Максимальное использование пользовательской системы WordPress

Опубликовано: 2014-01-06

Насколько важно настроить всеобъемлющую иерархию пользователей на ваших сайтах WordPress?

В этой статье объясняются преимущества создания нескольких пользователей для вашего сайта WordPress и то, как понимание различных ролей, которые могут иметь пользователи, даст вам контроль, необходимый для того, чтобы позволить другим создавать контент, не рискуя контролировать сам сайт. Статья также научит вас проверять конфигурацию вашего сайта, чтобы понять, есть ли какие-либо лазейки, которые нежелательные посетители могут использовать для регистрации, просмотра частного контента или внесения нежелательных изменений на ваш сайт.

Застрять в «админской рутине»

Печально известный одноминутный процесс установки WordPress означает, что настроить новый веб-сайт или интрасеть очень просто. Но для того, чтобы быть таким сверхбыстрым, он использует ярлык, который часто может быть первым шагом к попаданию в ловушку, когда все делает только один пользователь. Он устанавливает пользователя с именем «admin» по умолчанию, и часто может показаться, что проще просто придерживаться этого, может быть, даже делиться своим паролем с другими, вместо того, чтобы делать шаг назад и настраивать пользователей и разрешения, которые лучше отражают то, как вы хотите, чтобы ваша организация взаимодействовала с WordPress.

Это не только контрпродуктивно для вас и вашей команды, но и обезличено для посетителей или пользователей вашего сайта — каждый пост написан обезличенным пользователем «администратор»: имя пользователя «админ», имя «админ», фамилия имя «админ»…

Существуют даже хакерские атаки, которые используют распространение имени пользователя «admin», угадывая пароль, который мог ввести начинающий администратор WordPress.

Допустим, вы прямо сейчас держите руку и знаете, что вы больше, чем скучный «админ», которого обманом заставили назвать себя (т. е., как и у большинства людей, у вас действительно есть настоящее имя). Первый шаг — отождествить себя с миром!

Все, что вам на самом деле нужно сделать, это изменить свой «Псевдоним» с «admin» на что-то другое, а затем выбрать его в раскрывающемся списке «Отображать имя публично». Это, по крайней мере, укажет выбранное вами имя как владельца всех ваших существующих сообщений в блоге.

nickname1

Тем не менее, вам все равно придется вводить «admin» в качестве имени пользователя при входе в систему, и по мере того, как вы создаете больше пользователей для других сотрудников, вы будете выделяться как аномалия, с которой нужно обращаться немного по-другому (все остальные будут иметь свое имя). или, возможно, адрес электронной почты в качестве имени пользователя).

Итак, если вы хотите пройти весь путь, вам также придется изменить свое имя пользователя. Это не то, что вам разрешено делать в рамках стандартной установки WordPress, но есть сторонние плагины, которые позволяют вам это делать. Например, http://wordpress.org/plugins/admin-username-changer/

Чтобы понять, на что изменить собственное имя пользователя, сначала нужно определиться со стратегией именования всех пользователей в вашей организации.

Привлечение ваших вторых пилотов

Это не должно быть сложным решением, но быстро подумайте о том, кто еще должен быть пользователем вашего блога и что им должно быть позволено делать. Возможно, вам придется прочитать последующие разделы о разрешениях, чтобы понять ваши варианты.

Мы рекомендуем вам иметь последовательную политику для создания новых учетных записей пользователей — мы говорим только о неформальном решении, а не о том, что вам нужно записать список правил или что-то еще! Скажем, у всех в вашей организации есть адреса электронной почты в одном и том же домене — все просто [email protected] или что-то в этом роде — тогда вы можете просто решить взять первую часть адреса для формирования имени пользователя WordPress (например, «dan» ). Или, если вам нужно немного гибкости — например, если у вас могут быть подрядчики, которым необходимо войти в систему — имейте в виду, что вы можете просто использовать полные адреса электронной почты в качестве имен пользователей. Затем у вас есть политика для имени и фамилии для этих полей и такая же политика для поля «дружественное имя».

Но не позволяйте им ехать слишком быстро

Итак, вы рады, что другим членам команды будет проще вносить свой вклад в ваш веб-сайт — и, возможно, некоторым из ваших читателей тоже, особенно если вы хотите, чтобы они оставляли комментарии. Но как помешать им получить контроль над вашим сайтом и даже удалить вас как пользователя? Вы уже догадались, если еще не знаете: вы можете установить разные «роли», которые ограничивают возможности этих пользователей.

Когда вы создаете пользователя в своей панели администратора, вы указываете роль.

Add new user1

Вот краткий обзор стандартных ролей WordPress для односайтовых установок WordPress (вы узнаете, если у вас многосайтовая сеть, и различия для такой установки перечислены ниже):

Администратор

Всевидящий пользователь, который может делать на сайте все что угодно: создавать новых пользователей, удалять пользователей, устанавливать новые темы и плагины, плюс всю повседневную работу сайта, если не делегировать ее полностью. Это означает написание постов и страниц, одобрение комментариев и т. д.

редактор

Этот пользователь не может изменять техническую структуру сайта (под этим я подразумеваю, что он не может устанавливать плагины или добавлять/удалять других пользователей), но у него есть полный редакционный контроль над контентом. Они могут добавлять/удалять как страницы, так и сообщения, а также редактировать, удалять или одобрять контент других людей.

Автор

Автор может создавать свои собственные новые сообщения в блоге (но не страницы) и публиковать их без разрешения. Однако они не могут мешать контенту других пользователей. Им также разрешено загружать изображения в свои сообщения, чего не могут авторы.

Автор

По сути, это менее заслуживающая доверия версия роли автора, которая особенно полезна для гостевых блоггеров. Возможно, вы захотите, чтобы гостевой блоггер мог войти в систему, чтобы напрямую вводить свой контент (по крайней мере, избавляет вас от копирования его вручную). Но вы не хотите, чтобы они публиковали его публично, пока он не будет предварительно рассмотрен и одобрен вашей основной командой. Сообщение участника должно быть сначала одобрено администратором, а затем опубликовано. После публикации участник больше не может редактировать его. Если вы хотите, чтобы другие члены команды могли утверждать и публиковать сообщения, вам сначала нужно изменить их роли.

Подписчик

Эти пользователи обычно являются вашими читателями, которым для общедоступного веб-сайта может потребоваться войти в систему, чтобы комментировать или получать дополнительные функции, такие как загрузка файлов. Для интранет-сайта (или сайта только для членов) может потребоваться, чтобы пользователи регистрировались в качестве подписчиков (или выше), прежде чем им вообще будет разрешено просматривать какой-либо контент.

Мультисайтовые сети

Если у вас есть более сложная конфигурация, известная как многосайтовая сеть, где вы, по сути, управляете целым набором различных сайтов, тогда все вышеперечисленные роли перемещаются на уровень ниже, и первоначальный пользователь, который все это создал, будет известен как «Суперадминистратор» — они имеют полный контроль над самой сетью, всеми другими пользователями и отдельными сайтами. Затем они могут захотеть создать администратора (ов) для каждого дочернего сайта, которые контролируют только назначенный им сайт (сайты), хотя возможности администратора в этой ситуации немного ограничены по сравнению с версией с одним сайтом: например, это может быть угрозой безопасности для всей сети, если администраторам дочерних сайтов будет разрешено выбирать и устанавливать свои собственные плагины.

Бэкдор-угрозы

На самом деле, это почти входная дверь… По умолчанию WordPress позволяет любому пользователю в Интернете зарегистрироваться в качестве пользователя! Если на вашем сайте нет ссылки «зарегистрироваться», вы можете не знать об этом, но люди могут зарегистрироваться, перейдя по адресу /wp-login.php?action=register.

Чтобы отключить это, перейдите в панель администратора WordPress в «Настройки» -> «Общие настройки» -> «Членство» и снимите флажок « Любой может зарегистрироваться ».

settings1

На той же странице «Общие настройки» также будет раскрывающийся список « Новая роль пользователя по умолчанию ». Это будет применяться к новым пользователям, если вы решите, что хотите, чтобы люди могли регистрироваться в качестве пользователей, и это должно быть на самом низком уровне подписчика, если кто-то другой не изменил его.

newdefualtuser

Службы Google

Если ваша организация использует Google Apps для управления электронной почтой, то наш плагин значительно упростит управление пользователями WordPress.

Вход в Google Apps позволяет пользователям входить на веб-сайты и в блоги с помощью Google для безопасной аутентификации своей учетной записи, поэтому явно не требуется имя пользователя или пароль.

Для администраторов загруженных, постоянно меняющихся корпоративных сайтов Премиум-версия плагина предоставляет простой способ убедиться, что вся ваша команда имеет учетную запись WordPress без необходимости вручную настраивать каждую из них, поскольку они автоматически синхронизируются с Google Apps.

Новые профили пользователей заполняются на основе их профиля Google, и администраторы могут указать роль WordPress по умолчанию для новых пользователей.

Премиум-версия плагина также значительно повышает безопасность, гарантируя, что сотрудники, которые покидают или меняют роли, не смогут войти в систему в будущем или получить несанкционированный доступ к конфиденциальным сайтам.

Для получения дополнительной информации или для установки плагина нажмите здесь.

Вывод

Мы надеемся, что эта статья дала вам обзор различных ролей пользователей WordPress и того, как вы можете использовать их, чтобы сделать ваш сайт более организованным, подотчетным и простым в управлении в долгосрочной перспективе!