Una guida ai ruoli utente, alle autorizzazioni e alla sicurezza di WooCommerce

Pubblicato: 2019-09-04

Quando si consente alle persone di accedere al proprio sito Web, è importante mantenere il pieno controllo, consentendo allo stesso tempo a dipendenti, appaltatori e volontari di svolgere il proprio lavoro in modo efficace. Ci sono alcuni passaggi importanti che dovresti compiere per raggiungere questo obiettivo.

Esamineremo i diversi tipi di utenti a cui WordPress e WooCommerce ti danno accesso, cosa significano queste autorizzazioni e altre best practice per la sicurezza del sito web.

Utente WordPress davanti a un computer

Ruoli utente e autorizzazioni

Il sistema di gestione degli utenti si basa su due aspetti: ruoli e capacità.

Un ruolo è il titolo di classificazione assegnato a un gruppo di utenti sul tuo sito WordPress. Ogni ruolo è correlato al proprio insieme di capacità.

Una capacità è un'azione specifica che un utente può completare. Ad esempio, la modifica di un post è una capacità distinta, mentre la moderazione dei commenti ai post del blog è un'altra.

WordPress ha sei ruoli utente predefiniti, ognuno con il proprio set di autorizzazioni e capacità:

  • Super amministratore: un super amministratore ha funzionalità che si applicano specificamente agli ambienti multisito. Possono gestire le impostazioni per tutti i siti Web della rete. Nel caso di siti singoli, l'Admin è il livello di utente più alto.
  • Amministratore: il ruolo utente più potente perché ti dà accesso a tutto. Come proprietario del sito web, questo dovrebbe essere il tuo ruolo
  • Editor: questo utente è in genere responsabile della gestione del contenuto. Gli editor possono aggiungere, modificare, pubblicare ed eliminare qualsiasi post e media, compresi quelli scritti da altri utenti. Gli editor possono anche moderare, modificare ed eliminare commenti e aggiungere e modificare categorie e tag
  • Autore: in genere responsabile delle attività relative alla scrittura di contenuti. Possono creare, modificare e pubblicare i propri post. Possono anche eliminare i propri post (anche quando sono già pubblicati), ma non possono modificare o eliminare i post scritti da altri utenti
  • Contributore: il contributore è una versione più semplice del ruolo dell'autore. I collaboratori possono eseguire tre attività sul tuo sito: leggere tutti i post, creare e modificare i propri post ed eliminare i propri post. Tuttavia, questo ruolo non consente loro di pubblicare direttamente i loro post sul tuo sito. Questo ti dà la possibilità di rivedere e avere il controllo finale su qualsiasi contenuto creato prima che venga pubblicato
  • Abbonato: assegnato a nuovi utenti se abiliti le registrazioni sul tuo sito. Questo ruolo ha il minor numero di autorizzazioni. Gli utenti possono solo aggiornare il proprio profilo, leggere il contenuto del tuo sito e lasciare commenti.

Quando installi WooCommerce, otterrai due ruoli utente:

  • Cliente: assegnato a nuovi clienti quando creano un account sul tuo sito web. Questo ruolo è sostanzialmente equivalente a quello di un normale abbonato al blog, ma i clienti possono modificare le informazioni sul proprio account e visualizzare gli ordini passati o attuali.
  • Shop Manager: Ciò consente all'utente di eseguire il lato operativo del tuo negozio WooCommerce senza la possibilità di modificare le funzionalità di back-end come file e codice. Un manager ha le stesse autorizzazioni di un cliente, inoltre gli viene anche concessa la possibilità di gestire tutte le impostazioni all'interno di WooCommerce, creare/modificare prodotti e accedere a tutti i report di WooCommerce. Importante: hanno ANCHE accesso alle funzionalità dell'editor di WordPress sopra menzionate.

WooCommerce offre anche funzionalità aggiuntive che consentono a un amministratore di:

  • Gestisci tutte le impostazioni di WooCommerce
  • Crea e modifica prodotti
  • Visualizza i rapporti WooCommerce

Quando utilizzare il ruolo di responsabile del negozio

Assegna il ruolo di Shop Manager quando:

  • Vuoi consentire a un utente di gestire ordini, emettere rimborsi e produrre report, senza poter modificare plug-in, temi o impostazioni sul tuo sito.
  • Vuoi consentire a un utente di visualizzare e aggiornare ordini e prodotti, ma non accedere alle impostazioni utente (non sarà in grado di aggiungere/modificare ruoli utente e autorizzazioni).
codice su un computer per dimostrare quando è possibile assegnare il ruolo di amministratore

Quando utilizzare il ruolo di amministratore

Potrebbero esserci casi in cui è necessario assegnare a un altro utente un ruolo di amministratore sul tuo sito.

Esempi di utenti amministratori:

  • Sviluppatore di siti web
  • Designer di siti internet
  • Agenzia di social media marketing
  • Agenzia di marketing digitale

In genere, le persone in questi ruoli hanno bisogno di accedere a funzionalità e impostazioni più estese di WordPress per realizzare progetti sul tuo sito web.

Ti consigliamo di essere estremamente attento con questo poiché l'amministratore è il ruolo più potente nel tuo negozio.

Procedure consigliate per le autorizzazioni utente

  • Fornisci agli utenti solo l'accesso di cui hanno bisogno. Questo è importante per la sicurezza, per impedire agli utenti di apportare modifiche non approvate e impedire che il contenuto venga eliminato accidentalmente.
  • Limita il numero di utenti che hanno un ruolo di amministratore. Molti fornitori possono richiedere questo ruolo, ma pochi hanno effettivamente bisogno di un livello di accesso così avanzato. Prima di accogliere la richiesta, riconsiderare attentamente le funzioni lavorative che andranno a svolgere e verificare se un livello di accesso inferiore sarebbe sufficiente.
  • Se desideri un maggiore controllo su esattamente ciò a cui ha accesso il tuo utente, scarica il plug-in gratuito User Role Editor, che ti consente di selezionare le singole capacità che concedi a ciascun utente.

Best practice per la sicurezza del sito web

L'aggiunta di utenti al tuo sito Web richiede misure di sicurezza aggiuntive: più utenti hai, maggiore è il rischio che corri.

Proteggi nomi utente e password

Assicurati sempre che l'intero team mantenga nomi utente e password efficaci.

  • Abilita l'autenticazione a due fattori , se possibile. Il plug-in Jetpack gratuito lo rende facile.
  • Per i nomi utente, evita titoli comuni come "Admin" o "Administrator". Questo rende il tuo sito vulnerabile alle violazioni della sicurezza. Invece, crea un nome utente specifico per ogni persona .
  • WordPress creerà automaticamente una password sicura per te quando crei un nuovo utente, ma hai la possibilità di ignorarla e consentire ai tuoi utenti di impostare la propria password .
  • Quando crei una nuova password, assicurati che contenga una lettera maiuscola, una lettera minuscola, un numero, un simbolo e che contenga almeno 12 caratteri. Potrebbe sembrare estremo, ma più complicata è la password per ciascuno dei tuoi utenti, migliore sarà la tua sicurezza .

Rivedere regolarmente i ruoli

Esaminare periodicamente i ruoli utente, in particolare per gli amministratori. Potrebbe essere necessario assegnare loro un nuovo ruolo o rimuovere completamente il loro account.

Ad esempio, se smetti di lavorare con un'agenzia o uno sviluppatore, assicurati di rimuovere il loro account dal tuo sito web in modo che non possano più accedervi. La stessa cosa vale per altri ruoli utente.

Nessun utente dovrebbe avere accesso al tuo sito a meno che non ne abbia attualmente bisogno.

Questo vale anche per i tuoi account di hosting e nome di dominio. Se hai concesso a qualcuno l'accesso alle tue informazioni di accesso e non stai più lavorando con loro, cambia la tua password. Se, in qualsiasi momento, hai fornito credenziali FTP a uno sviluppatore in modo che potesse gestire i file del tuo sito Web, assicurati di aggiornare o eliminare completamente tali credenziali. InMotion Hosting fornisce una procedura dettagliata facile da seguire per chiunque utilizzi cPanel.

Ricorda: i professionisti del sito Web possono comunque accedere al tuo sito Web tramite le informazioni del tuo account di hosting o le credenziali FTP.

Crea regolarmente backup del tuo sito web

La creazione di backup regolari del tuo sito Web e del tuo negozio online è estremamente importante, non solo per la sicurezza ma anche per la tranquillità.

Se un utente finisce per apportare modifiche non approvate al tuo sito o se il tuo sito viene compromesso, è indispensabile averne una copia a portata di mano in modo da poterlo ripristinare allo stato originale.

I piani Jetpack a pagamento ti consentono di ripristinare rapidamente un backup del sito con il semplice clic di un pulsante. Jetpack mantiene anche un registro di controllo nella dashboard di WordPress, fornendo informazioni dettagliate su tutte le modifiche apportate al tuo sito. Puoi vedere quale utente ha apportato la modifica, a che ora è avvenuta e qual è stata esattamente la modifica.

screenshot di un registro di controllo di Jetpack

È importante non fare affidamento sui backup gratuiti inclusi dal tuo provider di hosting. Dovresti avere il pieno controllo sui tuoi file e backup e molti host conservano i backup solo per 48 ore. Potresti anche voler mantenere i backup indipendenti da qualsiasi account a cui potresti avere accesso condiviso. Un modo per farlo è salvarne una copia su un provider cloud online come Dropbox o Google Drive o conservarne una copia su un disco rigido fisico.

Condivisione delle credenziali di accesso

Se devi condividere le credenziali di accesso per i ruoli utente o per i tuoi account di hosting/dominio, non inviarle tramite e-mail o un altro sistema non sicuro.

Approfitta invece di strumenti gratuiti per la condivisione delle password come LastPass.

LastPass ti consente di creare un account, archiviare tutti i tuoi nomi utente e password online in un deposito e condividere le credenziali attraverso la loro rete crittografata e sicura.

Puoi anche impostare le autorizzazioni utente in questo strumento, ad esempio, puoi selezionare una casella se desideri che l'utente sia in grado di vedere la password o meno.

Sii al sicuro là fuori

Possedere un negozio online comporta molte responsabilità, soprattutto quando si tratta di assegnare l'accesso al back-end del tuo sito.

Per fortuna, WordPress e WooCommerce semplificano l'assegnazione di ruoli utente specifici, il blocco delle autorizzazioni, la protezione delle informazioni dei clienti e della tua proprietà digitale.