La guía definitiva para la gestión de usuarios de WordPress
Publicado: 2020-08-20No hay nada más complicado para los webmasters que administrar los usuarios de su sitio web. Si los usuarios de su sitio web o solución de comercio electrónico no se administran correctamente, pueden infligir daños en el sitio y aflojar estrictos protocolos de seguridad. Si bien la administración de usuarios de WordPress es de vital importancia, también debe poder administrar su negocio. No desea pasar la mayor parte de su tiempo administrando activamente a sus usuarios. Eso agota sus recursos y tiempo. Debe usar las herramientas adecuadas para automatizar tanto como pueda para que pueda concentrarse en el negocio.
Afortunadamente, hay una solución. Si se adhiere a algunas prácticas recomendadas de seguridad y utiliza las herramientas adecuadas, puede lograr una buena gestión de usuarios. Con los complementos correctos y pautas sólidas de administración de usuarios, puede garantizar el funcionamiento continuo y la seguridad de su sitio web y sus usuarios.
En este artículo, presentaremos los desafíos específicos que enfrentan los webmasters que administran múltiples usuarios. Luego, revelaremos cómo superarlos mediante la implementación de políticas de seguridad rigurosas administradas a través de complementos de WordPress.
Tabla de contenidos
- Por qué necesita centrarse en la gestión de usuarios de WordPress
- Asignar el rol de usuario correcto a cada usuario
- Hacer cumplir contraseñas seguras para sus usuarios
- Deshabilitar usuarios inactivos / eliminar cuentas no utilizadas
- Supervisar la actividad de los usuarios en WordPress
- Administrar sesiones de usuarios de WordPress
- BONIFICACIÓN: agregue 2FA en WordPress
Por qué necesita centrarse en la gestión de usuarios de WordPress
Hay una multitud de sitios que necesitan una gestión integral de usuarios de WordPress para funcionar correctamente. Por ejemplo, sitios de noticias generales. Por lo general, tienen varios autores independientes que necesitan acceso al panel de control de WordPress. Necesitan subir y publicar contenido diariamente.
De manera similar, los grandes sitios de comercio electrónico tendrán equipos que se enfocan en agregar nuevos productos e imágenes, mientras que otros se enfocan en las páginas de pago en línea para asegurarse de que todos los complementos y el software estén actualizados y cumplan con PCI DSS.
Incluso muchos pequeños blogs personales de WordPress tienen más de un usuario hoy en día. Muchos aficionados trabajan en grupos; algunos centrados en el contenido, otros en la optimización SEO y otros en el aspecto técnico del sitio web. No importa el tamaño o el alcance de su sitio web, la administración efectiva de usuarios de WordPress es esencial por varias razones.
La administración de usuarios de WordPress es importante para la seguridad del sitio, la productividad y la administración del sitio web
Cuantos más usuarios tenga, mayor será el riesgo de seguridad para su sitio web. A medida que aumenta la cantidad de usuarios, también se intensifica la probabilidad de que un usuario "rompa algo" sin darse cuenta o siga protocolos de seguridad poco estrictos. Si un administrador del sitio se olvida de eliminar una cuenta de usuario anterior o cambiar su nivel de permisos, podría presentar una puerta trasera para aquellos con intenciones maliciosas para su sitio de WordPress.
Por ejemplo, supongamos que una de esas cuentas inactivas tenía una contraseña débil de los días en que no se prestaba tanta atención a la seguridad de la contraseña. Los piratas informáticos podrían adivinar las contraseñas y entrar por la fuerza bruta en su panel de control. Si eso sucede, causarán todo tipo de estragos. Sin un software que rastree la actividad de los usuarios, ni siquiera sabría lo que hicieron o cuándo se realizaron los cambios.
Sin embargo, la gestión de usuarios de WordPress es más que un simple problema de seguridad. Para sitios web más importantes, el seguimiento de la actividad del usuario le permite mantener a los empleados concentrados en sus tareas y mejorar la productividad. Con un número cada vez mayor de empleados que trabajan de forma remota, los complementos que monitorean la actividad de WordPress se convertirán en instrumentos críticos para medir el rendimiento en los próximos años.
Profundicemos y veamos cómo administrar mejor a los usuarios de nuestro sitio de WordPress.
Asignar el rol de usuario correcto a cada usuario
Este es el primer paso que debe tomar para administrar los usuarios de su sitio web de WordPress; asignando el rol de usuario correcto. A cada usuario de WordPress se le debe asignar un rol y hay varios roles de usuario definidos dentro de WordPress. Son los siguientes (en orden de antigüedad):
- Administrador (Esta es la persona con acceso completo al sitio web)
- Editor (Este rol puede publicar y editar publicaciones de cualquier otro usuario)
- Autor (Puede publicar y administrar solo sus propias publicaciones)
- Colaborador (los colaboradores pueden escribir, editar y enviar publicaciones para su revisión, pero no pueden publicarlas)
- Suscriptor (el nivel de acceso más bajo, este rol solo obtiene acceso a su propio perfil)
Además de estos roles predeterminados, muchos complementos de terceros crean sus propios roles personalizados. Por ejemplo, WooCommerce crea los roles de Gerente de tienda y Cliente .
IMPORTANTE: utilice siempre el principio de privilegios mínimos al asignar un rol a un usuario. Esto significa otorgar a los usuarios privilegios suficientes para trabajar, no más. Sí, es más fácil simplemente asignar a cada usuario el Administrador porque tendrían acceso a todo. Sin embargo, tal enfoque conduce a muchos problemas y problemas de seguridad.
Cómo hacer cumplir contraseñas seguras para sus usuarios
Como se mencionó, las contraseñas débiles son los mayores culpables cuando se trata de violaciones de seguridad del sitio web de WordPress. Por lo tanto, el primer paso de la gestión eficaz de usuarios de WordPress comienza con la aplicación de contraseñas seguras para todos los usuarios, independientemente de su antigüedad.
Comunicarse con cada usuario en un gran sitio de WordPress es casi imposible. Por lo tanto, necesita un complemento para ayudar a administrar este requisito de seguridad mejorado. Con WPassword, puede aplicar contraseñas seguras a cada usuario para garantizar la seguridad continua de su sitio.
Puede personalizar las políticas de contraseña según el rol del usuario y estipular los requisitos de aprobación (como la longitud de la contraseña, el historial, la complejidad y el uso de caracteres especiales) dentro del complemento.
Deshabilite los usuarios inactivos y elimine los no utilizados
Mejor aún, puede usar el complemento para habilitar una política de usuario inactiva, evitando que esas cuentas antiguas y sin usar se conviertan en una amenaza de piratería. Sin embargo, la política de usuarios inactivos solo se aplica a los usuarios que se volverán a utilizar en un futuro próximo. Si tiene usuarios en su sitio web que nunca se utilizarán, simplemente elimínelos.
Obtenga una prueba de 7 días de WPassword
Cómo monitorear la actividad de los usuarios en WordPress
A medida que crece la cantidad de usuarios en su sitio, se vuelve imposible realizar un seguimiento de los cambios que realiza cada usuario. Sin embargo, con una supervisión eficaz de los usuarios, puede evitar que los usuarios realicen acciones que pongan en peligro o interrumpan su sitio web.
Con eso en mente, debe mantener un registro de actividad en WordPress para poder estar al tanto de todos los cambios realizados en su sitio web de WordPress. La forma más rápida y sencilla de lograr ese resultado es instalando un complemento como WP Activity Log.
Con la confianza de las principales marcas como Amazon e Intel, este complemento proporciona a los webmasters una gran cantidad de funciones. Por ejemplo:
- Registra información sobre los inicios de sesión de los usuarios, incluida la ubicación, la hora y qué cuenta se utilizó para obtener acceso
- Crea un registro de actividad transparente de todo el contenido nuevo, los usuarios y los cambios en la configuración del sitio web
- Mantiene un registro de actividad de los cambios realizados en complementos populares de WordPress como WooCommerce, Yoast SEO y WPForms
- Alerta a los webmasters de cambios críticos por correo electrónico o mensajes SMS, como cambios en las contraseñas y roles de los usuarios.
Otra característica útil de este complemento de registro de actividad es el módulo de administración de sesiones de usuarios de WordPress, que permite a los administradores del sitio obtener una vista de todos los usuarios registrados en el sitio web en tiempo real. Esto es ventajoso desde el punto de vista de la seguridad. Además, es una solución perfecta para empresas que usan trabajo remoto y oficinas virtuales.
Con la capacidad de realizar un seguimiento del trabajo de los empleados, puede asegurarse de que están realizando las tareas que se supone que deben realizar y que no realizan ningún cambio en el sitio web que lo ponga en riesgo.
Para desarrollar una mejor comprensión de cómo este complemento puede mejorar la seguridad y la administración de su sitio web, comience su prueba de 14 días sin riesgos de WP Activity Log .
Cómo administrar sesiones de usuario en WordPress (bloquear y limitar)
Uno de los problemas más comunes que enfrentan los webmasters que ejecutan sitios web de membresía es que los usuarios inician sesión desde múltiples ubicaciones simultáneamente. Lo que esto significa, en realidad, es que muchas personas pueden iniciar sesión en la misma cuenta paga. Esta no solo es una mala noticia para su balance final, sino que presenta una amenaza de seguridad para su sitio de WordPress.
Todo lo que se necesita es que una de esas personas filtre descuidadamente sus contraseñas. De repente, podría estar en el extremo receptor de un ataque de pirateo de malware. En la mayoría de los casos, esto lleva a que su sitio web sea inaccesible o sin conexión por un período indefinido.
Afortunadamente, puede protegerse como propietario de un sitio web utilizando el registro de actividad de WP para restringir la cantidad de inicios de sesión simultáneos en cuentas de usuario específicas de WordPress. Con esas restricciones vigentes, usted:
- tenga la seguridad de que sus ingresos son lo que deberían ser
- mejorar la postura de seguridad de su sitio web
Mejora tu gestión de usuarios de WordPress
WordPress es, sin duda, el principal sistema de gestión de contenido para webmasters. Sin embargo, debe tomar medidas para reforzar sus defensas a fin de proteger la integridad de su sitio web y su negocio.
En muchos casos, eso implicará educar a sus usuarios sobre las mejores prácticas. Debe educar a todos, incluidos sus empleados y clientes. A medida que aumenta la cantidad de usuarios, seguramente habrá algunos que ignoren sus políticas. Esto podría dejar su sitio abierto a amenazas externas.
Además, si opera un negocio en línea, muchos de sus empleados pueden trabajar de forma remota. En cuyo caso, ¿cómo puede realizar un seguimiento de los cambios que están realizando en su sitio web de WordPress sin un software especializado que le informe? Del mismo modo, ¿cómo puede medir su desempeño?
En ambos casos, los complementos especializados pueden proporcionar la respuesta. Son rentables, fáciles de instalar y su configuración requiere solo unos minutos de su tiempo.
Al instalar WPassword y WP Activity Log, puede administrar mejor a los usuarios de su sitio web al:
- Hacer cumplir las fortalezas mínimas de la contraseña para evitar intentos de piratería maliciosos
- Bloqueo de usuarios antiguos o inactivos que presentan un alto nivel de amenaza
- Seguimiento de las acciones de todos los usuarios en tiempo real
- Reciba alertas sobre cambios significativos en la configuración de su sitio web de WordPress y perfiles de usuario
- Restrinja la cantidad de inicios de sesión simultáneos en una cuenta
BONIFICACIÓN: implemente la autenticación de dos factores para obtener una capa adicional de seguridad
Al implementar las medidas establecidas anteriormente, mejorará significativamente la seguridad de su sitio web. Sin embargo, agregue autenticación de dos factores (2FA) para fortalecer aún más su mecanismo de autenticación. Con 2FA evita que los atacantes maliciosos secuestren las cuentas de los usuarios, incluso si adivinan sus contraseñas. Si opera una tienda de comercio electrónico de WordPress, este es otro paso excelente para garantizar que los clientes o los miembros del sitio de membresía mantengan seguras sus cuentas y datos personales.
Descargue e instale el complemento WP 2FA de forma gratuita e implemente rápidamente la autenticación de dos factores (2FA) para todos los usuarios de su sitio web.