WooCommerce 用户角色、权限和安全指南

已发表: 2019-09-04

在允许人们访问您的网站时,保持完全控制非常重要,同时仍然允许您的员工、承包商和志愿者有效地完成工作。 您应该采取一些重要步骤来完成此操作。

我们将了解 WordPress 和 WooCommerce 允许您访问的不同用户类型、这些权限的含义以及网站安全的其他最佳实践。

电脑前的 WordPress 用户

用户角色和权限

用户管理系统基于两个方面:角色和能力。

角色是分配给 WordPress 网站上的一组用户的分类标题。 每个角色都与自己的一组能力相关联。

能力是允许用户完成的特定操作。 例如,编辑帖子是一项独特的功能,而审核博客帖子评论是另一项功能。

WordPress 有六个默认用户角色,每个角色都有自己的一组权限和功能:

  • 超级管理员:超级管理员具有专门适用于多站点环境的功能。 他们可以管理网络上所有网站的设置。 在单个站点的情况下,管理员是最高级别的用户。
  • 管理员:最强大的用户角色,因为它可以让您访问所有内容。 作为网站所有者,这应该是您的角色
  • 编辑:此用户通常负责管理内容。 编辑者可以添加、编辑、发布和删除任何帖子和媒体,包括其他用户撰写的帖子和媒体。 编辑者还可以审核、编辑和删除评论,以及添加和编辑类别和标签
  • 作者:通常负责与编写内容相关的任务。 他们可以创建、编辑和发布自己的帖子。 他们也可以删除自己的帖子(即使已经发布),但不能编辑或删除其他用户写的帖子
  • 贡献者:贡献者是作者角色的更基本版本。 投稿人可以在您的网站上执行三项任务:阅读所有帖子、创建和编辑他们自己的帖子以及删除他们自己的帖子。 但是,此角色不允许他们直接在您的网站上发布他们的帖子。 这使您有机会在他们创建的任何内容上线之前对其进行审查并拥有最终控制权
  • 订阅者:如果您在网站上启用注册,则分配给新用户。 此角色的权限数量最少。 用户只能更新自己的个人资料、阅读您网站上的内容以及发表评论。

安装 WooCommerce 时,您将获得两个用户角色:

  • 客户:当新客户在您的网站上创建帐户时分配给他们。 这个角色基本上相当于普通的博客订阅者,但客户可以编辑自己的账户信息,查看过去或当前的订单。
  • 商店经理:这允许用户在您的 WooCommerce 商店的运营方面运行,而无需编辑文件和代码等后端功能。 经理拥有与客户相同的权限,此外,他们还被授予管理 WooCommerce 中的所有设置、创建/编辑产品以及访问所有 WooCommerce 报告的能力。 重要提示:他们还可以访问上述 WordPress 编辑器功能。

WooCommerce 还提供其他功能,允许管理员:

  • 管理所有 WooCommerce 设置
  • 创建和编辑产品
  • 查看 WooCommerce 报告

何时使用店长角色

在以下情况下分配车间经理角色:

  • 您希望允许用户管理订单、发放退款和生成报告,但不能编辑您网站上的插件、主题或设置。
  • 您希望允许用户查看和更新​​订单和产品,但不能访问您的用户设置(他们将无法添加/编辑用户角色和权限)。
计算机上的代码以演示何时可以分配管理员角色

何时使用管理员角色

在某些情况下,您可能需要在您的站点上为其他用户授予管理员角色。

管理员用户示例:

  • 网站开发人员
  • 网站设计者
  • 社交媒体营销机构
  • 数字营销机构

通常,担任这些角色的人需要访问更广泛的 WordPress 功能和设置才能在您的网站上执行项目。

您需要非常小心,因为管理员是您商店中最强大的角色。

用户权限的最佳实践

  • 只为用户提供他们需要的访问权限。 这对于安全性很重要,可以防止用户进行未经批准的更改,并防止内容被意外删除。
  • 限制具有管理员角色的用户数量。 许多供应商可能会要求这个角色,但很少有人真正需要如此高级的访问权限。 在授予请求之前,请仔细重新考虑他们将执行的工作职能,并查看较低级别的访问权限是否足够。
  • 如果您想更准确地控制用户可以访问的内容,请下载免费的用户角色编辑器插件,该插件允许您选择授予每个用户的个人功能。

网站安全最佳实践

将用户添加到您的网站需要额外的安全措施——您拥有的用户越多,您承担的风险就越大。

安全的用户名和密码

始终确保您的整个团队维护强大的用户名和密码。

  • 如果可能,启用双因素身份验证。 免费的 Jetpack 插件让这一切变得简单。
  • 对于用户名,请避免使用“Admin”或“Administrator”等常见标题。 这使您的网站容易受到安全漏洞的影响。 相反,为每个人创建一个特定的用户名
  • 当您创建新用户时,WordPress 会自动为您创建一个安全密码,但您确实可以覆盖它并允许您的用户设置自己的密码
  • 创建新密码时,请确保密码包含大写字母、小写字母、数字、符号,并且长度至少为 12 个字符。 这听起来可能很极端,但每个用户的密码越复杂您的安全性就越好

定期审查角色

定期检查用户角色,尤其是管理员。 您可能需要为他们分配新角色或完全删除他们的帐户。

例如,如果您停止与代理机构或开发人员合作,请确保从您的网站上删除他们的帐户,这样他们就无法再访问它。 同样的事情也适用于其他用户角色。

除非当前需要,否则任何用户都不应访问您的网站。

这也适用于您的主机和域名帐户。 如果您允许某人访问您的登录信息并且您不再与他们合作,请更改您的密码。 如果您在任何时候向开发人员提供了 FTP 凭据以便他们可以管理您的网站文件,请确保完全更新或删除这些凭据。 InMotion Hosting 为任何使用 cPanel 的人提供了易于理解的演练。

请记住:网站专业人员仍然可以通过您的托管帐户信息或 FTP 凭据访问您的网站。

定期为您的网站创建备份

定期备份您的网站和在线商店非常重要,不仅是为了安全,也是为了让您安心。

如果用户最终对您的网站进行了未经批准的更改,或者您的网站遭到入侵,则必须准备一份副本,以便您可以将其恢复到原始状态。

付费 Jetpack 计划允许您通过单击按钮快速恢复站点备份。 Jetpack 还在您的 WordPress 仪表板中保留审核日志,提供有关对您的站点所做的所有更改的详细信息。 您可以看到哪个用户进行了更改、更改发生的时间以及更改的确切内容。

Jetpack 审核日志的屏幕截图

不要依赖托管服务提供商提供的任何免费备份,这一点很重要。 您应该完全控制您的文件和备份,许多主机只保留 48 小时的备份。 您可能还希望保持备份独立于您可能共享访问的任何帐户。 一种方法是将副本保存在 Dropbox 或 Google Drive 等在线云提供商上,或者将副本保存在物理硬盘上。

共享登录凭据

如果您需要为用户角色或托管/域帐户共享登录凭据,请不要通过电子邮件或其他不安全的系统发送它们。

相反,请利用 LastPass 等免费密码共享工具。

LastPass 允许您创建帐户,将所有在线用户名和密码存储在保险库中,并通过其加密和安全的网络共享凭据。

您还可以在此工具中设置用户权限 - 例如,如果您希望用户能够看到密码,您可以选中一个框。

在外面安全

拥有一家在线商店需要承担很多责任,尤其是在分配对网站后端的访问权限时。

值得庆幸的是,WordPress 和 WooCommerce 使分配特定用户角色、锁定权限、保护客户信息和您的数字财产安全变得容易。