Roles y permisos de usuario de WordPress: la guía esencial
Publicado: 2022-04-05Los roles y permisos de usuario de WordPress ofrecen controles de acceso y privilegios para su sitio web de WordPress. Desde superadministrador hasta suscriptor, cada usuario de WordPress que inicia sesión en su sitio web tiene asignado un conjunto específico de permisos o capacidades.
Pero, ¿qué tan familiarizado está con los roles de usuario de WordPress, qué significa cada uno de ellos y por qué es tan importante que los use de la manera correcta? Si aún no tiene una comprensión completa de los roles de los usuarios dentro de la plataforma de WordPress, no está solo. Muchos propietarios de sitios de WordPress no aprovechan al máximo el poder de los roles y permisos de usuario de WordPress mientras administran sus sitios.
En esta guía, cubriremos todo lo que necesita saber para comprender los roles y permisos de los usuarios de WordPress. Echemos un vistazo más profundo.
¿Qué son los roles de usuario de WordPress?
Los roles de usuario de WordPress definen el nivel de acceso y las capacidades que un usuario puede utilizar para iniciar sesión, ver, editar o administrar un sitio de WordPress.Una capacidad es una función específica o un conjunto de acciones que un usuario puede realizar. Cada rol de usuario de WordPress está claramente definido, por lo que no hay malentendidos sobre las cosas a las que puede acceder cada rol de usuario y las tareas que puede realizar.
Dentro de WordPress, verá que hay seis roles de usuario de WordPress que puede seleccionar para cada nuevo usuario que agregue a su sitio web. El rol de usuario que elija para cada usuario individual depende del nivel de permiso y acceso que desea que tengan en su sitio.
Por ejemplo, un rol de usuario de WordPress define capacidades como:
- Quién puede gestionar los comentarios
- Quién puede escribir publicaciones de blog
- Quién puede agregar páginas
- Quién puede instalar o actualizar complementos o temas
- Quién puede agregar nuevos usuarios
- Qué miembros del equipo pueden eliminar el spam
Si bien es posible que haya ignorado los roles y permisos de usuario de WordPress hasta ahora, la verdad es que comprender cada rol es esencial, sin importar si está a cargo de un sitio web corporativo, una revista de noticias o un blog personal.
Los 6 roles de usuario de WordPress
Los seis principales roles de usuario de WordPress disponibles en WordPress son:
- Superadministrador (para redes multisitio de WordPress)
- Administrador
- Editor
- Autor
- Contribuyente
- Abonado
Al agregar un nuevo usuario en WordPress, verá las opciones de roles enumeradas en un menú desplegable.
Antes de continuar, veamos cada uno de ellos en detalle.
1. Superadministrador
Este rol de superadministrador en WordPress está reservado para las redes multisitio de WordPress. Las personas a las que se les asigna la función de superadministrador tienen responsabilidades completas sobre todos los sitios dentro de la red y pueden administrar todas las características del sitio dentro de cada sitio.Los superadministradores tienen el poder de eliminar a otros usuarios (incluso a los administradores), por lo que es importante que solo asigne esta función a los miembros del equipo en los que realmente confíe. Un superadministrador puede afectar (positiva o negativamente) muchas partes de su negocio, incluida su red y los demás usuarios que ejecutan su sitio.
Un superadministrador de WordPress también puede crear nuevos sitios web, administrar temas y complementos en la red multisitio, agregar, administrar o eliminar contenido en cada sitio. El superadministrador controla la red con todas las configuraciones y problemas de seguridad. El primer usuario que configura la red multisitio es el superadministrador predeterminado.
Solo tenga en cuenta que las redes multisitio de WordPress son una de las formas más avanzadas de usar WordPress como un sistema de gestión de contenido. Si no tiene una red multisitio, no necesitará usar la función de superadministrador para ninguno de sus usuarios.
Consejos sobre el rol de usuario de superadministrador de WordPress
- Dentro de una red multisitio de WordPress, mantenga simple la organización de sus roles de usuario. Un solo usuario con solo un par de sitios solo necesita el superadministrador predeterminado. A medida que la organización crece, cree roles de usuario significativos para los empleados.
- Hay muchas formas de configurar una red multisitio de WordPress y sus usuarios. Si es una agencia o un trabajador independiente con varios sitios, asigne a cada cliente el rol de Administrador o Editor para un sitio específico.
- Concéntrese en los controles de seguridad del usuario de WordPress desde el primer inicio de sesión. WordPress es un objetivo favorito para los piratas informáticos experimentados, y la sofisticación está creciendo en el mundo de los ataques de malware y virus. La toma de huellas dactilares del navegador también es una amenaza creciente para la privacidad.
- Controle la configuración de toda la red con precaución. Planifique con cuidado los registros de nuevos usuarios y los correos electrónicos de bienvenida.
2. Administrador
En una sola instalación de WordPress, el rol de usuario Administrador tiene acceso total a todas las funciones del sitio. Para la mayoría de los propietarios de sitios, la función de administrador de WordPress es la función de usuario más importante en WordPress.El rol de administrador del sitio casi siempre se asigna al propietario del sitio web y/o al desarrollador principal y tiene acceso a todas las funciones, configuraciones y opciones de WordPress. Para todos los efectos, el Administrador es el Rey y Jefe de su sitio de WordPress. Es por eso que tener un buen manejo de las responsabilidades de ser un administrador de WordPress es una buena idea.
El rol de administrador de WordPress tiene acceso completo para agregar y editar publicaciones y páginas, cambiar o actualizar la configuración del sitio, agregar e instalar temas y complementos, y mucho más.
El rol de administrador de WordPress también puede actualizar WordPress junto con los complementos y temas instalados en el sitio. El proceso de actualización de WordPress es un área que debe abordarse con precaución; un solo error puede acabar con el sitio.
El administrador también está a cargo de asignar roles de usuario y permisos a otros usuarios. El rol de usuario Administrador puede modificar usuarios y sus permisos, que es otra función que debe manejarse con cuidado.
Explicación de las capacidades del administrador
- En todo el sitio: actualice los archivos principales de WordPress, administre todas las configuraciones, administre el código HTML y JavaScript para todos los usuarios
- Complementos: instalar, editar y eliminar
- Temas: instalar y cambiar, editar widgets y menús, acceder al personalizador
- Usuarios: crear, editar y eliminar
- Publicaciones y páginas: agregue nuevas, publique, administre taxonomías
Consejos para el usuario administrador
- Limite el número de usuarios asignados al rol de usuario Administrador. Idealmente, solo debería haber un usuario que controle la instalación de WordPress.
- Su seguridad de WordPress comienza y termina con el rol de usuario Administrador de WordPress. Dado que los administradores de WordPress tienen acceso completo a todas las cosas en el sitio, un administrador de WordPress necesita un inicio de sesión de WordPress muy seguro. Esto significa usar una contraseña segura, autenticación de dos factores o incluso una función de inicio de sesión sin contraseña proporcionada por un complemento de seguridad de WordPress como iThemes Security Pro.
- Los administradores de WordPress deben mantener los archivos principales de WordPress actualizados y seguros. Los administradores también son responsables de mantener actualizados los complementos y los temas, una parte importante del mantenimiento exitoso de WordPress.
3. Redactor
El rol de usuario Editor en WordPress es responsable de administrar y crear contenido para su sitio de WordPress. Un Editor puede crear, eliminar y editar cualquier contenido del sitio, incluido el contenido producido por otros usuarios con permisos iguales o inferiores a los del Editor.Los usuarios editores administran todas las ediciones del sitio y aprueban/programan el contenido enviado por los colaboradores y los autores. Sin embargo, un editor no tiene acceso a elementos como complementos, widgets, configuraciones de WordPress o agregar o eliminar usuarios.
El trabajo de un editor implica una cosa importante: el contenido. Y eso es todo lo que podrán acceder en el panel de control de WordPress. Los editores también pueden administrar categorías en el sitio junto con agregar o eliminar etiquetas personalizadas. Las taxonomías y la carga de archivos en el sitio es otra responsabilidad del rol del Editor. Los editores también tienen control total de los comentarios. Pueden moderar, aprobar o eliminar cualquier comentario.
¿Quién debe tener el rol de usuario editor?
El rol de Editor debe recaer en alguien de confianza del Administrador. Los roles se pueden modificar en WordPress; si es necesario, los permisos de la función Editor se pueden reducir o cambiar a medida que se gana confianza.
- El gerente de un equipo de contenido o publicación en línea
- Gerentes de marketing responsables del contenido
- Los propietarios de pequeñas empresas pueden usar ambos sombreros (rol de usuario Administrador y Editor)
Editor versus autor
Los nuevos usuarios pueden ver a los editores y autores de WordPress bajo la misma luz. En muchos sentidos, son sin embargo, hay diferencias.
- Páginas: los editores tienen acceso a todas las páginas con permiso para agregar, editar o eliminar. Los autores no tienen tal acceso.
- Contenido: los editores tienen acceso a todo el contenido del sitio. En una red multisitio, solo los permisos otorgados al rol de Editor. Los editores pueden eliminar o editar todo el contenido. Los autores tienen acceso para editar o eliminar, solo el contenido que han producido
4. Autor
Como probablemente sospechaba, el rol de usuario Autor en WordPress tiene la capacidad de escribir, redactar y publicar contenido nuevo en su sitio. También tienen acceso al contenido de su biblioteca multimedia de WordPress. Necesitarán este nivel de acceso para producir excelentes publicaciones de blog.El rol de usuario Autor normalmente se asigna a los nuevos asociados que contrata para centrarse en impulsar contenido excelente. Los autores tienen un conjunto limitado de permisos dentro de una instalación de WordPress. El rol puede agregar, editar o eliminar su contenido, pero no tiene acceso a otro contenido ni a la configuración del sitio. Los roles de autor pueden ser tan amplios o limitados como lo permita el Editor o el Administrador. Los autores tienen permiso para subir contenido e imágenes.
El rol de Autor también tiene el poder de editar los comentarios de los lectores. Sin embargo, solo pueden editar los comentarios que se dejan en sus publicaciones.
Los autores no podrán acceder a publicaciones o páginas creadas por otros usuarios. Tampoco pueden agregar complementos, crear nuevas categorías, cambiar la configuración del sitio o hacer cualquier otra cosa que afecte el rendimiento del sitio.
¿Quién debe tener el rol de usuario autor?
- Organizaciones que tienen equipos dedicados a la creación de contenido o marketing, como reporteros, relaciones públicas, portavoces de la empresa.
- Cualquier empresa que distribuya información, como un canal de noticias o empresas deportivas, debe otorgar a los reporteros el rol de autor. Se pueden otorgar permisos adicionales según sea necesario
Una nota de precaución para el papel del autor
- Tenga cuidado al otorgar el rol de usuario de Autor a alguien que no sea su empleado o que no sea de su confianza. Si ha creado mucho contenido y luego deja la empresa, el autor puede eliminar todo el contenido.
- Siempre es una buena práctica eliminar CUALQUIER rol de usuario de Autor que abandone el sitio y reasignar el contenido a otro Autor. Si un usuario se va con planes de regresar, cambie la contraseña de inmediato y elimine los permisos otorgados. Restablezca el rol cuando el usuario regrese.
5. Colaborador
El rol de usuario Colaborador puede escribir publicaciones de blog o artículos, pero no puede publicarlos. Cuando completan un borrador, pasa a la sección de borradores para que un administrador o editor lo revise antes de publicarlo.El rol de usuario Colaborador tiene muy pocos permisos en una instalación de WordPress. El permiso predeterminado es la capacidad de enviar contenido para su revisión. Los colaboradores no pueden publicar el contenido ni cargar ninguna imagen asociada. Solo un Editor o un Administrador puede publicar el contenido. Una vez que se publica el contenido, un Colaborador ya no tiene acceso a ese contenido.
Los colaboradores envían su contenido a un administrador o editor para su revisión. Aquí hay una descripción general del proceso de envío y aprobación de publicaciones:
- Los colaboradores escriben su contenido en el Editor de WordPress y, cuando lo completan, presionan el botón "Enviar para revisión".
- Los editores o un administrador inician sesión en WordPress y localizan la publicación desde las aprobaciones pendientes
- La publicación se edita en busca de errores gramaticales y las imágenes deben insertarse en esta etapa. El administrador o editor presiona el botón "Publicar".
- Cualquier edición o cambio futuro debe ser realizado por el Administrador o el Editor porque el Colaborador original ya no tiene acceso a la publicación.
Un Colaborador tampoco tendrá acceso a la biblioteca de medios de WordPress. Agregar fotos, imágenes o videos a un artículo enviado por un Colaborador dependerá de un Administrador o Editor.
Los permisos asignados como Colaborador tampoco pueden eliminar, modificar o aprobar los comentarios de los usuarios.
¿Quién debe tener el rol de usuario colaborador?
¿Tiene miembros de la comunidad que aportan artículos y contenido a su sitio? ¿Permites publicaciones de invitados? Si es así, Colaborador es el rol que le asignaría.
- Escritores externos a la organización que pueden contribuir al blog.
- Los escritores de contenido de nivel de entrada que necesitan una gran edición deben ser colaboradores.
Colaborador versus autor
- Publicación de contenido: los autores tienen los permisos para publicar y editar su contenido y ningún otro. Los colaboradores solo pueden enviar sus publicaciones para su revisión. Una vez que se publica el contenido de un colaborador, solo el administrador o el editor pueden editar la pieza.
- Medios e imágenes: los colaboradores no tienen acceso a imágenes o medios. Los autores pueden cargar y editar sus medios.
6. Suscriptor
El rol de usuario Suscriptor es el rol de usuario más básico que puede asignar a alguien en su sitio de WordPress. De hecho, WordPress usa este rol como predeterminado para todos los nuevos usuarios del sitio.
Puede pensar en el rol de Suscriptor de manera similar a uno de sus seguidores en las redes sociales. Básicamente, un suscriptor sigue tu blog y quiere ser parte de él.
Capacidades del Suscriptor
Hay dos permisos principales para el rol de suscriptor de WordPress. Pueden ver su perfil y ver el tablero. Los suscriptores no tienen permisos para editar contenido ni ninguna configuración del sitio de WordPress.
Dependiendo de la funcionalidad general de su sitio, un Suscriptor puede interactuar con otros usuarios y Suscriptores, pero no tiene acceso a su panel de control de WordPress ni a las herramientas de edición.
Los suscriptores se pueden utilizar como una herramienta de acceso de nivel de entrada o de inclusión con fines de marketing. De forma predeterminada, los Suscriptores no tienen acceso a ninguna configuración o contenido del sitio, lo que hace que el rol sea inherentemente seguro.
¿Quién debe tener el rol de usuario suscriptor?
Como herramienta de marketing, el rol de Suscriptor es un punto de entrada perfecto a su sitio. Los suscriptores tienen el rol más restrictivo; sin embargo, le da un perfil a la persona, que es todo lo que una persona necesita para sentirse incluida.
Tabla de comparación de roles de usuario de WordPress
A continuación se muestra un cuadro comparativo de los roles de usuario de WordPress y sus capacidades.
| Capacidad | Superadministrador (en configuración multisitio) | Administrador | Editor | Autor | Contribuyente | Abonado |
|---|---|---|---|---|---|---|
| Crear sitios | Y | norte | norte | norte | norte | norte |
| Eliminar sitios | Y | norte | norte | norte | norte | norte |
| Administrar red | Y | norte | norte | norte | norte | norte |
| Administrar sitios | Y | norte | norte | norte | norte | norte |
| Administrar usuarios de la red | Y | norte | norte | norte | norte | norte |
| Administrar complementos de red | Y | norte | norte | norte | norte | norte |
| Administrar temas de red | Y | norte | norte | norte | norte | norte |
| Administrar opciones de red | Y | norte | norte | norte | norte | norte |
| Subir complementos | Y | Y (sitio único) | norte | norte | norte | norte |
| Subir temas | Y | Y (sitio único) | norte | norte | norte | norte |
| Actualizar red | Y | norte | norte | norte | norte | norte |
| Configurar red | Y | norte | norte | norte | norte | norte |
| Activar complementos | Y | Y (sitio único o habilitado por configuración de red) | norte | norte | norte | norte |
| Crear usuarios | Y | Y (sitio único) | norte | norte | norte | norte |
| Eliminar complementos | Y | Y (sitio único) | norte | norte | norte | norte |
| Eliminar temas | Y | Y (sitio único) | norte | norte | norte | norte |
| Eliminar usuarios | Y | Y (sitio único) | norte | norte | norte | norte |
| Editar archivos | Y | Y (sitio único) | norte | norte | norte | norte |
| Editar complementos | Y | Y (sitio único) | norte | norte | norte | norte |
| Editar opciones de tema | Y | Y | norte | norte | norte | norte |
| Editar temas | Y | Y (sitio único) | norte | norte | norte | norte |
| Editar usuarios | Y | Y (sitio único) | norte | norte | norte | norte |
| Exportar | Y | Y | norte | norte | norte | norte |
| Importar | Y | Y | norte | norte | norte | norte |
| Instalar complementos | Y | Y (sitio único) | norte | norte | norte | norte |
| Instalar temas | Y | Y (sitio único) | norte | norte | norte | norte |
| Lista de usuarios | Y | Y | norte | norte | norte | norte |
| Administrar opciones | Y | Y | norte | norte | norte | norte |
| Promocionar usuarios | Y | Y | norte | norte | norte | norte |
| Eliminar usuarios | Y | Y | norte | norte | norte | norte |
| Cambiar temas | Y | Y | norte | norte | norte | norte |
| Actualizar núcleo | Y | Y (sitio único) | norte | norte | norte | norte |
| Actualizar complementos | Y | Y (sitio único) | norte | norte | norte | norte |
| Actualizar temas | Y | Y (sitio único) | norte | norte | norte | norte |
| Editar tablero | Y | Y | norte | norte | norte | norte |
| personalizar | Y | Y | norte | norte | norte | norte |
| Eliminar sitio | Y | Y | norte | norte | norte | norte |
| Comentarios moderados | Y | Y | Y | norte | norte | norte |
| Gestionar categorías | Y | Y | Y | norte | norte | norte |
| Administrar enlaces | Y | Y | Y | norte | norte | norte |
| Editar publicación de otros | Y | Y | Y | norte | norte | norte |
| Editar páginas | Y | Y | Y | norte | norte | norte |
| Editar otras páginas | Y | Y | Y | norte | norte | norte |
| Editar páginas publicadas | Y | Y | Y | norte | norte | norte |
| Publicar páginas | Y | Y | Y | norte | norte | norte |
| Eliminar páginas | Y | Y | Y | norte | norte | norte |
| Eliminar otras páginas | Y | Y | Y | norte | norte | norte |
| Eliminar páginas publicadas | Y | Y | Y | norte | norte | norte |
| Eliminar otras publicaciones | Y | Y | Y | norte | norte | norte |
| Eliminar publicaciones privadas | Y | Y | Y | norte | norte | norte |
| Editar publicaciones privadas | Y | Y | Y | norte | norte | norte |
| Leer publicaciones privadas | Y | Y | Y | norte | norte | norte |
| Eliminar páginas privadas | Y | Y | Y | norte | norte | norte |
| Editar páginas privadas | Y | Y | Y | norte | norte | norte |
| Leer páginas privadas | Y | Y | Y | norte | norte | norte |
| Editar publicaciones publicadas | Y | Y | Y | Y | norte | norte |
| Subir archivos a la biblioteca de medios | Y | Y | Y | Y | norte | norte |
| Publicar publicaciones | Y | Y | Y | Y | norte | norte |
| Eliminar publicaciones publicadas | Y | Y | Y | Y (si es autor) | N (si es autor) | norte |
| Editar publicaciones | Y | Y | Y | Y (si es autor) | Y (si es autor) | norte |
| Eliminar publicaciones | Y | Y | Y | Y (si es autor) | Y (si es autor) | norte |
| Leer páginas y publicaciones. | Y | Y | Y | Y | Y | Y |
¿Cómo agrego un nuevo usuario en WordPress?
Agregar un nuevo usuario en WordPress requiere que sea un usuario administrador. A partir de ahí, agregar un nuevo usuario en WordPress es un proceso bastante sencillo. Aquí es donde inicialmente asignará al usuario un rol y permisos.
Por supuesto, como administrador, siempre puede cambiar la función del usuario más adelante si se adapta mejor a sus necesidades. Más de eso en un minuto.
Los pasos para agregar un nuevo usuario a su sitio de WordPress son los siguientes:
1. Inicie sesión en el panel de administración de WordPress (https://examplesite.com/wp-admin).
2. En el menú del panel de administración de WordPress, haga clic en el elemento del menú Usuarios y, a continuación, haga clic en Agregar nuevo.
3. Ingrese el nombre del nuevo usuario, dirección de correo electrónico, nombre y apellido y sitio web.
4. Seleccione el rol de usuario como se definió anteriormente.
5. Haga clic en la casilla de verificación frente a "enviar al nuevo usuario un correo electrónico sobre su cuenta".
6. Haga clic en el botón Agregar nuevo usuario y se agregará el nuevo usuario.
Repita estos pasos para cada nuevo usuario, prestando especial atención a las funciones de usuario y los permisos que asigna a cada uno.
Consejos para agregar nuevos usuarios de WordPress
Los roles de autor, colaborador y suscriptor son sencillos en su creación y permisos. Los puestos de superadministrador, administrador y editor pueden ser un área importante de fortaleza para la organización si se consideran y trazan cuidadosamente.
- Las instalaciones de varios sitios deben tener un superadministrador, independientemente de la cantidad de sitios adicionales. Si hay algún problema de seguridad, usuario o archivo principal, los superadministradores son los responsables. La seguridad debe estar en la mente de todas las personas involucradas con un sitio web. WordPress es excepcional en la forma en que actualiza los archivos principales y la seguridad; sin embargo, tener varios superadministradores puede causar estragos.
- Designe un solo administrador o editor para cada sitio adicional en una red multisitio. Si hay cientos de sitios virtuales, asigne a los administradores o editores más de un sitio para administrar.
- Los desarrolladores web independientes que venden sitios o agencias deben otorgar funciones de administrador a cada propietario del sitio, pero prohibir estrictamente el acceso a cualquier configuración de red.
¿Cómo encuentro roles de usuario en WordPress?
Para los usuarios existentes, es posible que desee ver las funciones de usuario que están asignadas actualmente. Después de todo, es posible que algunas de estas funciones se hayan asignado antes de que tuviera un conocimiento profundo de las funciones y los permisos de los usuarios de WordPress.
Ahora es el momento de verificar sus roles de usuario actualmente asignados.
Para hacer esto, simplemente siga estos pasos:
1. Inicie sesión en el panel de administración de WordPress.
2. En su panel de administración de WordPress, haga clic en la sección Usuarios, luego haga clic en Todos los usuarios.
4. Vea la lista de todos sus usuarios actuales.
5. Junto a la columna Correo electrónico, verá Rol. Este es el rol de usuario asignado a cada usuario del sitio.
Ahora que conoce el rol asignado a cada usuario, tal vez desee realizar algunos ajustes en la asignación.
¿Cómo cambio los roles de usuario en WordPress?
Un cambio de rol de usuario de WordPress es inmediato y el usuario será notificado por correo electrónico de su nuevo rol en su sitio.
Para cambiar un rol de usuario de WordPress, siga los pasos 1-4 anteriores. Una vez que esté viendo la lista de todos los usuarios de su sitio, querrá:
1. Pase el cursor sobre el nombre del usuario que desea actualizar. Al pasar el cursor sobre el usuario seleccionado, se le presentarán opciones de edición.
2. Después de hacer clic para editar, podrá cambiar campos como nombre, correo electrónico y sitio web. Sin embargo, no puede cambiar un nombre de usuario aquí.
3. En la parte inferior del perfil de usuario, verá un menú desplegable que le permite cambiar/seleccionar la función del usuario.
4. Elija la nueva función de usuario.
5. Guarde el perfil de usuario.
WordPress implementa los cambios de roles y permisos en el instante en que los guarda.
¿Cómo elimino un usuario existente?
Probablemente habrá momentos en los que un usuario deba ser eliminado por completo de su sitio.
Tal vez contrató a un editor independiente temporal para proporcionar servicios de edición para su sitio en el transcurso de dos meses. Cuando vence el período de dos meses y finaliza el contrato, ya no desea que el trabajador independiente tenga acceso a su sitio.
Para eliminar a este usuario y eliminar todos sus permisos para su sitio web, siga los pasos 1-4 enumerados anteriormente para encontrar un usuario.
Después de ubicar al usuario que se eliminará, coloque el cursor sobre su nombre y haga clic en la opción Eliminar.
Después de confirmar la eliminación, se notificará al usuario por correo electrónico que ha sido eliminado de su sitio. Ya no tendrán ninguna credencial para iniciar sesión.
Es importante tener en cuenta que no puede eliminarse a sí mismo ni a otros administradores (a menos que sea un superadministrador en una cuenta de varios sitios).
¿Cómo administro los roles de usuario en WordPress?
La forma en que elija administrar los roles y permisos de los usuarios en su sitio de WordPress depende completamente de usted. Después de todo, ¿quién conoce las habilidades y limitaciones de los miembros de su equipo tan bien como usted?
Antes de elegir los roles que son apropiados para cada usuario en su sitio, dé un paso atrás y hágase una serie de preguntas sobre ellos.
- ¿Se puede confiar en el usuario para administrar completamente su tablero de WordPress?
- ¿Confías en el usuario para organizar adecuadamente el contenido de tu sitio?
- ¿Necesita revisar las publicaciones del usuario antes de que se publiquen? ¿O confías en su juicio?
- ¿Debería el usuario tener la capacidad de editar y publicar publicaciones de otros usuarios?
Antes de asignar un nuevo usuario a la función de administrador, es importante que tenga un conocimiento profundo de la plataforma de WordPress.
Seguridad del usuario de WordPress
La seguridad de los usuarios en su sitio web es importante. ¡Mucho! ¿Por qué? Un solo usuario administrador con una contraseña débil podría socavar todas las demás medidas de seguridad del sitio web que haya implementado. Por eso es tan importante que audite la fuerza de la seguridad utilizada por los usuarios Administrador y Editor en su sitio web.
La verificación de seguridad del usuario del complemento iThemes Security Pro le permite auditar y modificar rápidamente 5 elementos críticos de la seguridad del usuario:
- Estado de autenticación de dos factores
- Antigüedad y solidez de la contraseña
- Última vez activo
- Sesiones activas de WordPress
- Rol del usuario
Además, el complemento iThemes Security Pro tiene un montón de herramientas que puede usar para aumentar la seguridad de los usuarios de WordPress en su sitio web. Las funciones de autenticación de dos factores y requisitos de contraseña por sí solas protegen a sus usuarios de WordPress del 100 % de los ataques de bots automatizados.
Sin embargo, estas dos herramientas de seguridad del usuario solo son efectivas si los usuarios de su sitio web realmente las están utilizando.
7 consejos para proteger a sus usuarios de WordPress
Echemos un vistazo a las cosas que puede hacer para proteger a sus usuarios de WordPress. La verdad es que estos métodos de seguridad ayudarán a proteger a todo tipo de usuario de WordPress. Pero, a medida que analicemos cada uno de los métodos, le informaremos a qué usuarios debe solicitar que utilicen el método.
1. Brinde a las personas solo las capacidades que necesitan
La forma más fácil de proteger su sitio web es brindar a sus usuarios solo las capacidades que necesitan y nada más. Si lo único que alguien va a hacer en su sitio web es crear y editar sus propias publicaciones de blog, no necesita la capacidad de editar las publicaciones de otras personas.
2. Limite los intentos de inicio de sesión
Los ataques de fuerza bruta se refieren a un método de prueba y error utilizado para descubrir combinaciones de nombre de usuario y contraseña para piratear un sitio web. De forma predeterminada, no hay nada integrado en WordPress para limitar la cantidad de intentos fallidos de inicio de sesión que alguien puede hacer.
Sin un límite en la cantidad de intentos de inicio de sesión fallidos, un atacante puede seguir intentando una cantidad infinita de nombres de usuario y contraseñas hasta que tenga éxito.
La función de protección de fuerza bruta local de iThemes Security Pro realiza un seguimiento de los intentos de inicio de sesión no válidos realizados por direcciones IP y nombres de usuario. Una vez que una IP o un nombre de usuario haya realizado demasiados intentos de inicio de sesión no válidos consecutivos, se bloquearán y se les impedirá realizar más intentos de inicio de sesión.
3. Usuarios seguros de WordPress con contraseñas seguras
Cuanto más segura sea la contraseña de su cuenta de usuario de WordPress, más difícil será adivinarla. Se necesitan 0,29 milisegundos para descifrar una contraseña de siete caracteres. ¡Pero un hacker necesita dos siglos para descifrar una contraseña de doce caracteres!
Idealmente, una contraseña segura es una cadena alfanumérica de doce caracteres. La contraseña debe contener letras mayúsculas y minúsculas, así como otros caracteres ASCII.
Si bien todos pueden beneficiarse del uso de una contraseña segura, es posible que solo desee obligar a las personas con capacidades de nivel de autor y superiores a tener contraseñas seguras.
La función de requisito de contraseñas de iThemes Security Pro le permite obligar a usuarios específicos a usar una contraseña segura.
4. Rechazar contraseñas comprometidas
Los piratas informáticos a menudo usan una forma de ataque de fuerza bruta llamada ataque de diccionario. Un ataque de diccionario es un método de irrumpir en un sitio web de WordPress con contraseñas de uso común que han aparecido en volcados de bases de datos. La “Colección #1? La filtración de datos alojada en MEGA incluía 1 160 253 228 combinaciones únicas de direcciones de correo electrónico y contraseñas. Eso es mil millones con b. Ese tipo de puntaje realmente ayudará a un ataque de diccionario a reducir las contraseñas de WordPress más utilizadas.
Es imprescindible evitar que los usuarios con capacidades de nivel de Autor y superiores utilicen contraseñas comprometidas. También puede pensar en no permitir que sus usuarios de nivel inferior usen contraseñas comprometidas.
Es completamente comprensible y recomendable hacer que la creación de una nueva cuenta de cliente sea lo más fácil posible. Sin embargo, es posible que su cliente no sepa que la contraseña que está utilizando se encontró en un volcado de datos. Le estaría haciendo un gran servicio a su cliente al alertarlo sobre el hecho de que la contraseña que está utilizando ha sido comprometida. Si están usando esa contraseña en todas partes, podría salvarlos de algunos dolores de cabeza importantes en el futuro.
La función Rechazar contraseñas comprometidas de iThemes Security Pro obliga a los usuarios a usar contraseñas que no hayan aparecido en ninguna violación de contraseña rastreada por Have I Been Pwned.
5. Usuarios seguros de WordPress con autenticación de dos factores
La autenticación de dos factores es un proceso de verificación de la identidad de una persona al requerir dos métodos de verificación separados antes de que pueda iniciar sesión. Google compartió en su blog que el uso de la autenticación de dos factores puede detener el 100 % de los ataques de bots automatizados. Me gustan mucho esas probabilidades.
Como mínimo, debe solicitar a sus administradores y editores que utilicen la autenticación de dos factores.
La función de autenticación de dos factores de iThemes Security Pro proporciona mucha flexibilidad al implementar 2fa en su sitio web. Puede habilitar dos factores para todos o algunos de sus usuarios, y puede obligar a sus usuarios de alto nivel a usar 2fa en cada inicio de sesión.
6. Limite el acceso del dispositivo al panel de WP
Limitar el acceso al panel de control de WordPress a un conjunto de dispositivos puede agregar una capa sólida de seguridad a su sitio web. Si un pirata informático no está en el dispositivo correcto para un usuario, no podrá usar al usuario comprometido para infligir daños en su sitio web.
Solo debe limitar el acceso al dispositivo a sus administradores y editores.
La función de dispositivos de confianza de iThemes Security Pro identifica los dispositivos que usted y otros usuarios utilizan para iniciar sesión en su sitio de WordPress. Cuando un usuario ha iniciado sesión en un dispositivo no reconocido, los dispositivos de confianza pueden restringir sus capacidades de nivel de administrador. Esto significa que si un atacante pudiera ingresar al backend de su sitio de WordPress, no tendría la capacidad de realizar ningún cambio malicioso en su sitio web.
7. Proteja a los usuarios de WordPress del secuestro de sesiones
WordPress genera una cookie de sesión cada vez que inicia sesión en su sitio web. Y supongamos que tiene una extensión de navegador que ha sido abandonada por el desarrollador y ya no publica actualizaciones de seguridad. Desafortunadamente para usted, la extensión del navegador descuidada tiene una vulnerabilidad. La vulnerabilidad permite a los malos actores secuestrar las cookies de su navegador, incluida la cookie de sesión de WordPress mencionada anteriormente. Este tipo de hackeo se conoce como Session Hijacking . Por lo tanto, un atacante puede explotar la vulnerabilidad de la extensión para aprovechar su inicio de sesión y comenzar a realizar cambios maliciosos con su usuario de WordPress.
Debe tener una protección contra el secuestro de sesiones para sus administradores y editores.
La función de dispositivos de confianza de iThemes Security Pro hace que el secuestro de sesiones sea cosa del pasado. Si el dispositivo de un usuario cambia durante una sesión, iThemes Security cerrará automáticamente la sesión del usuario para evitar cualquier actividad no autorizada en la cuenta del usuario, como cambiar la dirección de correo electrónico del usuario o cargar complementos maliciosos.
Complementos de rol de usuario de WordPress
Cuando se sumerja en los complementos de roles de usuario de WordPress, encontrará que muchos de los complementos más populares utilizan y administran roles y permisos de usuarios fuera de los seis roles principales que hemos discutido.
Hay complementos que le permiten crear y asignar roles y grupos de usuarios personalizados. Los complementos que cubriremos aquí son:
- bbPrensa
- BuddyPress
- WooCommerce
- Restringir contenido
- iThemes Seguridad
Cada uno trabaja con roles de usuario personalizables de diferentes maneras.
bbPrensa
El complemento bbPress es un foro de discusión de WordPress que requiere roles de usuario únicos fuera de los seis principales que se ofrecen en WordPress.
El primer rol de usuario integrado en el complemento bbPress, Keymaster, se encuentra en la cima de la montaña. Los Keymasters son similares al rol de Administrador en WordPress. Tienen acceso a todas las herramientas y configuraciones, y pueden editar, crear o eliminar los foros, temas, comentarios y respuestas de otros usuarios. Keymaster también es un moderador del foro y administra todas las etiquetas.
bbPress luego ofrece el rol de Moderador. Este rol es responsable de crear, editar, eliminar y moderar foros. También tienen control total sobre los temas y las respuestas de los usuarios. Sin embargo, un moderador no tiene acceso a la configuración del sitio.
Un Participante es un miembro de la comunidad. Pueden crear y editar sus temas y respuestas, pero nada más.
Los espectadores solo pueden leer temas y respuestas. No pueden responder o involucrarse de otras maneras.
Los usuarios bloqueados son aquellos que simplemente ya no quieres en la comunidad.
El complemento bbPress también le permite crear sus propios roles de usuario personalizados (alumno y tutor, por ejemplo) agregando código en el códice. Podrá asignar sus propios permisos personalizados a cada rol que cree. También puede cambiar los nombres de los roles de usuario de bbPress existentes.
BuddyPress
BuddyPress es un complemento de la comunidad de WordPress que le permite crear una red social dentro de su propio sitio web.
Con el complemento BuddyPress, podrá crear sus propios grupos privados, públicos y ocultos. Luego puede asignar roles de usuario para administrar sus grupos.
El rol de usuario Miembro es el rol predeterminado dentro de BuddyPress. Esto se aplica a cualquier usuario que se registre y se una a un grupo. Un usuario con un rol de miembro puede enviar y publicar contenido en los foros del grupo. En algunos casos, pueden ver a otros miembros del grupo y enviarles invitaciones o mensajes directos.
Un moderador de BuddyPress es un rol de usuario actualizado con permisos adicionales que incluyen cerrar, editar o eliminar temas en el foro. Pero tenga cuidado, porque también podrán hacer lo mismo con el contenido producido por otros complementos que esté ejecutando en su sitio de WordPress.
Al igual que con la plataforma de WordPress y otros complementos, la función de administrador en BuddyPress tiene control total sobre los grupos y la configuración. Un administrador puede cambiar la configuración de un grupo, el avatar del grupo y administrar los miembros del grupo. También puede eliminar grupos completos.
WooCommerce
WooCommerce es un complemento de WordPress muy popular que ayudará a convertir su sitio de WordPress en un sitio de comercio electrónico sólido.
Cuando instalas WooCommerce en tu sitio, instantáneamente tendrás el poder de comenzar a enumerar productos, publicar imágenes de productos, escribir descripciones de productos y tomar pedidos en línea.
Como tal, WooCommerce ofrece dos funciones de usuario que están fuera de las seis estándar de WordPress. Estos roles son:
- Cliente: cualquier usuario que se registre en su sitio de WooCommerce o se registre con usted al finalizar la compra. Los clientes son muy similares en permisos a los suscriptores.
- Shop Manager: esta es la persona que administra la tienda de WooCommerce pero no tiene permisos de Administrador. Tendrán automáticamente permisos de Cliente, pero también podrán administrar los productos que se enumeran en la tienda, así como ver los informes de ventas.
Cosas bastante sencillas.
Restringir contenido
El complemento gratuito Restringir contenido le permite configurar la restricción de contenido en función de los niveles de membresía personalizados que se pueden aplicar a los roles de usuario predeterminados de WordPress. Esto puede ser útil para controlar quién puede ver el contenido en un sitio de WordPress, en función de su nivel de membresía y/o rol de usuario de WordPress.
Use Restringir contenido como un complemento de restricción de contenido de WordPress para:
- Restrinja el acceso a su rol de usuario basado en el sitio de WordPress. Limite el acceso al contenido completo a través de una interfaz simple en las pantallas de edición de publicaciones, páginas y publicaciones personalizadas.
- Controle el acceso de los usuarios al contenido según el rol de usuario de WordPress, los niveles de acceso o los niveles de membresía.
- Proteja el contenido sensible.
- Separe claramente el contenido público del contenido privado
- Restringir el acceso a páginas enteras o secciones específicas
- Permita que los usuarios se registren e inicien sesión desde la interfaz de su sitio
iThemes Seguridad
iThemes Security es un excelente complemento de seguridad de WordPress con más de 30 formas de proteger su sitio web de WordPress, incluidas formas de funciones específicas para los roles de usuario de WordPress.
Por ejemplo, si está buscando un complemento que pueda proporcionar capacidades de actualización y degradación de funciones de usuario rápidas y sencillas con escalamiento temporal de privilegios, definitivamente vale la pena echarle un vistazo al complemento iThemes Security.
También puede usar el complemento para ahorrar mucho tiempo que dedica a proteger su sitio web con grupos de usuarios. Para facilitar la administración de la seguridad de los usuarios en su sitio, iThemes Security Pro clasifica a todos sus usuarios en diferentes grupos. De forma predeterminada, sus usuarios se agruparán por sus roles y capacidades de usuario de WordPress. Ordenar por rol de usuario de WordPress permite combinar fácilmente WordPress y roles de usuario personalizados en el mismo grupo.
Por ejemplo, si está ejecutando un sitio WooCommerce, los administradores de su sitio y los gerentes de tienda estarán en el grupo de usuarios administradores, y sus suscriptores y clientes estarán en el grupo de usuarios suscriptores.
En la configuración de Grupos de usuarios, verá todos sus grupos de usuarios y todas las configuraciones de seguridad que están habilitadas para cada grupo, y activará y desactivará rápidamente las configuraciones. El grupo de usuarios le brinda la confianza de que está aplicando el nivel correcto de seguridad a los roles de usuario de WordPress correctos.
Cómo personalizar los roles y permisos de usuario de WordPress
Más allá de los roles de usuario que ya hemos discutido, puede agregar más roles usando complementos diseñados para permitirle crear roles de usuario personalizados para WordPress. Aquí hay algunos complementos y herramientas para verificar.
Panel del cliente de sincronización de iThemes
iThemes Sync es una herramienta para ayudarlo a administrar múltiples sitios de WordPress. Con Sync, tiene un tablero para realizar tareas de administración de WordPress para todos sus sitios web de WordPress. La sincronización es especialmente útil si crea o mantiene sitios web para clientes como agencia de diseño web, agencia de marketing o autónomo.
La función iThemes Sync Client Dashboard se creó para personalizar la forma en que un usuario ve el panel de administración de WordPress, que es una forma de personalizar los roles y permisos de los usuarios de WordPress.
Por ejemplo, si tiene un cliente que desea convertir en administrador, pero no desea ver ciertas áreas del sitio, como temas o complementos, puede realizar esta tarea con el panel de control del cliente.
El panel de control del cliente se puede activar por usuario, y luego puede seleccionar los elementos del menú del panel de control de WordPress para permitir que ese usuario vea. Bastante genial, ¿verdad?
Editor de roles de usuario
Si desea personalizar sus roles de usuario estándar en WordPress, el Editor de roles de usuario es un buen complemento para analizar. El Editor de roles de usuario le permitirá crear sus propios roles, permisos y capacidades de usuario.
También puede usarlo para cambiar o renombrar roles, o eliminarlos por completo. El complemento tiene una versión gratuita y otra de pago.
Administrador de acceso avanzado
Ya sea que esté ejecutando una gran tienda de WooCommerce en su sitio o un blog estándar de WordPress, es posible que esté buscando un control adicional sobre la administración del acceso a su contenido.
User Access Manager podría ser el complemento que lo ayude. Advanced Access Manager se puede utilizar para configurar un área de miembros restringida de su sitio, utilizando roles y permisos de usuario. También lo ayuda a administrar usuarios en las secciones privadas de su sitio.
Yoast SEO
Si su equipo está enfocado en mejorar el SEO (optimización de motores de búsqueda) de su contenido, el complemento Yoast SEO es un excelente lugar para comenzar.
Este complemento le permite crear dos roles de usuario no estándar:
- Redactor SEO
- Gerente de SEO
¿Por qué estos dos nuevos roles de usuario son beneficiosos para usted como propietario de un sitio de WordPress?
Al asignar roles dentro de Yoast SEO, empoderarás a tu equipo para realizar trabajos relacionados con SEO sin necesidad de realizar un seguimiento manual de los resultados o pedirte que realices cambios en el sitio cuando sea necesario.
Como dice el blog de Yoast:
“Dos nuevos roles, el editor de SEO y el administrador de SEO, brindan una solución mucho más flexible cuando se trabaja con varias personas en su sitio. El administrador puede determinar quién puede ver y hacer qué, mientras que los usuarios obtienen las herramientas que necesitan para hacer su trabajo”.
El complemento Yoast SEO es otra herramienta más que pone los roles y permisos de usuario de WordPress a la vanguardia de la eficiencia administrativa.
Conclusión: comprensión de los roles y permisos de los usuarios en WordPress
En resumen: los tres principales roles de usuario de administración en una instalación de WordPress tienen áreas del sitio diseñadas específicamente para esa posición. Los superadministradores y administradores controlan el tablero y los archivos principales, y el sitio en sí. Mientras que los editores controlan el administrador de contenido y otros contenidos. Los autores y colaboradores controlan solo su contenido y ningún otro. Los suscriptores pueden acceder solo al contenido y los permisos otorgados al rol por los puestos de gestión.
Después de estudiar la información de este artículo, ahora tiene una comprensión mucho más profunda de los roles y permisos de los usuarios en la plataforma de WordPress. Como puede ver, los roles que asigna a cada uno de sus usuarios juegan un papel importante en la eficiencia con la que ejecuta su sitio web.
Pero no importa cuán cuidadoso sea para asegurarse de que todos los roles de usuario se asignen a las mejores personas, a veces ocurrirán errores. Por ejemplo, cuando el nuevo empleado que acaba de asignar como administrador hace que su sitio se bloquee al activar un complemento nuevo y no probado, un complemento de copia de seguridad de WordPress como BackupBuddy será un salvavidas absoluto. Asegúrese de tener su complemento de copia de seguridad instalado y activado antes de que ocurra un desastre como este.
Al igual que con otras áreas de WordPress, la asignación adecuada de roles y permisos de usuario requerirá un poco de prueba y error. Pero con la información que acaba de aprender, podrá tomar decisiones más informadas.
Kristen ha estado escribiendo tutoriales para ayudar a los usuarios de WordPress desde 2011. Como directora de marketing aquí en iThemes, se dedica a ayudarlo a encontrar las mejores formas de crear, administrar y mantener sitios web de WordPress efectivos. Kristen también disfruta escribir un diario (¡vea su proyecto paralelo, The Transformation Year !), hacer caminatas y acampar, hacer ejercicios aeróbicos, cocinar y aventuras diarias con su familia, con la esperanza de vivir una vida más presente.