MEGA, включало 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. Это миллиард с буквой б. Такая оценка действительно поможет атаке по словарю сузить наиболее часто используемые пароли WordPress.
Это необходимо для предотвращения использования скомпрометированных паролей пользователями с полномочиями уровня Автора и выше. Вы также можете подумать о том, чтобы не позволять пользователям более низкого уровня использовать скомпрометированные пароли.
Совершенно понятно и рекомендуется максимально упростить создание новой учетной записи клиента. Однако ваш клиент может не знать, что используемый им пароль был найден в дампе данных. Вы окажете своим клиентам большую услугу, предупредив их о том, что пароль, который они используют, был скомпрометирован. Если они используют этот пароль везде, вы можете избавить их от некоторых серьезных головных болей в будущем.
Функция iThemes Security Pro «Отказаться от скомпрометированных паролей» заставляет пользователей использовать пароли, которые не фигурировали ни в одном взломе паролей, отслеживаемом Have I Been Pwned.
5. Защитите пользователей WordPress с помощью двухфакторной аутентификации
Двухфакторная аутентификация — это процесс проверки личности человека, требующий двух отдельных методов проверки, прежде чем он сможет войти в систему. Google поделился в своем блоге, что использование двухфакторной аутентификации может остановить 100% атак автоматических ботов. Мне очень нравятся эти шансы.
По крайней мере, вы должны потребовать, чтобы ваши администраторы и редакторы использовали двухфакторную аутентификацию.
Функция двухфакторной аутентификации iThemes Security Pro обеспечивает большую гибкость при реализации 2fa на вашем веб-сайте. Вы можете включить двухфакторную аутентификацию для всех или некоторых ваших пользователей, и вы можете заставить своих высокоуровневых пользователей использовать 2fa при каждом входе в систему.
6. Ограничьте доступ устройства к панели инструментов WP
Ограничение доступа к панели управления WordPress набором устройств может повысить уровень безопасности вашего сайта. Если хакер использует не то устройство, которое нужно пользователю, он не сможет использовать скомпрометированного пользователя для нанесения ущерба вашему веб-сайту.
Вы должны ограничить доступ к устройству только вашими администраторами и редакторами.
Функция доверенных устройств iThemes Security Pro идентифицирует устройства, которые вы и другие пользователи используете для входа на ваш сайт WordPress. Когда пользователь вошел в систему на нераспознанном устройстве, доверенные устройства могут ограничить его возможности на уровне администратора. Это означает, что если злоумышленник сможет проникнуть в серверную часть вашего сайта WordPress, он не сможет внести какие-либо вредоносные изменения на ваш сайт.
7. Защитите пользователей WordPress от перехвата сеанса
WordPress создает файл cookie сеанса каждый раз, когда вы входите на свой сайт. И допустим, у вас есть расширение для браузера, от которого отказался разработчик и которое больше не выпускает обновления безопасности. К сожалению для вас, запущенное расширение для браузера имеет уязвимость. Уязвимость позволяет злоумышленникам перехватывать файлы cookie вашего браузера, в том числе ранее упомянутые файлы cookie сеанса WordPress. Этот тип взлома известен как перехват сеанса . Таким образом, злоумышленник может использовать уязвимость расширения, чтобы использовать ваш логин и начать вносить вредоносные изменения с вашим пользователем WordPress.
У вас должна быть защита от перехвата сеанса для ваших администраторов и редакторов.
Благодаря функции доверенных устройств iThemes Security Pro перехват сеанса остался в прошлом. Если устройство пользователя изменится во время сеанса, iThemes Security автоматически выполнит выход пользователя из системы, чтобы предотвратить любые несанкционированные действия с учетной записью пользователя, такие как изменение адреса электронной почты пользователя или загрузка вредоносных плагинов.
Плагины роли пользователя WordPress
Когда вы углубитесь в плагины ролей пользователей WordPress, вы обнаружите, что многие из самых популярных плагинов используют и управляют ролями пользователей и разрешениями за пределами основных шести ролей, которые мы обсуждали.
Существуют плагины, позволяющие создавать и назначать пользовательские роли и группы пользователей. Плагины, которые мы рассмотрим здесь:
- bbPress
- БаддиПресс
- WooCommerce
- Ограничить содержимое
- Безопасность iThemes
Каждый из них работает с настраиваемыми ролями пользователей по-разному.
bbPress
Плагин bbPress — это дискуссионный форум WordPress, для которого требуются уникальные роли пользователя, помимо основных шести, предлагаемых в WordPress.
Первая роль пользователя, встроенная в плагин bbPress, Keymaster, находится на вершине горы. Мастера ключей аналогичны роли администратора в WordPress. У них есть доступ ко всем инструментам и настройкам, и они могут редактировать, создавать или удалять форумы, темы, комментарии и ответы других пользователей. Ключник также является модератором форума и управляет всеми тегами.
Затем bbPress предлагает роль модератора. Эта роль отвечает за создание, редактирование, удаление и модерацию форумов. Они также имеют полный контроль над пользовательскими темами и ответами. Однако модератор не имеет доступа к настройкам сайта.
Участник является членом сообщества. Они могут создавать и редактировать свои темы и ответы, но не более того.
Зрители могут только читать темы и ответы. Они не могут ответить или участвовать в других отношениях.
Заблокированные пользователи — это те, кого вы больше не хотите видеть в сообществе.
Плагин bbPress также позволяет создавать собственные роли пользователей (например, «Ученик» и «Репетитор») путем добавления кода в кодекс. Вы сможете назначать свои собственные настраиваемые разрешения для каждой создаваемой вами роли. Вы также можете изменить имена существующих ролей пользователей bbPress.
БаддиПресс
BuddyPress — это плагин сообщества WordPress, который позволяет вам создать социальную сеть на вашем собственном веб-сайте.
С помощью плагина BuddyPress вы сможете создавать собственные частные, общедоступные и скрытые группы. Затем вы можете назначать роли пользователей для управления вашими группами.
Роль пользователя Member — это роль по умолчанию в BuddyPress. Это применяется к любому пользователю, который регистрируется и присоединяется к группе. Пользователь с ролью участника может отправлять и публиковать контент на групповых форумах. В некоторых случаях они могут видеть других участников группы и отправлять им приглашения или личные сообщения.
Модератор BuddyPress — это повышенная роль пользователя с дополнительными разрешениями, включая закрытие, редактирование или удаление тем на форуме. Но будьте осторожны, потому что они также смогут делать то же самое с контентом, созданным другими плагинами, которые вы используете на своем сайте WordPress.
Как и в случае с платформой WordPress и другими плагинами, роль администратора в BuddyPress имеет полный контроль над группами и настройками. Администратор может изменять настройки в группе, аватар группы и управлять участниками группы. Он также может удалять целые группы.
WooCommerce
WooCommerce — очень популярный плагин WordPress, который поможет превратить ваш сайт WordPress в надежный сайт электронной коммерции.
Когда вы установите WooCommerce на свой сайт, вы сразу же сможете начать перечислять продукты, размещать изображения продуктов, писать описания продуктов и принимать онлайн-заказы.
Таким образом, WooCommerce предлагает две пользовательские роли, которые выходят за рамки стандартных шести в WordPress. Эти роли:
- Клиент: любой пользователь, который регистрируется на вашем сайте WooCommerce или регистрируется у вас при оформлении заказа. Клиенты очень похожи по разрешениям на подписчиков.
- Менеджер магазина: это человек, который управляет магазином WooCommerce, но не имеет прав администратора. У них автоматически будут права доступа «Клиент», но они также смогут управлять товарами, представленными в магазине, а также просматривать отчеты о продажах.
Довольно простая вещь.
Ограничить содержимое
Бесплатный плагин Restrict Content позволяет настроить ограничение контента на основе настраиваемых уровней членства, которые можно применить к ролям пользователей WordPress по умолчанию. Это может быть полезно для контроля того, кто может просматривать контент на сайте WordPress, в зависимости от их уровня членства и/или роли пользователя WordPress.
Используйте Restrict Content в качестве плагина ограничения контента WordPress, чтобы:
- Ограничьте доступ к роли пользователя вашего сайта WordPress. Ограничьте доступ к полному контенту с помощью простого интерфейса на экранах редактирования сообщений, страниц и пользовательских типов сообщений.
- Управляйте доступом пользователей к контенту на основе роли пользователя WordPress, уровня доступа или уровня членства.
- Защитите конфиденциальный контент.
- Четко отделяйте общедоступный контент от частного контента
- Ограничить доступ ко всем страницам или отдельным разделам
- Позвольте пользователям регистрироваться и входить в систему с внешнего интерфейса вашего сайта.
Безопасность iThemes
iThemes Security — отличный плагин безопасности WordPress с более чем 30 способами защиты вашего веб-сайта WordPress, включая способы использования определенных функций для ролей пользователей WordPress.
Например, если вы ищете плагин, который может обеспечить быстрое и простое обновление и понижение роли пользователя с возможностью временного повышения привилегий, плагин iThemes Security определенно стоит проверить.
Вы также можете использовать плагин, чтобы сэкономить много времени, которое вы тратите на защиту своего сайта с помощью групп пользователей. Чтобы упростить управление безопасностью пользователей на вашем сайте, iThemes Security Pro сортирует всех ваших пользователей по разным группам. По умолчанию ваши пользователи будут сгруппированы по их ролям и возможностям WordPress. Сортировка по роли пользователя WordPress позволяет легко объединять роли WordPress и пользовательские роли в одну группу.
Например, если вы используете сайт WooCommerce, администраторы вашего сайта и менеджеры магазинов будут в группе пользователей-администраторов, а ваши подписчики и покупатели будут в группе пользователей-подписчиков.
В настройках групп пользователей вы увидите все свои группы пользователей и все параметры безопасности, включенные для каждой группы, и сможете быстро включать и выключать эти параметры. Группа пользователей дает вам уверенность в том, что вы применяете правильный уровень безопасности к нужным ролям пользователей WordPress.
Как настроить роли и разрешения пользователей WordPress
Помимо ролей пользователей, которые мы уже обсуждали, вы можете добавить больше ролей с помощью плагинов, разработанных для создания пользовательских ролей пользователей для WordPress. Вот несколько плагинов и инструментов, которые стоит проверить.
Панель управления клиента iThemes Sync
iThemes Sync — это инструмент, который поможет вам управлять несколькими сайтами WordPress. С Sync у вас есть одна панель инструментов для выполнения задач администрирования WordPress для всех ваших веб-сайтов WordPress. Синхронизация особенно полезна, если вы создаете или поддерживаете веб-сайты для клиентов в качестве агентства веб-дизайна, маркетингового агентства или фрилансера.
Функция iThemes Sync Client Dashboard была создана для настройки того, как пользователь видит панель администратора WordPress, что является способом настройки ролей и разрешений пользователей WordPress.
Например, если у вас есть клиент, которого вы хотите сделать администратором, но не хотите видеть определенные области сайта, такие как темы или плагины, вы можете выполнить эту задачу с помощью панели инструментов клиента.
Панель управления клиента может быть активирована для каждого пользователя, а затем вы можете выбрать пункты меню панели управления WordPress, чтобы этот пользователь мог видеть. Довольно круто, правда?
Редактор ролей пользователей
Если вы хотите настроить свои стандартные роли пользователей в WordPress, вам стоит изучить Редактор ролей пользователей. Редактор ролей пользователей позволит вам создавать свои собственные роли, разрешения и пользовательские возможности.
Вы также можете использовать его для изменения или переименования ролей или их полного удаления. Плагин имеет бесплатную и платную версии.
Расширенный менеджер доступа
Независимо от того, управляете ли вы огромным магазином WooCommerce на своем сайте или ведете стандартный блог WordPress, вам может потребоваться дополнительный контроль над управлением доступом к вашему контенту.
User Access Manager может быть плагином, который поможет вам. Advanced Access Manager можно использовать для настройки области с ограниченным доступом на вашем сайте с использованием ролей и разрешений пользователей. Он также помогает вам управлять пользователями в приватных разделах вашего сайта.
Йост SEO
Если ваша команда сосредоточена на улучшении SEO (поисковой оптимизации) вашего контента, плагин Yoast SEO — отличное место для начала.
Этот плагин позволяет создавать две нестандартные роли пользователей:
- SEO-редактор
- SEO-менеджер
Почему эти две новые пользовательские роли выгодны вам как владельцу сайта WordPress?
Назначив роли в Yoast SEO, вы предоставите своей команде возможность выполнять работу, связанную с SEO, без необходимости вручную отслеживать результаты или просить вас внести изменения на сайт, когда это необходимо.
Как говорится в блоге Yoast:
«Две новые роли, SEO-редактор и SEO-менеджер, обеспечивают гораздо более гибкое решение при работе с несколькими людьми на вашем сайте. Администратор может определить, кто что видит и что делает, а пользователи получают инструменты, необходимые им для работы».
Плагин Yoast SEO — это еще один инструмент, который ставит роли и разрешения пользователей WordPress на передний план административной эффективности.
Подведение итогов: понимание ролей пользователей и разрешений в WordPress
Резюмируем: у трех главных ролей пользователя управления в установке WordPress есть области сайта, специально предназначенные для этой должности. Суперадминистраторы и администраторы контролируют панель инструментов и основные файлы, а также сам сайт. В то время как редакторы управляют менеджером контента и другим контентом. Авторы и участники контролируют только свое содержание и никакое другое. Подписчики могут получить доступ только к содержимому и разрешениям, предоставленным роли руководящими должностями.
Изучив информацию в этой статье, вы теперь гораздо глубже понимаете роли пользователей и права доступа на платформе WordPress. Как видите, роли, которые вы назначаете каждому из ваших пользователей, играют большую роль в том, насколько эффективно вы управляете своим сайтом.
Но независимо от того, насколько тщательно вы следите за тем, чтобы все роли пользователей были назначены лучшим людям, иногда случаются ошибки. Например, когда новый сотрудник, которого вы только что назначили администратором, вызывает сбой вашего сайта при активации нового и непроверенного плагина, плагин резервного копирования WordPress, такой как BackupBuddy, будет абсолютным спасением жизни. Убедитесь, что ваш плагин резервного копирования установлен и активирован, прежде чем произойдет подобная катастрофа.
Как и в других областях WordPress, правильное назначение ролей пользователей и разрешений потребует небольшого количества проб и ошибок. Но с информацией, которую вы только что узнали, вы будете принимать более обоснованные решения.
Кристен пишет учебные пособия, чтобы помочь пользователям WordPress с 2011 года. Как директор по маркетингу здесь, в iThemes, она стремится помочь вам найти лучшие способы создания, управления и поддержки эффективных веб-сайтов WordPress. Кристен также любит вести дневник (ознакомьтесь с ее побочным проектом «Год трансформации !»), походы и кемпинги, степ-аэробику, кулинарию и ежедневные приключения со своей семьей, надеясь жить более настоящей жизнью.