Panduan untuk Peran, Izin, dan Keamanan Pengguna WooCommerce

Diterbitkan: 2019-09-04

Saat memberi orang akses ke situs web Anda, penting untuk mempertahankan kontrol penuh, sambil tetap mengizinkan karyawan, kontraktor, dan sukarelawan Anda untuk melakukan pekerjaan mereka secara efektif. Ada beberapa langkah penting yang harus Anda ambil untuk mencapai hal ini.

Kami akan melihat berbagai jenis pengguna yang diberikan WordPress dan WooCommerce kepada Anda, apa arti izin tersebut, dan praktik terbaik lainnya untuk keamanan situs web.

Pengguna WordPress di depan komputer

Peran dan Izin Pengguna

Sistem manajemen pengguna didasarkan pada dua aspek: peran dan kemampuan.

Peran adalah judul klasifikasi yang ditetapkan untuk sekelompok pengguna di situs WordPress Anda. Setiap peran berkorelasi dengan serangkaian kemampuannya sendiri.

Kemampuan adalah tindakan spesifik yang diizinkan untuk diselesaikan oleh pengguna. Misalnya, mengedit posting adalah salah satu kemampuan yang berbeda, sementara memoderasi komentar posting blog adalah hal lain.

WordPress memiliki enam peran pengguna default, masing-masing dengan set izin dan kemampuannya sendiri:

  • Admin Super: Admin super memiliki kemampuan yang secara khusus berlaku untuk lingkungan multisitus. Mereka dapat mengelola pengaturan untuk semua situs web di jaringan. Dalam kasus situs tunggal, Admin adalah pengguna tingkat tertinggi.
  • Admin: Peran pengguna paling kuat karena memberi Anda akses ke semuanya. Sebagai pemilik situs web, ini harus menjadi peran Anda
  • Editor: Pengguna ini biasanya bertanggung jawab untuk mengelola konten. Editor dapat menambah, mengedit, memublikasikan, dan menghapus postingan dan media apa pun, termasuk yang ditulis oleh pengguna lain. Editor juga dapat memoderasi, mengedit, dan menghapus komentar, serta menambahkan dan mengedit kategori dan tag
  • Penulis: Biasanya bertanggung jawab untuk tugas-tugas yang berkaitan dengan menulis konten. Mereka dapat membuat, mengedit, dan memublikasikan postingan mereka sendiri. Mereka juga dapat menghapus posting mereka sendiri (bahkan ketika mereka sudah diterbitkan), tetapi tidak dapat mengedit atau menghapus posting yang ditulis oleh pengguna lain
  • Kontributor: Kontributor adalah versi yang lebih mendasar dari peran penulis. Kontributor dapat melakukan tiga tugas di situs Anda: membaca semua postingan, membuat dan mengedit postingan mereka sendiri, dan menghapus postingan mereka sendiri. Namun, peran ini tidak memungkinkan mereka untuk langsung mempublikasikan posting mereka di situs Anda. Ini memberi Anda kesempatan untuk meninjau dan memiliki kontrol akhir atas konten apa pun yang mereka buat sebelum ditayangkan
  • Pelanggan: Ditetapkan untuk pengguna baru jika Anda mengaktifkan pendaftaran di situs Anda. Peran ini memiliki jumlah izin paling sedikit. Pengguna hanya dapat memperbarui profil mereka sendiri, membaca konten di situs Anda, dan meninggalkan komentar.

Saat Anda menginstal WooCommerce, Anda akan mendapatkan dua peran pengguna:

  • Pelanggan: Ditugaskan ke pelanggan baru saat mereka membuat akun di situs web Anda. Peran ini pada dasarnya setara dengan pelanggan blog biasa, tetapi pelanggan dapat mengedit informasi akun mereka sendiri dan melihat pesanan sebelumnya atau saat ini.
  • Manajer Toko: Ini memungkinkan pengguna untuk menjalankan sisi operasi toko WooCommerce Anda tanpa kemampuan untuk mengedit fungsionalitas back-end seperti file dan kode. Seorang manajer memiliki izin yang sama dengan pelanggan, ditambah mereka juga diberikan kemampuan untuk mengelola semua pengaturan dalam WooCommerce, membuat/mengedit produk, dan mengakses semua laporan WooCommerce. Penting: Mereka JUGA memiliki akses ke kemampuan editor WordPress yang disebutkan di atas.

WooCommerce juga menawarkan kemampuan tambahan yang memungkinkan Administrator untuk:

  • Kelola semua pengaturan WooCommerce
  • Buat dan edit produk
  • Lihat laporan WooCommerce

Kapan Menggunakan Peran Manajer Toko

Tetapkan peran Manajer Toko saat:

  • Anda ingin mengizinkan pengguna mengelola pesanan, mengeluarkan pengembalian dana, dan membuat laporan, tanpa dapat mengedit plugin, tema, atau setelan di situs Anda.
  • Anda ingin mengizinkan pengguna untuk melihat dan memperbarui pesanan dan produk, tetapi tidak mengakses pengaturan pengguna Anda (mereka tidak akan dapat menambah/mengedit peran dan izin pengguna).
kode di komputer untuk menunjukkan kapan Anda dapat menetapkan Peran Administrator

Kapan Menggunakan Peran Administrator

Mungkin ada saat-saat ketika Anda perlu memberikan peran Administrator kepada pengguna lain di situs Anda.

Contoh pengguna admin:

  • Pengembang Situs Web
  • Desainer Situs Web
  • Agen Pemasaran Media Sosial
  • Agen Pemasaran Digital

Biasanya, orang-orang dalam peran ini memerlukan akses ke fitur dan pengaturan WordPress yang lebih luas untuk menjalankan proyek di situs web Anda.

Anda harus sangat berhati-hati dengan ini karena Administrator adalah peran paling kuat di toko Anda.

Praktik Terbaik untuk Izin Pengguna

  • Hanya menyediakan pengguna dengan akses yang mereka butuhkan. Ini penting untuk keamanan, untuk mencegah pengguna membuat perubahan yang tidak disetujui, dan mencegah konten terhapus secara tidak sengaja.
  • Batasi jumlah pengguna yang memiliki peran Administrator. Banyak vendor mungkin meminta peran ini, tetapi hanya sedikit yang benar-benar membutuhkan akses tingkat lanjut. Sebelum mengabulkan permintaan, pertimbangkan dengan cermat fungsi pekerjaan yang akan mereka lakukan dan lihat apakah tingkat akses yang lebih rendah sudah cukup.
  • Jika Anda ingin lebih mengontrol apa yang dapat diakses oleh pengguna Anda, unduh plugin Editor Peran Pengguna gratis, yang memungkinkan Anda memilih kemampuan individual yang Anda berikan kepada setiap pengguna.

Praktik Terbaik Keamanan Situs Web

Menambahkan pengguna ke situs web Anda memerlukan langkah-langkah keamanan tambahan – semakin banyak pengguna yang Anda miliki, semakin besar risiko yang Anda ambil.

Amankan Nama Pengguna dan Kata Sandi

Selalu pastikan bahwa seluruh tim Anda mempertahankan nama pengguna dan kata sandi yang kuat.

  • Aktifkan autentikasi dua faktor , jika memungkinkan. Plugin Jetpack gratis membuat ini mudah.
  • Untuk nama pengguna, hindari judul umum seperti “Admin” atau “Administrator”. Ini membuat situs Anda rentan terhadap pelanggaran keamanan. Sebagai gantinya, buat nama pengguna khusus untuk setiap orang .
  • WordPress akan secara otomatis membuat kata sandi yang aman untuk Anda ketika Anda membuat pengguna baru, tetapi Anda memiliki kemampuan untuk menimpanya dan mengizinkan pengguna Anda untuk menyetel kata sandi mereka sendiri .
  • Saat membuat kata sandi baru, pastikan kata sandi memiliki huruf besar, huruf kecil, angka, simbol, dan panjangnya minimal 12 karakter. Ini mungkin terdengar ekstrem, tetapi semakin rumit sandi untuk setiap pengguna Anda, semakin baik keamanan Anda .

Tinjau Peran Secara Teratur

Tinjau peran pengguna secara berkala, terutama untuk Administrator. Anda mungkin perlu memberi mereka peran baru atau menghapus akun mereka sepenuhnya.

Misalnya, jika Anda berhenti bekerja dengan agensi atau pengembang, pastikan untuk menghapus akun mereka dari situs web Anda sehingga mereka tidak lagi memiliki akses ke sana. Hal yang sama berlaku untuk peran pengguna lainnya.

Pengguna tidak boleh memiliki akses ke situs Anda kecuali mereka saat ini membutuhkannya.

Ini juga berlaku untuk akun hosting dan nama domain Anda. Jika Anda memberi seseorang akses ke informasi login Anda dan Anda tidak lagi bekerja dengan mereka, ubah kata sandi Anda. Jika, kapan saja, Anda memberikan kredensial FTP kepada pengembang sehingga mereka dapat mengelola file situs web Anda, pastikan untuk memperbarui atau menghapus kredensial tersebut sepenuhnya. InMotion Hosting menyediakan panduan yang mudah diikuti bagi siapa saja yang menggunakan cPanel.

Ingat: Profesional situs web masih bisa mendapatkan akses ke situs web Anda melalui informasi akun hosting atau kredensial FTP Anda.

Buat Cadangan Situs Web Anda Secara Teratur

Membuat cadangan rutin situs web dan toko online Anda sangat penting, tidak hanya untuk keamanan tetapi juga untuk ketenangan pikiran.

Jika pengguna akhirnya membuat perubahan yang tidak disetujui pada situs Anda atau jika situs Anda disusupi, Anda harus memiliki salinannya sehingga Anda dapat memulihkannya ke keadaan semula.

Paket Jetpack berbayar memungkinkan Anda memulihkan cadangan situs dengan mengklik tombol. Jetpack juga menyimpan log audit di dasbor WordPress Anda, memberikan informasi mendetail tentang semua perubahan yang dilakukan pada situs Anda. Anda dapat melihat pengguna mana yang membuat perubahan, jam berapa perubahan itu terjadi, dan apa tepatnya perubahan itu.

tangkapan layar log audit Jetpack

Penting untuk tidak bergantung pada cadangan gratis apa pun yang disertakan oleh penyedia hosting Anda. Anda harus memiliki kontrol penuh atas file dan cadangan Anda, dan banyak host hanya menyimpan cadangan selama 48 jam. Anda mungkin juga ingin membuat cadangan tidak bergantung pada akun mana pun yang mungkin Anda akses bersama. Salah satu cara untuk melakukannya adalah dengan menyimpan salinan di penyedia cloud online seperti Dropbox atau Google Drive, atau menyimpan salinan di hard drive fisik.

Berbagi Kredensial Masuk

Jika Anda perlu membagikan kredensial masuk untuk peran pengguna atau untuk akun hosting/domain Anda, jangan kirimkan melalui email atau sistem tidak aman lainnya.

Sebagai gantinya, manfaatkan alat berbagi kata sandi gratis seperti LastPass.

LastPass memungkinkan Anda membuat akun, menyimpan semua nama pengguna dan kata sandi online Anda di brankas, dan membagikan kredensial melalui jaringan terenkripsi dan aman mereka.

Anda juga dapat mengatur izin pengguna di alat ini – misalnya, Anda dapat mencentang kotak jika Anda ingin pengguna dapat melihat kata sandi atau tidak.

Aman Di Luar Sana

Memiliki toko online memiliki tanggung jawab yang besar, terutama dalam hal menetapkan akses ke bagian belakang situs Anda.

Untungnya, WordPress dan WooCommerce memudahkan untuk menetapkan peran pengguna tertentu, mengunci izin, menjaga informasi pelanggan dan properti digital Anda tetap aman.