Przewodnik po rolach, uprawnieniach i zabezpieczeniach użytkowników WooCommerce

Opublikowany: 2019-09-04

Zapewniając ludziom dostęp do swojej witryny, ważne jest zachowanie pełnej kontroli, a jednocześnie umożliwianie pracownikom, wykonawcom i wolontariuszom efektywnego wykonywania ich pracy. Aby to osiągnąć, należy wykonać kilka ważnych kroków.

Przyjrzymy się różnym typom użytkowników, do których WordPress i WooCommerce dają dostęp, co oznaczają te uprawnienia i innym najlepszym praktykom w zakresie bezpieczeństwa witryny.

Użytkownik WordPressa przed komputerem

Role i uprawnienia użytkowników

System zarządzania użytkownikami opiera się na dwóch aspektach: rolach i możliwościach.

Rola to tytuł klasyfikacji przypisany grupie użytkowników w witrynie WordPress. Każda rola jest skorelowana z własnym zestawem możliwości.

Możliwość to określone działanie, które użytkownik może wykonać. Na przykład edytowanie posta to jedna z odrębnych możliwości, a moderowanie komentarzy do postów na blogu to kolejna.

WordPress ma sześć domyślnych ról użytkownika, każda z własnym zestawem uprawnień i możliwości:

  • Superadministrator: superadministrator ma możliwości, które mają zastosowanie w środowiskach wielostanowiskowych. Mogą zarządzać ustawieniami wszystkich witryn w sieci. W przypadku pojedynczych witryn Administrator jest najwyższym poziomem użytkownika.
  • Administrator: Najpotężniejsza rola użytkownika, ponieważ daje dostęp do wszystkiego. Jako właściciel witryny powinna to być Twoja rola
  • Redaktor: ten użytkownik jest zazwyczaj odpowiedzialny za zarządzanie treścią. Redaktorzy mogą dodawać, edytować, publikować i usuwać dowolne posty i multimedia, w tym te napisane przez innych użytkowników. Redaktorzy mogą również moderować, edytować i usuwać komentarze oraz dodawać i edytować kategorie i tagi
  • Autor: zazwyczaj odpowiedzialny za zadania związane z pisaniem treści. Mogą tworzyć, edytować i publikować własne posty. Mogą również usuwać własne posty (nawet jeśli są już opublikowane), ale nie mogą edytować ani usuwać postów napisanych przez innego użytkownika
  • Współtwórca: Współtwórca to bardziej podstawowa wersja roli autora. Współtwórcy mogą wykonywać w Twojej witrynie trzy zadania: czytać wszystkie posty, tworzyć i edytować własne posty oraz usuwać własne posty. Jednak ta rola nie pozwala im bezpośrednio publikować swoich postów w Twojej witrynie. Daje to możliwość sprawdzenia i ostatecznej kontroli nad treścią, którą tworzą, zanim zostanie opublikowana
  • Subskrybent: przypisywany nowym użytkownikom, jeśli włączysz rejestrację w swojej witrynie. Ta rola ma najmniej uprawnień. Użytkownicy mogą jedynie aktualizować swój profil, czytać zawartość Twojej witryny i zostawiać komentarze.

Po zainstalowaniu WooCommerce zyskasz dwie role użytkownika:

  • Klient: przypisywany nowym klientom podczas tworzenia konta w Twojej witrynie. Ta rola jest zasadniczo równoważna roli zwykłego subskrybenta bloga, ale klienci mogą edytować informacje o swoim koncie i przeglądać przeszłe lub bieżące zamówienia.
  • Shop Manager: Pozwala to użytkownikowi na uruchamianie strony operacyjnej sklepu WooCommerce bez możliwości edytowania funkcji zaplecza, takich jak pliki i kod. Menedżer ma takie same uprawnienia jak klient, a ponadto ma również możliwość zarządzania wszystkimi ustawieniami w WooCommerce, tworzenia/edycji produktów oraz dostępu do wszystkich raportów WooCommerce. Ważne: Mają RÓWNIEŻ dostęp do wyżej wymienionych funkcji edytora WordPress.

WooCommerce oferuje również dodatkowe możliwości , które pozwalają Administratorowi na:

  • Zarządzaj wszystkimi ustawieniami WooCommerce
  • Twórz i edytuj produkty
  • Zobacz raporty WooCommerce

Kiedy używać roli kierownika sklepu?

Przypisz rolę kierownika sklepu, gdy:

  • Chcesz zezwolić użytkownikowi na zarządzanie zamówieniami, dokonywanie zwrotów i tworzenie raportów bez możliwości edytowania wtyczek, motywów lub ustawień w Twojej witrynie.
  • Chcesz zezwolić użytkownikowi na przeglądanie i aktualizowanie zamówień i produktów, ale bez dostępu do ustawień użytkownika (nie będzie mógł dodawać/edytować ról i uprawnień użytkowników).
kod na komputerze, aby zademonstrować, kiedy możesz przypisać rolę administratora

Kiedy używać roli administratora

Może się zdarzyć, że będziesz musiał przyznać innemu użytkownikowi rolę administratora w swojej witrynie.

Przykłady administratorów:

  • Programista stron internetowych
  • Projektant strony internetowej
  • Agencja Marketingu w Mediach Społecznościowych
  • Agencja marketingu cyfrowego

Zazwyczaj osoby pełniące te role potrzebują dostępu do bardziej rozbudowanych funkcji i ustawień WordPress, aby realizować projekty w Twojej witrynie.

Musisz być bardzo ostrożny, ponieważ Administrator jest najpotężniejszą rolą w Twoim sklepie.

Najlepsze praktyki dotyczące uprawnień użytkownika

  • Zapewniaj użytkownikom tylko taki dostęp, jakiego potrzebują. Jest to ważne dla bezpieczeństwa, aby uniemożliwić użytkownikom dokonywanie niezatwierdzonych zmian i przypadkowego usunięcia treści.
  • Ogranicz liczbę użytkowników, którzy mają rolę administratora. Wielu dostawców może zażądać tej roli, ale niewielu faktycznie potrzebuje tak zaawansowanego poziomu dostępu. Przed udzieleniem prośby dokładnie przemyśl funkcje, które będą wykonywać, i sprawdź, czy niższy poziom dostępu byłby wystarczający.
  • Jeśli chcesz mieć większą kontrolę nad tym, do czego użytkownik ma dostęp, pobierz bezpłatną wtyczkę User Role Editor, która pozwala wybrać indywidualne możliwości, które przyznajesz każdemu użytkownikowi.

Najlepsze praktyki w zakresie bezpieczeństwa witryn

Dodawanie użytkowników do Twojej witryny wymaga dodatkowych środków bezpieczeństwa – im więcej masz użytkowników, tym większe ryzyko podejmujesz.

Bezpieczne nazwy użytkownika i hasła

Zawsze upewnij się, że cały Twój zespół utrzymuje silne nazwy użytkowników i hasła.

  • Jeśli to możliwe, włącz uwierzytelnianie dwuskładnikowe . Bezpłatna wtyczka Jetpack ułatwia to.
  • W przypadku nazw użytkowników unikaj popularnych tytułów, takich jak „Administrator” lub „Administrator”. To sprawia, że ​​Twoja witryna jest podatna na naruszenia bezpieczeństwa. Zamiast tego utwórz konkretną nazwę użytkownika dla każdej osoby .
  • WordPress automatycznie utworzy dla Ciebie bezpieczne hasło, gdy utworzysz nowego użytkownika, ale możesz to zmienić i zezwolić użytkownikom na ustawienie własnego hasła .
  • Tworząc nowe hasło, upewnij się, że zawiera ono wielką literę, małą literę, cyfrę, symbol i ma co najmniej 12 znaków. Może to zabrzmieć ekstremalnie, ale im bardziej skomplikowane jest hasło dla każdego z Twoich użytkowników, tym lepsze będzie Twoje bezpieczeństwo .

Regularnie przeglądaj role

Okresowo przeglądaj role użytkowników, zwłaszcza administratorów. Może być konieczne przypisanie im nowej roli lub całkowite usunięcie ich konta.

Na przykład, jeśli przestaniesz współpracować z agencją lub programistą, usuń ich konto ze swojej witryny, aby nie mieli już do niego dostępu. To samo dotyczy innych ról użytkowników.

Żaden użytkownik nie powinien mieć dostępu do Twojej witryny, chyba że aktualnie go potrzebuje.

Dotyczy to również kont hostingu i nazw domen. Jeśli przyznałeś komuś dostęp do swoich danych logowania i już z nim nie pracujesz, zmień hasło. Jeśli w dowolnym momencie podałeś poświadczenia FTP programiście, aby mógł zarządzać plikami Twojej witryny, pamiętaj, aby całkowicie zaktualizować lub usunąć te poświadczenia. InMotion Hosting zapewnia łatwy do naśladowania przewodnik dla każdego, kto korzysta z cPanel.

Pamiętaj: Specjaliści zajmujący się witrynami mogą nadal uzyskiwać dostęp do Twojej witryny za pośrednictwem informacji o koncie hostingowym lub poświadczeń FTP.

Regularnie twórz kopie zapasowe swojej witryny

Regularne tworzenie kopii zapasowych witryny i sklepu internetowego jest niezwykle ważne, nie tylko ze względu na bezpieczeństwo, ale i spokój ducha.

Jeśli użytkownik wprowadzi niezatwierdzone zmiany w Twojej witrynie lub Twoja witryna zostanie naruszona, konieczne jest posiadanie kopii, aby móc przywrócić ją do pierwotnego stanu.

Płatne plany Jetpack umożliwiają szybkie przywrócenie kopii zapasowej witryny za pomocą jednego kliknięcia. Jetpack prowadzi również dziennik audytu na pulpicie WordPress, dostarczając szczegółowych informacji o wszystkich zmianach wprowadzonych w Twojej witrynie. Możesz zobaczyć, który użytkownik dokonał zmiany, o której miała miejsce i na czym dokładnie polegała zmiana.

zrzut ekranu dziennika audytu Jetpack

Ważne jest, aby nie polegać na żadnych bezpłatnych kopiach zapasowych, które zawiera dostawca usług hostingowych. Powinieneś mieć pełną kontrolę nad swoimi plikami i kopiami zapasowymi, a wiele hostów przechowuje kopie zapasowe tylko przez 48 godzin. Możesz także chcieć zachować kopie zapasowe niezależnie od kont, do których masz współdzielony dostęp. Jednym ze sposobów, aby to zrobić, jest zapisanie kopii w internetowym dostawcy chmury, takim jak Dropbox lub Dysk Google, lub zachowanie kopii na fizycznym dysku twardym.

Udostępnianie danych logowania

Jeśli chcesz udostępnić dane logowania dla ról użytkowników lub kont hostingu/domeny, nie wysyłaj ich za pośrednictwem poczty e-mail lub innego niezabezpieczonego systemu.

Zamiast tego skorzystaj z bezpłatnych narzędzi do udostępniania haseł, takich jak LastPass.

LastPass umożliwia utworzenie konta, przechowywanie wszystkich nazw użytkownika i haseł online w skarbcu oraz udostępnianie poświadczeń za pośrednictwem zaszyfrowanej i bezpiecznej sieci.

Możesz także ustawić uprawnienia użytkownika w tym narzędziu – na przykład możesz zaznaczyć pole, jeśli chcesz, aby użytkownik mógł zobaczyć hasło, czy nie.

Bądź tam bezpieczny

Posiadanie sklepu internetowego wiąże się z dużą odpowiedzialnością, zwłaszcza jeśli chodzi o przydzielanie dostępu do zaplecza witryny.

Na szczęście WordPress i WooCommerce ułatwiają przypisywanie określonych ról użytkowników, blokowanie uprawnień, zabezpieczanie informacji o klientach i Twojej cyfrowej własności.