Руководство по ролям пользователей WooCommerce, разрешениям и безопасности

Опубликовано: 2019-09-04

Предоставляя людям доступ к вашему веб-сайту, важно сохранять полный контроль, позволяя при этом вашим сотрудникам, подрядчикам и волонтерам эффективно выполнять свою работу. Есть несколько важных шагов, которые вы должны предпринять, чтобы добиться этого.

Мы рассмотрим различные типы пользователей, к которым WordPress и WooCommerce предоставляют вам доступ, что означают эти разрешения, а также другие рекомендации по обеспечению безопасности веб-сайтов.

Пользователь WordPress перед компьютером

Роли пользователей и разрешения

Система управления пользователями основана на двух аспектах: роли и возможности.

Роль — это название классификации, присвоенное группе пользователей на вашем сайте WordPress. Каждая роль соотносится со своим собственным набором возможностей.

Возможность — это конкретное действие, которое разрешено выполнять пользователю. Например, редактирование сообщения — это одна отдельная возможность, а модерация комментариев к сообщению в блоге — другая.

WordPress имеет шесть пользовательских ролей по умолчанию, каждая со своим набором разрешений и возможностей:

  • Суперадминистратор: у суперадминистратора есть возможности, которые особенно применимы к многосайтовым средам. Они могут управлять настройками всех веб-сайтов в сети. В случае с отдельными сайтами администратор является пользователем самого высокого уровня.
  • Администратор: самая мощная роль пользователя, потому что она дает вам доступ ко всему. Как владелец веб-сайта, это должна быть ваша роль
  • Редактор: этот пользователь обычно отвечает за управление контентом. Редакторы могут добавлять, редактировать, публиковать и удалять любые сообщения и медиафайлы, в том числе написанные другими пользователями. Редакторы также могут модерировать, редактировать и удалять комментарии, а также добавлять и редактировать категории и теги.
  • Автор: обычно отвечает за задачи, связанные с написанием контента. Они могут создавать, редактировать и публиковать свои собственные сообщения. Они также могут удалять свои собственные сообщения (даже если они уже опубликованы), но не могут редактировать или удалять сообщения, написанные другим пользователем.
  • Участник: Участник — это более простая версия роли автора. Участники могут выполнять на вашем сайте три задачи: читать все сообщения, создавать и редактировать свои собственные сообщения и удалять свои собственные сообщения. Однако эта роль не позволяет им напрямую публиковать свои сообщения на вашем сайте. Это дает вам возможность просмотреть и получить окончательный контроль над любым контентом, который они создают, прежде чем он будет опубликован.
  • Подписчик: назначается новым пользователям, если вы разрешаете регистрацию на своем сайте. Эта роль имеет наименьшее количество разрешений. Пользователи могут только обновлять свой профиль, читать контент на вашем сайте и оставлять комментарии.

Когда вы установите WooCommerce, вы получите две роли пользователя:

  • Клиент: назначается новым клиентам, когда они создают учетную запись на вашем веб-сайте. Эта роль в основном эквивалентна роли обычного подписчика блога, но клиенты могут редактировать информацию своей учетной записи и просматривать прошлые или текущие заказы.
  • Менеджер магазина: это позволяет пользователю запускать операционную часть вашего магазина WooCommerce без возможности редактировать внутренние функции, такие как файлы и код. Менеджер имеет те же права, что и клиент, плюс ему также предоставляется возможность управлять всеми настройками в WooCommerce, создавать/редактировать продукты и получать доступ ко всем отчетам WooCommerce. Важно: они ТАКЖЕ имеют доступ к упомянутым выше возможностям редактора WordPress.

WooCommerce также предлагает дополнительные возможности , которые позволяют администратору:

  • Управление всеми настройками WooCommerce
  • Создание и редактирование продуктов
  • Просмотр отчетов WooCommerce

Когда использовать роль менеджера магазина

Назначайте роль менеджера магазина, когда:

  • Вы хотите, чтобы пользователь мог управлять заказами, возвращать средства и создавать отчеты, не имея возможности редактировать плагины, темы или настройки на вашем сайте.
  • Вы хотите разрешить пользователю просматривать и обновлять заказы и продукты, но не иметь доступа к вашим настройкам пользователя (они не смогут добавлять/редактировать роли пользователей и разрешения).
код на компьютере, чтобы продемонстрировать, когда вы можете назначить роль администратора

Когда использовать роль администратора

Могут быть случаи, когда вам нужно предоставить другому пользователю роль администратора на вашем сайте.

Примеры пользователей-администраторов:

  • Разработчик веб-сайтов
  • Дизайнер веб-сайтов
  • Агентство маркетинга в социальных сетях
  • Агентство цифрового маркетинга

Как правило, людям в этих ролях нужен доступ к более обширным функциям и настройкам WordPress, чтобы выполнять проекты на вашем веб-сайте.

Вы должны быть очень осторожны с этим, поскольку Администратор — самая мощная роль в вашем магазине.

Лучшие практики для разрешений пользователей

  • Предоставляйте пользователям только тот доступ, который им необходим. Это важно для безопасности, чтобы предотвратить внесение пользователями несанкционированных изменений и предотвратить случайное удаление содержимого.
  • Ограничьте количество пользователей с ролью администратора. Многие поставщики могут запрашивать эту роль, но немногим на самом деле нужен такой расширенный уровень доступа. Прежде чем удовлетворить запрос, тщательно пересмотрите рабочие функции, которые они будут выполнять, и посмотрите, будет ли достаточен более низкий уровень доступа.
  • Если вам нужен больший контроль над тем, к чему именно имеет доступ ваш пользователь, загрузите бесплатный плагин User Role Editor, который позволяет вам выбирать индивидуальные возможности, которые вы предоставляете каждому пользователю.

Рекомендации по обеспечению безопасности веб-сайтов

Добавление пользователей на ваш сайт требует дополнительных мер безопасности — чем больше у вас пользователей, тем больше вы рискуете.

Безопасные имена пользователей и пароли

Всегда следите за тем, чтобы вся ваша команда использовала надежные имена пользователей и пароли.

  • Включите двухфакторную аутентификацию , если это возможно. Бесплатный плагин Jetpack упрощает эту задачу.
  • Для имен пользователей избегайте общих названий, таких как «Администратор» или «Администратор». Это делает ваш сайт уязвимым для нарушений безопасности. Вместо этого создайте конкретное имя пользователя для каждого человека .
  • WordPress автоматически создаст для вас безопасный пароль, когда вы создадите нового пользователя, но у вас есть возможность переопределить это и позволить вашим пользователям устанавливать свой собственный пароль .
  • При создании нового пароля убедитесь, что он состоит из прописной буквы, строчной буквы, цифры, символа и содержит не менее 12 символов. Это может показаться чрезмерным, но чем сложнее пароль для каждого из ваших пользователей, тем лучше будет ваша безопасность .

Регулярно пересматривайте роли

Периодически пересматривайте роли пользователей, особенно администраторов. Возможно, вам придется назначить им новую роль или полностью удалить их учетную запись.

Например, если вы перестанете работать с агентством или разработчиком, обязательно удалите их учетную запись со своего веб-сайта, чтобы они больше не имели к нему доступа. То же самое относится и к другим ролям пользователей.

Ни один пользователь не должен иметь доступ к вашему сайту, если он ему в данный момент не нужен.

Это также верно для ваших учетных записей хостинга и доменного имени. Если вы предоставили кому-либо доступ к своей информации для входа и больше не работаете с ним, измените свой пароль. Если в какой-то момент вы предоставили разработчику учетные данные FTP, чтобы они могли управлять файлами вашего веб-сайта, обязательно полностью обновите или удалите эти учетные данные. Хостинг InMotion предоставляет простое пошаговое руководство для всех, кто использует cPanel.

Помните: специалисты по веб-сайтам по-прежнему могут получить доступ к вашему веб-сайту с помощью информации вашей учетной записи хостинга или учетных данных FTP.

Регулярно создавайте резервные копии вашего сайта

Создание регулярных резервных копий вашего веб-сайта и интернет-магазина чрезвычайно важно не только для безопасности, но и для душевного спокойствия.

Если пользователь в конечном итоге внесет несанкционированные изменения на ваш сайт или если ваш сайт будет скомпрометирован, крайне важно иметь копию под рукой, чтобы вы могли восстановить ее в исходное состояние.

Платные планы Jetpack позволяют быстро восстановить резервную копию сайта одним нажатием кнопки. Jetpack также ведет журнал аудита на панели инструментов WordPress, предоставляя подробную информацию обо всех изменениях, внесенных на ваш сайт. Вы можете увидеть, какой пользователь внес изменение, в какое время оно произошло и в чем именно заключалось изменение.

скриншот журнала аудита Jetpack

Важно не полагаться на бесплатные резервные копии, предоставляемые вашим хостинг-провайдером. Вы должны иметь полный контроль над своими файлами и резервными копиями, а многие хосты хранят резервные копии только в течение 48 часов. Вы также можете хранить резервные копии независимо от любых учетных записей, к которым у вас может быть общий доступ. Один из способов сделать это — сохранить копию в облачном онлайн-провайдере, таком как Dropbox или Google Drive, или сохранить копию на физическом жестком диске.

Совместное использование учетных данных для входа

Если вам нужно поделиться учетными данными для входа в систему для ролей пользователей или для ваших учетных записей хостинга/домена, не отправляйте их по электронной почте или через другую незащищенную систему.

Вместо этого воспользуйтесь бесплатными инструментами обмена паролями, такими как LastPass.

LastPass позволяет вам создать учетную запись, хранить все ваши онлайн-имена пользователей и пароли в хранилище и обмениваться учетными данными через их зашифрованную и безопасную сеть.

Вы также можете установить права пользователя в этом инструменте — например, вы можете установить флажок, если вы хотите, чтобы пользователь мог видеть пароль или нет.

Будьте в безопасности там

Владение интернет-магазином сопряжено с большой ответственностью, особенно когда речь идет о предоставлении доступа к серверной части вашего сайта.

К счастью, WordPress и WooCommerce позволяют легко назначать определенные роли пользователей, блокировать разрешения, обеспечивать безопасность информации о клиентах и ​​вашей цифровой собственности.