充分利用 WordPress 的用户系统
已发表: 2014-01-06在您的 WordPress 网站上建立一个全面的用户层次结构有多重要?
本文将解释为您的 WordPress 网站创建多个用户的好处,以及如何理解用户可以拥有的不同角色将为您提供允许其他人创建内容所需的控制权,而不会冒控制网站本身的风险。 本文还将教您检查您的站点配置,以了解是否有任何后门可供不受欢迎的访问者用来注册、查看私人内容或对您的站点进行不受欢迎的更改。
陷入“管理模式”
WordPress 臭名昭著的一分钟安装过程意味着设置新网站或 Intranet 很简单。 但是为了变得如此快速,它需要走捷径,这通常是陷入只有一个用户可以做所有事情的陷阱的第一步。 它默认设置了一个名为“admin”的用户,而且通常看起来更容易坚持下去,甚至可能与他人共享其密码,而不是退后一步并设置更好地反映您的方式的用户和权限希望您的组织与 WordPress 进行交互。
这不仅对您和您的团队适得其反,而且对您网站的访问者或用户来说也是非个人的——每篇文章都是由非个人的“管理员”用户撰写的:用户名“管理员”、名字“管理员”、姓氏——名称“管理员”…
甚至有黑客攻击利用用户名“admin”的扩散,暴力猜测新手 WordPress 管理员可能输入的密码。
假设您现在举起手,并且知道您不仅仅是被欺骗给自己贴标签的无聊“管理员”(即,像大多数人一样,您实际上有一个真实姓名)。 第一步是向世界证明自己!
您实际需要做的就是将您的“昵称”从“管理员”更改为其他名称,然后在“公开显示名称”下拉列表中选择它。 这至少会将您选择的名称列为所有现有博客文章的所有者。
但是,您仍然需要在登录时输入“admin”作为您的用户名,并且当您为其他员工创建更多用户时,您将作为一个需要稍微区别对待的异常脱颖而出(其他人都会有他们的名字或者电子邮件作为他们的用户名)。
所以,如果你想一路走下去,你也必须改变你的用户名。 这不是您在标准 WordPress 安装中被允许执行的操作,但是有第三方插件可以让您执行此操作。 例如,http://wordpress.org/plugins/admin-username-changer/
有关将您自己的用户名更改为什么的想法,您首先需要决定为您的组织中的所有用户命名的策略。
带上你的副驾驶
这不需要是一个复杂的决定,但要快速考虑一下还有谁应该成为您博客上的用户,以及应该允许他们做什么。 您可能需要阅读后面有关权限的部分以了解您的选项。
我们建议您为设置新用户帐户制定一致的政策——我们只是在谈论一个非正式的决定,而不是您需要写下规则列表或任何东西! 假设您组织中的每个人在同一个域中都有一个电子邮件地址——每个人都只是 [email protected] 或其他任何人——那么你可以决定将地址的第一部分组成 WordPress 用户名(即“dan” )。 或者,如果您需要一点灵活性——例如,如果您可能有需要登录的承包商——请注意,您可以只使用完整的电子邮件地址作为用户名。 然后对这些字段的名字和姓氏制定政策,对于“友好名称”字段也是如此。
但不要让他们开得太快
因此,您很高兴其他团队成员可以更轻松地为您的网站做出贡献——也许您的一些读者也可以,特别是如果您希望他们发表评论。 但是,您如何阻止他们控制您的网站,甚至将您作为用户删除? 如果您还不知道,您已经猜到了:您可以设置不同的“角色”来限制这些用户的能力。
当您在管理面板中创建用户时,您需要指定一个角色。
以下是单站点 WordPress 安装的标准 WordPress 角色的简要概述(您会知道是否有多站点网络,稍后会列出此类安装的差异):
行政
可以在网站上做任何事情的无所不知的用户:创建新用户、删除用户、安装新主题和插件,以及网站的所有日常工作(如果他们不完全委托的话)。 这意味着写帖子和页面,批准评论等。
编辑
该用户无法更改站点的技术结构(也就是说,他们无法安装插件或添加/删除其他用户),但他们对内容方面具有完全的编辑控制权。 他们可以添加/删除页面和帖子,以及编辑、删除或批准其他人的内容。
作者
作者可以创建自己的新博客文章(但不能创建页面)并在未经授权的情况下发布它们。 但是,它们不能干扰其他用户的内容。 他们也可以将图像上传到他们的帖子中,而贡献者则不能。
贡献者
这基本上是作者角色的不那么值得信赖的版本,对客座博主特别有用。 您可能希望来宾博主能够登录以直接输入他们的内容(至少可以节省您手动复制它的时间)。 但是您不希望他们在未经核心团队审核和批准的情况下公开发布它。 投稿人的帖子必须首先得到管理员的批准,然后才能发布。 发布后,投稿人不得再对其进行编辑。 如果您希望团队的其他成员能够批准和发布帖子,您首先需要修改他们的角色。
订户
这些用户通常是您的读者——对于面向公众的网站,他们可能需要登录才能发表评论或接收其他功能,例如文件下载。 对于 Intranet(或仅限会员)站点,您可能要求用户必须先注册为订阅者(或更高级别)才能查看任何内容。
多站点网络
如果您有一个称为多站点网络的更复杂的设置,实际上您在其中运行一整套不同的站点,那么上述所有角色都会被下推,创建它的初始用户将被称为“超级管理员”——他们可以完全控制网络本身、所有其他用户和各个站点。 然后,他们可能希望为每个子站点创建管理员,这些子站点只能控制他们指定的站点——尽管在这种情况下管理员的功能与单站点版本相比略有降低:例如,它如果允许子站点管理员选择和安装自己的插件,则可能对整个网络构成安全风险。
后门威胁
实际上,这几乎是前门……默认情况下,WordPress 将允许互联网上的任何人注册为用户! 如果您的网站上没有“注册”链接,那么您可能不知道这一点,但人们可以通过访问 /wp-login.php?action=register 进行注册
要禁用此功能,请在您的 WordPress 管理面板中转到 Settings -> General Settings -> Membership 并取消选中任何人都可以注册。
在同一个常规设置页面上,还会有一个新用户默认角色下拉菜单。 如果您决定确实希望人们能够将自己注册为用户,这将应用于新用户,并且它应该位于订阅者的最低级别,除非其他人更改了它。
谷歌应用
如果您的组织使用 Google Apps 来管理电子邮件,那么我们的插件将使 WordPress 用户管理变得更加容易。
Google Apps Login 允许用户使用 Google 登录网站和博客以安全地验证他们的帐户,因此无需明确要求用户名或密码。
对于繁忙且不断变化的公司网站的管理员,该插件的高级版提供了一种简单的方法来确保您的所有团队都拥有一个 WordPress 帐户,而无需手动设置每个帐户,因为它们会自动从 Google Apps 同步。
新用户的个人资料是根据他们的 Google 个人资料填充的,管理员可以为新用户指定一个默认的 WordPress 角色。
该插件的高级版还通过确保离职或更改角色的员工将来无法登录或未经授权访问敏感站点来显着提高安全性。
如需更多信息或安装插件,请单击此处。
结论
我们希望本文为您提供了不同 WordPress 用户角色的概述,以及如何使用它们来使您的网站更有条理、更负责,并且从长远来看更易于管理!