Um guia para funções, permissões e segurança do usuário do WooCommerce

Publicados: 2019-09-04

Ao conceder às pessoas acesso ao seu site, é importante manter o controle total, enquanto ainda permite que seus funcionários, contratados e voluntários façam seu trabalho com eficiência. Existem alguns passos importantes que você deve tomar para conseguir isso.

Veremos os diferentes tipos de usuários aos quais o WordPress e o WooCommerce dão acesso, o que essas permissões significam e outras práticas recomendadas para segurança do site.

Usuário do WordPress na frente de um computador

Funções e permissões do usuário

O sistema de gerenciamento de usuários é baseado em dois aspectos: funções e capacidades.

Uma função é o título de classificação atribuído a um grupo de usuários em seu site WordPress. Cada função se correlaciona com seu próprio conjunto de recursos.

Um recurso é uma ação específica que um usuário tem permissão para concluir. Por exemplo, editar uma postagem é um recurso distinto, enquanto a moderação de comentários de postagem de blog é outra.

O WordPress tem seis funções de usuário padrão, cada uma com seu próprio conjunto de permissões e recursos:

  • Superadministrador: um superadministrador possui recursos que se aplicam especificamente a ambientes multisite. Eles podem gerenciar as configurações de todos os sites da rede. No caso de sites únicos, o Admin é o nível mais alto de usuário.
  • Admin: A função de usuário mais poderosa porque dá acesso a tudo. Como proprietário do site, essa deve ser sua função
  • Editor: Este usuário normalmente é responsável por gerenciar o conteúdo. Os editores podem adicionar, editar, publicar e excluir quaisquer postagens e mídias, incluindo aquelas escritas por outros usuários. Os editores também podem moderar, editar e excluir comentários e adicionar e editar categorias e tags
  • Autor: Normalmente responsável por tarefas relacionadas à redação de conteúdo. Eles podem criar, editar e publicar suas próprias postagens. Eles também podem excluir suas próprias postagens (mesmo quando já foram publicadas), mas não podem editar ou excluir postagens escritas por outro usuário
  • Colaborador: O colaborador é uma versão mais básica da função de autor. Os colaboradores podem realizar três tarefas em seu site: ler todas as postagens, criar e editar suas próprias postagens e excluir suas próprias postagens. No entanto, essa função não permite que eles publiquem diretamente suas postagens em seu site. Isso dá a você a chance de revisar e ter controle final sobre qualquer conteúdo criado antes de ser publicado
  • Assinante: Atribuído a novos usuários se você habilitar registros em seu site. Essa função tem o menor número de permissões. Os usuários só podem atualizar seu próprio perfil, ler o conteúdo do seu site e deixar comentários.

Ao instalar o WooCommerce, você ganha duas funções de usuário:

  • Cliente: atribuído a novos clientes quando eles criam uma conta em seu site. Essa função é basicamente equivalente à de um assinante de blog normal, mas os clientes podem editar as informações de sua própria conta e visualizar pedidos anteriores ou atuais.
  • Shop Manager: Isso permite que o usuário execute o lado de operações da sua loja WooCommerce sem a capacidade de editar funcionalidades de back-end, como arquivos e código. Um gerente tem as mesmas permissões que um cliente, além de poder gerenciar todas as configurações no WooCommerce, criar/editar produtos e acessar todos os relatórios do WooCommerce. Importante: Eles TAMBÉM têm acesso aos recursos do editor do WordPress mencionados acima.

O WooCommerce também oferece recursos adicionais que permitem que um administrador:

  • Gerencie todas as configurações do WooCommerce
  • Criar e editar produtos
  • Visualizar relatórios do WooCommerce

Quando usar a função de gerente de loja

Atribua a função de Gerente de loja quando:

  • Você deseja permitir que um usuário gerencie pedidos, emita reembolsos e produza relatórios, sem poder editar plug-ins, temas ou configurações em seu site.
  • Você deseja permitir que um usuário visualize e atualize pedidos e produtos, mas não acesse suas configurações de usuário (eles não poderão adicionar/editar funções e permissões de usuário).
código em um computador para demonstrar quando você pode atribuir a função de administrador

Quando usar a função de administrador

Pode haver casos em que você precise atribuir a outro usuário uma função de administrador em seu site.

Exemplos de usuários administradores:

  • Desenvolvedor de sites
  • Web designer
  • Agência de marketing de mídia social
  • Agência de marketing digital

Normalmente, as pessoas nessas funções precisam de acesso a recursos e configurações mais abrangentes do WordPress para realizar projetos em seu site.

Você deve ser extremamente cuidadoso com isso, pois Administrador é a função mais poderosa em sua loja.

Práticas recomendadas para permissões de usuário

  • Forneça aos usuários apenas o acesso de que precisam. Isso é importante para a segurança, para evitar que os usuários façam alterações não aprovadas e impedir que o conteúdo seja excluído acidentalmente.
  • Limite o número de usuários que têm uma função de Administrador. Muitos fornecedores podem solicitar essa função, mas poucos realmente precisam de um nível de acesso tão avançado. Antes de conceder a solicitação, reconsidere cuidadosamente as funções de trabalho que eles desempenharão e veja se um nível de acesso mais baixo seria suficiente.
  • Se você quiser ter mais controle sobre exatamente o que seu usuário tem acesso, baixe o plugin gratuito User Role Editor, que permite selecionar os recursos individuais que você concede a cada usuário.

Práticas recomendadas de segurança de sites

Adicionar usuários ao seu site requer medidas de segurança adicionais – quanto mais usuários você tiver, mais riscos você corre.

Nomes de usuário e senhas seguros

Sempre certifique-se de que toda a sua equipe mantenha nomes de usuário e senhas fortes.

  • Ative a autenticação de dois fatores , se possível. O plugin Jetpack gratuito facilita isso.
  • Para nomes de usuário, evite títulos comuns como “Administrador” ou “Administrador”. Isso torna seu site vulnerável a violações de segurança. Em vez disso, crie um nome de usuário específico para cada pessoa .
  • O WordPress criará automaticamente uma senha segura para você quando você criar um novo usuário, mas você pode substituir isso e permitir que seus usuários definam suas próprias senhas .
  • Ao criar uma nova senha, certifique-se de que ela tenha uma letra maiúscula, uma letra minúscula, um número, um símbolo e tenha pelo menos 12 caracteres. Isso pode parecer extremo, mas quanto mais complicada for a senha para cada um de seus usuários, melhor será sua segurança .

Revise regularmente as funções

Revise periodicamente as funções do usuário, especialmente para administradores. Talvez seja necessário atribuir a eles uma nova função ou remover totalmente a conta.

Por exemplo, se você parar de trabalhar com uma agência ou desenvolvedor, certifique-se de remover a conta do seu site para que eles não tenham mais acesso a ela. A mesma coisa se aplica a outras funções de usuário.

Nenhum usuário deve ter acesso ao seu site, a menos que precise dele no momento.

Isso também vale para suas contas de hospedagem e nome de domínio. Se você concedeu a alguém acesso às suas informações de login e não está mais trabalhando com essa pessoa, altere sua senha. Se, em algum momento, você forneceu credenciais de FTP a um desenvolvedor para que ele pudesse gerenciar os arquivos do seu site, certifique-se de atualizar ou excluir totalmente essas credenciais. O InMotion Hosting fornece um passo a passo fácil de seguir para qualquer pessoa que use o cPanel.

Lembre-se: os profissionais do site ainda podem ter acesso ao seu site por meio das informações da sua conta de hospedagem ou credenciais de FTP.

Crie regularmente backups do seu site

Criar backups regulares de seu site e loja online é extremamente importante, não apenas para segurança, mas também para tranquilidade.

Se um usuário acabar fazendo alterações não aprovadas em seu site ou se seu site for comprometido, é imperativo ter uma cópia em mãos para que você possa restaurá-lo ao seu estado original.

Os planos pagos do Jetpack permitem restaurar rapidamente um backup do site com o clique de um botão. O Jetpack também mantém um log de auditoria em seu painel do WordPress, fornecendo informações detalhadas sobre todas as alterações feitas em seu site. Você pode ver qual usuário fez a alteração, a que horas ocorreu e exatamente qual foi a alteração.

captura de tela de um log de auditoria do Jetpack

É importante não confiar em nenhum backup gratuito que seu provedor de hospedagem inclua. Você deve ter controle total sobre seus arquivos e backups, e muitos hosts mantêm backups apenas por 48 horas. Você também pode querer manter os backups independentes de quaisquer contas às quais você tenha acesso compartilhado. Uma maneira de fazer isso é salvar uma cópia em um provedor de nuvem online, como Dropbox ou Google Drive, ou manter uma cópia em um disco rígido físico.

Compartilhamento de credenciais de login

Se você precisar compartilhar credenciais de login para funções de usuário ou para suas contas de hospedagem/domínio, não as envie por e-mail ou outro sistema não seguro.

Em vez disso, aproveite as ferramentas gratuitas de compartilhamento de senhas, como o LastPass.

O LastPass permite que você crie uma conta, armazene todos os seus nomes de usuário e senhas online em um cofre e compartilhe credenciais por meio de sua rede criptografada e segura.

Você também pode definir permissões de usuário nesta ferramenta – por exemplo, você pode marcar uma caixa se deseja que o usuário possa ver a senha ou não.

Esteja seguro lá fora

Possuir uma loja online vem com muita responsabilidade, especialmente quando se trata de atribuir acesso ao back-end do seu site.

Felizmente, o WordPress e o WooCommerce facilitam a atribuição de funções de usuário específicas, bloqueio de permissões, mantendo as informações dos clientes e sua propriedade digital seguras.