คู่มือบทบาทผู้ใช้ WooCommerce สิทธิ์และความปลอดภัย

เผยแพร่แล้ว: 2019-09-04

เมื่อให้สิทธิ์เข้าถึงเว็บไซต์ของคุณแก่ผู้อื่น สิ่งสำคัญคือต้องรักษาการควบคุมทั้งหมดไว้ ในขณะที่ยังคงอนุญาตให้พนักงาน ผู้รับเหมา และอาสาสมัครทำงานได้อย่างมีประสิทธิภาพ มีขั้นตอนสำคัญสองสามขั้นตอนที่คุณควรดำเนินการเพื่อให้บรรลุเป้าหมายนี้

เราจะพิจารณาประเภทผู้ใช้ต่างๆ ที่ WordPress และ WooCommerce ให้คุณเข้าถึง ความหมายของการอนุญาตเหล่านั้น และแนวทางปฏิบัติที่ดีที่สุดอื่นๆ สำหรับการรักษาความปลอดภัยเว็บไซต์

ผู้ใช้ WordPress หน้าคอมพิวเตอร์

บทบาทและสิทธิ์ของผู้ใช้

ระบบการจัดการผู้ใช้จะขึ้นอยู่กับสองด้าน: บทบาทและความสามารถ

บทบาท คือชื่อการจัดประเภทที่กำหนดให้กับกลุ่มผู้ใช้บนไซต์ WordPress ของคุณ แต่ละบทบาทสัมพันธ์กับชุดความสามารถของตนเอง

ความสามารถ คือการดำเนินการเฉพาะที่ผู้ใช้ได้รับอนุญาตให้ดำเนินการ ตัวอย่างเช่น การแก้ไขโพสต์เป็นความสามารถที่แตกต่างกันอย่างหนึ่ง ในขณะที่การกลั่นกรองความคิดเห็นเกี่ยวกับโพสต์ในบล็อกก็เป็นอีกความสามารถหนึ่ง

WordPress มีบทบาทผู้ใช้เริ่มต้น 6 บทบาท โดยแต่ละบทบาทมีชุดสิทธิ์และความสามารถของตนเอง:

  • ผู้ ดูแลระบบระดับสูง: ผู้ดูแลระบบขั้นสูงมีความสามารถที่ใช้กับสภาพแวดล้อมแบบหลายไซต์โดยเฉพาะ พวกเขาสามารถจัดการการตั้งค่าสำหรับเว็บไซต์ทั้งหมดในเครือข่าย ในกรณีของไซต์เดียว ผู้ดูแลระบบคือผู้ใช้ระดับสูงสุด
  • ผู้ ดูแลระบบ: บทบาทผู้ใช้ที่ทรงพลังที่สุดเพราะช่วยให้คุณเข้าถึงทุกสิ่งได้ ในฐานะเจ้าของเว็บไซต์ นี่ควรเป็นบทบาทของคุณ
  • ผู้ แก้ไข: โดยทั่วไปแล้วผู้ใช้รายนี้มีหน้าที่รับผิดชอบในการจัดการเนื้อหา บรรณาธิการสามารถเพิ่ม แก้ไข เผยแพร่ และลบโพสต์และสื่อใดๆ รวมทั้งโพสต์ที่เขียนโดยผู้ใช้รายอื่น บรรณาธิการยังสามารถกลั่นกรอง แก้ไข และลบความคิดเห็น และเพิ่มและแก้ไขหมวดหมู่และแท็ก
  • ผู้แต่ง: โดยทั่วไปแล้วรับผิดชอบงานที่เกี่ยวข้องกับการเขียนเนื้อหา พวกเขาสามารถสร้าง แก้ไข และเผยแพร่โพสต์ของตนเองได้ พวกเขายังสามารถลบโพสต์ของตนเองได้ (แม้ว่าจะเผยแพร่ไปแล้วก็ตาม) แต่ไม่สามารถแก้ไขหรือลบโพสต์ที่เขียนโดยผู้ใช้รายอื่นได้
  • ผู้ร่วมให้ข้อมูล: ผู้ร่วมให้ข้อมูลเป็นเวอร์ชันพื้นฐานของบทบาทผู้เขียน ผู้ร่วมให้ข้อมูลสามารถทำงานสามอย่างบนไซต์ของคุณ: อ่านโพสต์ทั้งหมด สร้างและแก้ไขโพสต์ของตนเอง และลบโพสต์ของตนเอง อย่างไรก็ตาม บทบาทนี้หยุดไม่ให้พวกเขาสามารถเผยแพร่โพสต์ของตนบนไซต์ของคุณได้โดยตรง ซึ่งจะทำให้คุณมีโอกาสตรวจสอบและควบคุมเนื้อหาที่พวกเขาสร้างขึ้นในขั้นสุดท้ายก่อนที่จะเผยแพร่
  • สมาชิก: กำหนดให้กับผู้ใช้ใหม่หากคุณเปิดใช้งานการลงทะเบียนบนไซต์ของคุณ บทบาทนี้มีจำนวนการอนุญาตน้อยที่สุด ผู้ใช้สามารถอัปเดตโปรไฟล์ของตนเอง อ่านเนื้อหาในไซต์ของคุณ และแสดงความคิดเห็นเท่านั้น

เมื่อคุณติดตั้ง WooCommerce คุณจะได้รับบทบาทผู้ใช้สองบทบาท:

  • ลูกค้า: มอบหมายให้กับลูกค้าใหม่เมื่อพวกเขาสร้างบัญชีบนเว็บไซต์ของคุณ โดยพื้นฐานแล้วบทบาทนี้เทียบเท่ากับหน้าที่ของสมาชิกบล็อกทั่วไป แต่ลูกค้าสามารถแก้ไขข้อมูลบัญชีของตนเองและดูคำสั่งซื้อในอดีตหรือปัจจุบันได้
  • ผู้จัดการร้าน: สิ่งนี้ทำให้ผู้ใช้สามารถเรียกใช้ด้านการดำเนินการของร้านค้า WooCommerce ของคุณโดยไม่ต้องแก้ไขฟังก์ชันแบ็คเอนด์ เช่น ไฟล์และโค้ด ผู้จัดการมีสิทธิ์เช่นเดียวกับลูกค้า บวกกับความสามารถในการจัดการการตั้งค่าทั้งหมดภายใน WooCommerce สร้าง/แก้ไขผลิตภัณฑ์ และเข้าถึงรายงาน WooCommerce ทั้งหมด สำคัญ: พวกเขายังสามารถเข้าถึงความสามารถของตัวแก้ไข WordPress ที่กล่าวถึงข้างต้น

WooCommerce ยังมี ความสามารถเพิ่มเติม ที่ช่วยให้ผู้ดูแลระบบสามารถ:

  • จัดการการตั้งค่า WooCommerce ทั้งหมด
  • สร้างและแก้ไขผลิตภัณฑ์
  • ดูรายงาน WooCommerce

เมื่อใดควรใช้บทบาทผู้จัดการร้าน

มอบหมายบทบาทผู้จัดการร้านเมื่อ:

  • คุณต้องการอนุญาตให้ผู้ใช้จัดการคำสั่งซื้อ คืนเงิน และสร้างรายงาน โดยไม่ต้องแก้ไขปลั๊กอิน ธีม หรือการตั้งค่าในไซต์ของคุณ
  • คุณต้องการอนุญาตให้ผู้ใช้ดูและอัปเดตคำสั่งซื้อและผลิตภัณฑ์ แต่ไม่สามารถเข้าถึงการตั้งค่าผู้ใช้ของคุณ (พวกเขาจะไม่สามารถเพิ่ม/แก้ไขบทบาทและสิทธิ์ของผู้ใช้)
รหัสบนคอมพิวเตอร์เพื่อแสดงเวลาที่คุณอาจกำหนดบทบาทผู้ดูแลระบบ

เมื่อใดควรใช้บทบาทผู้ดูแลระบบ

อาจมีบางกรณีที่คุณจำเป็นต้องมอบบทบาทผู้ดูแลระบบให้กับผู้ใช้รายอื่นในไซต์ของคุณ

ตัวอย่างผู้ใช้ผู้ดูแลระบบ:

  • ผู้พัฒนาเว็บไซต์
  • นักออกแบบเว็บไซต์
  • สำนักงานการตลาดโซเชียลมีเดีย
  • เอเจนซี่การตลาดดิจิทัล

โดยทั่วไปแล้ว ผู้ที่อยู่ในบทบาทเหล่านี้จำเป็นต้องเข้าถึงคุณลักษณะและการตั้งค่า WordPress ที่ครอบคลุมมากขึ้น เพื่อดำเนินโครงการบนเว็บไซต์ของคุณ

คุณจะต้องระมัดระวังเป็นอย่างยิ่งเนื่องจากผู้ดูแลระบบเป็นบทบาทที่ทรงพลังที่สุดในร้านค้าของคุณ

แนวทางปฏิบัติที่ดีที่สุดสำหรับการอนุญาตของผู้ใช้

  • ให้สิทธิ์การเข้าถึงที่ผู้ใช้ต้องการเท่านั้น นี่เป็นสิ่งสำคัญสำหรับการรักษาความปลอดภัย เพื่อป้องกันไม่ให้ผู้ใช้ทำการเปลี่ยนแปลงที่ไม่ได้รับการอนุมัติ และป้องกันไม่ให้เนื้อหาถูกลบโดยไม่ได้ตั้งใจ
  • จำกัดจำนวนผู้ใช้ที่มีบทบาทผู้ดูแลระบบ ผู้จำหน่ายหลายรายอาจร้องขอบทบาทนี้ แต่มีเพียงไม่กี่รายที่ต้องการการเข้าถึงขั้นสูงเช่นนี้ ก่อนที่จะให้คำขอ ให้พิจารณาหน้าที่งานที่พวกเขาจะดำเนินการอย่างรอบคอบอีกครั้ง และดูว่าระดับการเข้าถึงที่ต่ำกว่านั้นเพียงพอหรือไม่
  • หากคุณต้องการควบคุมสิ่งที่ผู้ใช้ของคุณเข้าถึงได้มากขึ้น ให้ดาวน์โหลดปลั๊กอิน User Role Editor ฟรี ซึ่งช่วยให้คุณสามารถเลือกความสามารถส่วนบุคคลที่คุณมอบให้กับผู้ใช้แต่ละราย

แนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยของเว็บไซต์

การเพิ่มผู้ใช้ในเว็บไซต์ของคุณต้องใช้มาตรการรักษาความปลอดภัยเพิ่มเติม ยิ่งคุณมีผู้ใช้มากเท่าไร คุณก็ยิ่งเสี่ยงมากขึ้นเท่านั้น

ชื่อผู้ใช้และรหัสผ่านที่ปลอดภัย

ตรวจสอบให้แน่ใจเสมอว่าทั้งทีมของคุณมีชื่อผู้ใช้และรหัสผ่านที่รัดกุม

  • เปิดใช้งานการรับรองความถูกต้องด้วยสองปัจจัย หากเป็นไปได้ ปลั๊กอิน Jetpack ฟรีทำให้สิ่งนี้เป็นเรื่องง่าย
  • สำหรับชื่อผู้ใช้ ให้หลีกเลี่ยงชื่อทั่วไป เช่น “ผู้ดูแลระบบ” หรือ “ผู้ดูแลระบบ” ทำให้ไซต์ของคุณเสี่ยงต่อการละเมิดความปลอดภัย ให้ สร้างชื่อผู้ใช้เฉพาะสำหรับแต่ละคน แทน
  • WordPress จะสร้างรหัสผ่านที่ปลอดภัยให้กับคุณโดยอัตโนมัติเมื่อคุณสร้างผู้ใช้ใหม่ แต่คุณสามารถแทนที่สิ่งนี้และ อนุญาตให้ผู้ใช้ตั้งรหัสผ่านของตนเอง ได้
  • เมื่อสร้างรหัสผ่านใหม่ ตรวจสอบให้แน่ใจว่ารหัสผ่านนั้นมีอักษรตัวพิมพ์ใหญ่ อักษรตัวพิมพ์เล็ก ตัวเลข สัญลักษณ์ และมีความยาวอย่างน้อย 12 อักขระ นี้อาจฟังดูรุนแรง แต่ ยิ่งรหัสผ่านสำหรับผู้ใช้แต่ละคนของคุณซับซ้อนมาก ขึ้น ความปลอดภัยของคุณก็จะ ดีขึ้น

ทบทวนบทบาทอย่างสม่ำเสมอ

ตรวจสอบบทบาทของผู้ใช้เป็นระยะ โดยเฉพาะอย่างยิ่งสำหรับผู้ดูแลระบบ คุณอาจต้องมอบหมายบทบาทใหม่ให้กับพวกเขาหรือลบบัญชีของพวกเขาทั้งหมด

ตัวอย่างเช่น หากคุณหยุดทำงานกับเอเจนซีหรือนักพัฒนา อย่าลืมลบบัญชีของพวกเขาออกจากเว็บไซต์ของคุณเพื่อไม่ให้เข้าถึงได้อีกต่อไป สิ่งเดียวกันนี้ใช้กับบทบาทของผู้ใช้รายอื่น

ผู้ใช้ไม่ควรเข้าถึงไซต์ของคุณเว้นแต่พวกเขาต้องการ

สิ่งนี้เป็นจริงสำหรับบัญชีโฮสติ้งและชื่อโดเมนของคุณ หากคุณให้สิทธิ์ผู้อื่นในการเข้าถึงข้อมูลการเข้าสู่ระบบของคุณ และคุณไม่ได้ใช้งานพวกเขาอีกต่อไป ให้เปลี่ยนรหัสผ่านของคุณ เมื่อใดก็ตามที่คุณให้ข้อมูลประจำตัว FTP แก่นักพัฒนาเพื่อให้สามารถจัดการไฟล์เว็บไซต์ของคุณ ตรวจสอบให้แน่ใจว่าได้อัปเดตหรือลบข้อมูลรับรองเหล่านั้นทั้งหมด InMotion Hosting นำเสนอคำแนะนำที่ง่ายต่อการปฏิบัติตามสำหรับทุกคนที่ใช้ cPanel

ข้อควรจำ: ผู้เชี่ยวชาญด้านเว็บไซต์ยังคงสามารถเข้าถึงเว็บไซต์ของคุณผ่านข้อมูลบัญชีโฮสติ้งหรือข้อมูลรับรอง FTP

สร้างการสำรองข้อมูลเว็บไซต์ของคุณเป็นประจำ

การสร้างการสำรองข้อมูลอย่างสม่ำเสมอของเว็บไซต์และร้านค้าออนไลน์ของคุณเป็นสิ่งสำคัญอย่างยิ่ง ไม่เพียงแต่เพื่อความปลอดภัยแต่เพื่อความอุ่นใจ

หากผู้ใช้ทำการเปลี่ยนแปลงในไซต์ของคุณโดยไม่ได้รับอนุมัติ หรือหากไซต์ของคุณถูกบุกรุก มีความจำเป็นที่จะต้องมีสำเนาอยู่ในมือ เพื่อให้คุณสามารถกู้คืนไซต์กลับเป็นสถานะเดิมได้

แผน Jetpack แบบชำระเงินช่วยให้คุณสามารถกู้คืนข้อมูลสำรองของไซต์ได้อย่างรวดเร็วด้วยการคลิกปุ่ม Jetpack ยังเก็บบันทึกการตรวจสอบไว้ในแดชบอร์ด WordPress ของคุณ โดยให้ข้อมูลโดยละเอียดเกี่ยวกับการเปลี่ยนแปลงทั้งหมดที่ทำกับไซต์ของคุณ คุณสามารถดูได้ว่าผู้ใช้คนใดทำการเปลี่ยนแปลง เวลาที่เกิดขึ้น และการเปลี่ยนแปลงคืออะไร

สกรีนช็อตของบันทึกการตรวจสอบ Jetpack

สิ่งสำคัญคือไม่ต้องพึ่งพาการสำรองข้อมูลฟรีที่ผู้ให้บริการโฮสต์ของคุณรวมไว้ คุณควรควบคุมไฟล์และการสำรองข้อมูลของคุณได้อย่างเต็มที่ และโฮสต์จำนวนมากจะเก็บข้อมูลสำรองไว้เพียง 48 ชั่วโมงเท่านั้น คุณอาจต้องการเก็บข้อมูลสำรองไว้โดยไม่ขึ้นกับบัญชีใดๆ ที่คุณมีสิทธิ์เข้าถึงร่วมกัน วิธีหนึ่งในการทำเช่นนี้คือการบันทึกสำเนาบนผู้ให้บริการระบบคลาวด์ออนไลน์ เช่น Dropbox หรือ Google Drive หรือเก็บสำเนาไว้ในฮาร์ดไดรฟ์จริง

การแบ่งปันข้อมูลรับรองการเข้าสู่ระบบ

หากคุณต้องการแชร์ข้อมูลรับรองการเข้าสู่ระบบสำหรับบทบาทของผู้ใช้หรือสำหรับบัญชีโฮสติ้ง/โดเมนของคุณ อย่าส่งผ่านอีเมลหรือระบบอื่นที่ไม่ปลอดภัย

ให้ใช้ประโยชน์จากเครื่องมือแบ่งปันรหัสผ่านฟรี เช่น LastPass แทน

LastPass ให้คุณสร้างบัญชี จัดเก็บชื่อผู้ใช้และรหัสผ่านออนไลน์ทั้งหมดของคุณในห้องนิรภัย และแบ่งปันข้อมูลประจำตัวผ่านเครือข่ายที่เข้ารหัสและปลอดภัย

คุณยังสามารถตั้งค่าการอนุญาตของผู้ใช้ในเครื่องมือนี้ ตัวอย่างเช่น คุณสามารถทำเครื่องหมายที่ช่องหากคุณต้องการให้ผู้ใช้เห็นรหัสผ่านหรือไม่

ปลอดภัยไว้ก่อน

การเป็นเจ้าของร้านค้าออนไลน์นั้นมีความรับผิดชอบอย่างมาก โดยเฉพาะอย่างยิ่งเมื่อต้องกำหนดการเข้าถึงให้กับส่วนหลังของไซต์ของคุณ

โชคดีที่ WordPress และ WooCommerce ทำให้ง่ายต่อการกำหนดบทบาทของผู้ใช้ ล็อคการอนุญาต รักษาข้อมูลของลูกค้าและทรัพย์สินดิจิทัลของคุณให้ปลอดภัย