Aproveitando ao máximo o sistema de usuário do WordPress
Publicados: 2014-01-06Quão importante é configurar uma hierarquia de usuários abrangente em seus sites WordPress?
Este artigo explicará os benefícios de criar vários usuários para o seu site WordPress e como entender as diferentes funções que os usuários podem ter lhe dará o controle necessário para permitir que outras pessoas criem conteúdo, sem arriscar o controle do próprio site. O artigo também ensinará você a verificar a configuração do seu site para entender se existem backdoors que visitantes indesejados podem usar para se registrar, visualizar conteúdo privado ou fazer alterações indesejadas em seu site.
Ficar preso na 'rotina do administrador'
O infame processo de instalação de um minuto do WordPress significa que é simples configurar um novo site ou intranet. Mas para ser tão rápido, é preciso um atalho que muitas vezes pode ser o primeiro passo para cair na armadilha de ter apenas um usuário para fazer tudo. Ele configura um usuário chamado 'admin' por padrão, e muitas vezes pode parecer mais fácil apenas manter isso, talvez até compartilhar sua senha com outras pessoas, em vez de dar um passo atrás e configurar usuários e permissões que reflitam melhor a maneira como você deseja que sua organização interaja com o WordPress.
Isso não é apenas contraproducente para você e sua equipe, mas também é impessoal para os visitantes ou usuários do seu site – cada postagem é escrita pelo usuário 'admin' impessoal: nome de usuário 'admin', nome 'admin', sobrenome nome 'administrador'…
Existem até ataques de hackers que se aproveitam da proliferação do nome de usuário 'admin', forçando-o a adivinhar a senha que um administrador iniciante do WordPress pode ter inserido.
Digamos que você esteja levantando a mão agora, e saiba que você é mais do que o 'administrador' chato que você foi enganado para se rotular (ou seja, como a maioria das pessoas, você realmente tem um nome real). O primeiro passo é se identificar para o mundo!
Tudo o que você realmente precisa fazer é alterar seu 'Apelido' de 'admin' para outra coisa e selecioná-lo na lista suspensa 'Exibir nome publicamente'. Isso listará pelo menos seu nome escolhido como o proprietário de todas as suas postagens de blog existentes.
No entanto, você ainda terá que digitar 'admin' como seu nome de usuário quando fizer login e, à medida que você criar mais usuários para sua outra equipe, você se destacará como uma anomalia que precisa ser tratada de maneira um pouco diferente (todos os outros terão seus nomes ou talvez e-mail como seu nome de usuário).
Então, se você quiser ir até o fim, também terá que alterar seu nome de usuário. Isso não é algo que você tem permissão para fazer em uma instalação padrão do WordPress, mas existem plugins de terceiros que permitem que você faça isso. Por exemplo, http://wordpress.org/plugins/admin-username-changer/
Para obter ideias sobre como alterar seu próprio nome de usuário, primeiro você precisa decidir sobre uma estratégia para nomear todos os usuários em sua organização.
Trazendo seus co-pilotos
Não precisa ser uma decisão complicada, mas pense rapidamente sobre quem mais deve ser um usuário em seu blog e o que eles devem ter permissão para fazer. Talvez seja necessário ler as seções posteriores sobre permissões para entender suas opções.
Recomendamos que você tenha uma política consistente para configurar novas contas de usuário – estamos falando apenas de uma decisão informal, não que você precise escrever uma lista de regras ou algo assim! Digamos que todos em sua organização tenham um endereço de e-mail no mesmo domínio – todos são apenas [email protected] ou qualquer outra coisa – então você pode decidir pegar a primeira parte do endereço para formar o nome de usuário do WordPress (ou seja, “dan” ). Ou se você precisar de um pouco de flexibilidade – por exemplo, se você tiver contratados que precisam fazer login – saiba que você pode usar endereços de e-mail completos como nomes de usuário. E então tenha uma política de Nome e Sobrenome para esses campos, e o mesmo para o campo 'nome amigável'.
Mas não os deixe dirigir muito rápido
Portanto, você está satisfeito porque será mais gerenciável para outros membros da equipe contribuir com seu site – e talvez alguns de seus leitores também, especialmente se você quiser que eles comentem. Mas como impedir que eles assumam o controle do seu site e até mesmo removam você como usuário? Você adivinhou se ainda não sabe: você pode definir diferentes 'funções' que restringem os recursos desses usuários.
Ao criar um usuário em seu painel de administração, você especifica uma função.
Aqui está uma breve visão geral das funções padrão do WordPress para instalações de site único do WordPress (você saberá se tiver uma rede multisite e as diferenças para tal instalação estão listadas posteriormente):
Administrador
O usuário que tudo vê que pode fazer qualquer coisa no site: criar novos usuários, excluir usuários, instalar novos temas e plugins, além de todo o trabalho diário do site se não delegar completamente. Isso significa escrever posts e páginas, aprovar comentários etc.
editor
Esse usuário não pode alterar a estrutura técnica do site (com isso, quero dizer que não pode instalar plugins ou adicionar/remover outros usuários), mas tem total controle editorial sobre o conteúdo. Eles podem adicionar/remover páginas e postagens e editar, excluir ou aprovar o conteúdo de outras pessoas.
Autor
Um autor pode criar suas próprias novas postagens de blog (mas não páginas) e publicá-las sem autorização. No entanto, eles não podem interferir no conteúdo de outros usuários. Eles também podem enviar imagens para suas postagens, o que os Contribuidores não podem.
Contribuinte
Esta é basicamente uma versão menos confiável da função Autor e é especialmente útil para blogueiros convidados. Você pode querer que um blogueiro convidado possa fazer login para inserir seu conteúdo diretamente (no mínimo, você evita copiá-lo manualmente). Mas você não quer que eles publiquem publicamente sem antes serem revisados e aprovados por sua equipe principal. A postagem de um colaborador deve primeiro ser aprovada por um administrador e depois publicada. Uma vez publicado, o colaborador não poderá mais editá-lo. Se você quiser que outros membros da equipe possam aprovar e publicar postagens, primeiro você precisará modificar suas funções.
Assinante
Esses usuários normalmente são seus leitores – que, para um site público, podem precisar fazer login para comentar ou receber funcionalidades adicionais, como downloads de arquivos. Para um site de intranet (ou apenas para membros), você pode exigir que os usuários se registrem como Assinantes (ou superior) antes de terem permissão para visualizar qualquer conteúdo.
Redes Multisite
Se você tiver uma configuração mais complicada, conhecida como rede multisite, na qual você está executando essencialmente um conjunto completo de sites diferentes, todas as funções acima serão reduzidas um nível e o usuário inicial que criou tudo será conhecido como um 'Super Admin' – eles têm controle total sobre a própria rede, todos os outros usuários e os sites individuais. Eles podem então querer criar Admin(s) para cada subsite, que tem controle apenas sobre seus sites designados – embora os recursos para Admin nesta situação sejam ligeiramente reduzidos em comparação com a versão de site único: por exemplo, poderia ser um risco de segurança para toda a rede se os administradores do subsite pudessem escolher e instalar seus próprios plugins.
Ameaças de backdoor
Na verdade, esta é quase a porta da frente… Por padrão, o WordPress permitirá que qualquer pessoa na internet se registre como usuário! Se você não tiver um link de 'registro' em seu site, talvez não esteja ciente disso, mas as pessoas podem se registrar acessando /wp-login.php?action=register
Para desativar isso, vá no painel de administração do WordPress para Configurações -> Configurações gerais -> Associação e desmarque Qualquer pessoa pode se registrar .
Na mesma página de configurações gerais, também haverá uma lista suspensa Nova função padrão do usuário . Isso será aplicado a novos usuários se você decidir que deseja que as pessoas possam se registrar como usuários, e deve estar no nível mais baixo de Assinante, a menos que alguém o tenha alterado.
aplicativos do Google
Se sua organização estiver usando o Google Apps para gerenciar e-mails, nosso plug-in facilitará muito o gerenciamento de usuários do WordPress.
O Login do Google Apps permite que os usuários façam login em sites e blogs usando o Google para autenticar suas contas com segurança, portanto, nenhum nome de usuário ou senha é explicitamente necessário.
Para administradores de sites corporativos ocupados e em constante mudança, a versão Premium do plug-in oferece uma maneira fácil de garantir que toda a sua equipe tenha uma conta WordPress sem precisar configurar cada uma manualmente, pois sincronizam automaticamente com o Google Apps.
Novos perfis de usuário são preenchidos com base em seu perfil do Google, e os administradores podem especificar uma função padrão do WordPress para novos usuários.
A versão Premium do plug-in também aumenta significativamente a segurança, garantindo que os funcionários que saem ou mudam de função não possam fazer login no futuro ou obter acesso não autorizado a sites confidenciais.
Para mais informações ou para instalar o plugin, clique aqui.
Conclusão
Esperamos que este artigo tenha lhe dado uma visão geral das diferentes funções de usuário do WordPress e como você pode usá-las para manter seu site mais organizado, responsável e fácil de gerenciar a longo prazo!