WordPress 用户角色和权限:基本指南
已发表: 2022-04-05WordPress 用户角色和权限为您的 WordPress 网站提供访问控制和权限。 从超级管理员到订阅者,每个登录到您网站的 WordPress 用户都分配了一组特定的权限或功能。
但是您对 WordPress 用户角色的熟悉程度,每个角色的含义,以及为什么正确使用每个角色如此重要? 如果您还没有完全掌握 WordPress 平台中的用户角色,那么您并不孤单。 许多 WordPress 网站所有者在管理他们的网站时没有充分利用 WordPress 用户角色和权限的强大功能。
在本指南中,我们将介绍您了解 WordPress 用户角色和权限所需了解的所有内容。 让我们更深入地了解一下。
什么是 WordPress 用户角色?
WordPress 用户角色定义了用户可以用来登录、查看、编辑或管理 WordPress 站点的访问级别和功能。能力是允许用户完成的特定功能或一组动作。 每个 WordPress 用户角色都有明确的定义,因此不会对每个用户角色可以访问的内容以及他们可以执行的任务产生误解。
在 WordPress 中,您会看到有六个 WordPress 用户角色可供您为添加到网站的每个新用户选择。 您为每个用户选择的用户角色取决于您希望他们在您的站点上拥有的权限和访问权限级别。
例如,WordPress 用户角色定义了以下功能:
- 谁可以管理评论
- 谁可以写博客文章
- 谁可以添加页面
- 谁可以安装或更新插件或主题
- 谁可以添加新用户
- 哪些团队成员可以删除垃圾邮件
虽然到目前为止您可能忽略了 WordPress 用户角色和权限,但事实是,无论您是负责公司网站、新闻杂志还是运营个人博客,了解每个角色都是必不可少的。
6 个 WordPress 用户角色
WordPress 中可用的六个主要 WordPress 用户角色是:
- 超级管理员(用于 WordPress 多站点网络)
- 行政人员
- 编辑
- 作者
- 贡献者
- 订户
在 WordPress 中添加新用户时,您会看到下拉菜单中列出的角色选项。
在我们进一步讨论之前,让我们详细看看它们中的每一个。
1. 超级管理员
WordPress 中的这个超级管理员角色是为 WordPress 多站点网络保留的。 被分配为超级管理员角色的个人对网络中的所有站点负有全部责任,并且可以管理每个站点中的所有站点功能。超级管理员有权删除其他用户(甚至是管理员),因此仅将此角色分配给您真正信任的团队成员非常重要。 超级管理员可以(负面或正面)影响您业务的许多部分,包括您的网络和运行您网站的其他用户。
WordPress 超级管理员还可以创建新网站,跨多站点网络管理主题和插件,添加、管理或删除每个站点上的内容。 超级管理员通过所有设置和安全问题控制网络。 设置多站点网络的第一个用户是默认的超级管理员。
请注意,WordPress 多站点网络是使用 WordPress 作为内容管理系统的最先进方法之一。 如果您没有多站点网络,则无需为任何用户使用超级管理员角色。
WordPress 超级管理员用户角色提示
- 在 WordPress 多站点网络中,保持用户角色的组织简单。 只有几个站点的单个用户只需要默认的超级管理员。 随着组织的发展,为员工创建有意义的用户角色。
- 有很多方法可以配置 WordPress 多站点网络及其用户。 如果您是拥有多个站点的代理机构或自由职业者,请为每个客户分配特定站点的管理员或编辑角色。
- 从首次登录开始专注于 WordPress 用户安全检查。 WordPress 是经验丰富的黑客最喜欢的目标,并且在恶意软件和病毒攻击的世界中越来越复杂。 浏览器指纹识别也是对隐私的日益严重的威胁。
- 谨慎控制网络范围的设置。 谨慎规划新用户注册和欢迎电子邮件。
2. 管理员
在单个 WordPress 安装中,管理员用户角色对站点中的每个功能具有完全访问权限。 对于大多数网站所有者来说,WordPress 管理员角色是 WordPress 中最重要的用户角色。站点管理员角色几乎总是分配给网站所有者和/或主要开发人员,并且可以访问所有 WordPress 功能、设置和选项。 出于所有意图和目的,管理员是您的 WordPress 网站的国王和负责人。 这就是为什么很好地处理作为 WordPress 管理员的职责是一个好主意的原因。
WordPress 管理员角色拥有添加和编辑帖子和页面、更改或更新站点设置、添加和安装主题和插件等的完全访问权限。
WordPress 管理员角色还可以更新 WordPress 以及站点上安装的任何插件和主题。 WordPress 更新过程是一个需要谨慎处理的领域; 一个错误可能会导致网站瘫痪。
管理员还负责将用户角色和权限分配给其他用户。 管理员用户角色可以修改用户及其权限,这是另一个需要小心处理的功能。
管理员功能说明
- 站点范围:更新 WordPress 核心文件,管理所有设置,管理所有用户的 HTML 和 JavaScript 代码
- 插件:安装、编辑和删除
- 主题:安装和切换、编辑小部件和菜单、访问定制器
- 用户:创建、编辑和删除
- 帖子和页面:添加新的、发布、管理分类法
管理员用户提示
- 限制赋予管理员用户角色的用户数量。 理想情况下,应该只有一个用户控制 WordPress 安装。
- 您的 WordPress 安全性以 WordPress 管理员用户角色开始和结束。 由于 WordPress 管理员可以完全访问网站上的所有内容,因此 WordPress 管理员需要一个非常安全的 WordPress 登录。 这意味着使用强密码、双重身份验证,甚至是 iThemes Security Pro 等 WordPress 安全插件提供的无密码登录功能。
- WordPress 管理员必须保持 WordPress 核心文件的更新和安全。 管理员还负责更新插件和主题,这是成功维护 WordPress 的重要组成部分。
3. 编辑
WordPress 中的 Editor 用户角色负责管理和创建 WordPress 站点的内容。 编辑者可以创建、删除和编辑任何网站内容,包括由权限等于或低于编辑者的其他用户制作的内容。编辑用户管理所有站点编辑并批准/安排贡献者和作者提交的内容。 但是,编辑器无权访问插件、小部件、WordPress 设置或添加或删除用户等内容。
编辑的工作涉及一件大事:内容。 这就是他们能够在 WordPress 仪表板中访问的全部内容。 编辑者还可以管理网站上的类别以及添加或删除自定义标签。 分类和将文件上传到网站是编辑角色的另一项职责。 编辑还可以完全控制评论。 他们可以审核、批准或删除任何评论。
谁应该担任编辑用户角色?
编辑的角色应该交给管理员信任的人。 可以在整个 WordPress 中调整角色; 如果需要,可以在获得信任时减少或更改 Editor 角色的权限。
- 内容团队或在线出版物的经理
- 负责内容的营销经理
- 小企业主可以兼任(管理员和编辑用户角色)
编辑与作者
新用户可能会以同样的眼光看待 WordPress 编辑和作者。 然而,在许多方面,它们存在差异。
- 页面:编辑者可以访问所有具有添加、编辑或删除权限的页面。 作者没有这样的访问权限
- 内容:编辑可以访问网站上的所有内容。 在多站点网络中,仅授予 Editor 角色的权限。 编辑者可以删除或编辑所有内容。 作者有权编辑或删除,只有他们制作的内容
4. 作者
正如您可能怀疑的那样,WordPress 中的作者用户角色具有在您的网站上编写、起草和发布新内容的能力。 他们还可以访问您的 WordPress 媒体库中的内容。 他们需要这种级别的访问权限来制作出色的博客文章。作者用户角色通常分配给您雇用的新同事,以专注于发布精彩内容。 作者在 WordPress 安装中拥有一组有限的权限。 该角色可以添加、编辑或删除其内容,但无权访问其他内容或站点设置。 作者角色可以是编辑者或管理员所允许的广泛或有限的角色。 作者有权上传内容和图像。
作者角色也有权编辑读者评论。 但是,他们只能编辑帖子中留下的评论。
作者将无法访问其他用户创建的帖子或页面。 他们也不能添加插件、创建任何新类别、更改站点设置或做任何其他会影响站点性能的事情。
谁应该拥有作者用户角色?
- 拥有专门的内容创建或营销团队的组织,例如记者、公共关系、公司发言人
- 任何发布信息的公司(例如新闻频道或体育公司)都应赋予记者“作者”角色。 可以根据需要给予额外的权限
作者角色的注意事项
- 将作者用户角色授予不在您的雇员或不值得信任的人时要谨慎。 如果他们创造了很多内容然后离开公司,作者可以删除每一点内容。
- 删除离开站点的任何作者用户角色并将内容重新分配给其他作者始终是最佳实践。 如果用户计划返回,请立即更改密码并取消任何授予的权限。 当用户返回时恢复角色。
5. 贡献者
Contributor 用户角色可以撰写博客文章或文章,但不能发布它们。 当他们完成草稿时,它会进入草稿部分,供管理员或编辑在发布前进行审核。贡献者用户角色在 WordPress 安装中的权限很少。 默认权限是提交内容以供审核的能力。 贡献者不能发布内容或上传任何相关图像。 只有编辑者或管理员可以发布内容。 发布内容后,贡献者将不再有权访问该内容。
贡献者将他们的内容提交给管理员或编辑进行审查。 以下是帖子提交和批准过程的概述:
- 贡献者在 WordPress 编辑器中编写他们的内容,完成后,点击“提交审核”按钮
- 编辑或管理员登录 WordPress 并从待批准的帖子中找到帖子
- 该帖子已针对任何语法错误进行编辑,并且应在此阶段插入图像。 管理员或编辑然后点击“发布”按钮。
- 任何未来的编辑或更改都需要由管理员或编辑完成,因为原始贡献者不再有权访问该帖子。
贡献者也无权访问 WordPress 媒体库。 将照片、图像或视频添加到投稿人提交的文章将由管理员或编辑负责。
那些作为贡献者分配的权限也不能删除、更改或批准用户评论。
谁应该担任贡献者用户角色?
您是否有社区成员为您的网站贡献文章和内容? 你允许来宾发帖吗? 如果是这样,贡献者就是你要分配给他们的角色。
- 可以为博客做出贡献的组织外部的作者
- 需要大量编辑的入门级内容作者应该是贡献者
贡献者与作者
- 发布内容:作者有权发布和编辑他们的内容,没有其他权限。 投稿人只能提交他们的帖子以供审核。 投稿人的内容发布后,只有管理员或编辑可以编辑该作品
- 媒体和图像:贡献者无权访问图像或媒体。 作者可以上传和编辑他们的媒体
6. 订阅者
订阅者用户角色是您可以在 WordPress 网站上分配给某人的最简单的用户角色。 事实上,WordPress 使用这个角色作为所有新站点用户的默认角色。
您可以将订阅者角色视为类似于您的社交媒体关注者之一。 基本上,订阅者关注您的博客并希望成为其中的一部分。
订户能力
WordPress 订阅者角色有两个主要权限。 他们可以查看他们的个人资料并查看仪表板。 订阅者无权编辑内容或任何 WordPress 网站设置。
根据您网站的整体功能,订阅者可能能够与其他用户和订阅者交互,但他们无权访问您的 WordPress 仪表板或编辑工具。
订户可用作营销目的的包容性或入门级访问工具。 默认情况下,订阅者无权访问任何站点设置或内容,这使得该角色本质上是安全的。
谁应该担任订户用户角色?
作为一种营销工具,订阅者角色是您网站的完美切入点。 订阅者的角色限制最大; 然而,它为这个人提供了一个个人资料,这是一个人所需要的感觉。
WordPress 用户角色比较表
下面是 WordPress 用户角色及其功能的比较图。
| 能力 | 超级管理员(在多站点设置中) | 行政人员 | 编辑 | 作者 | 贡献者 | 订户 |
|---|---|---|---|---|---|---|
| 创建网站 | 是 | ñ | ñ | ñ | ñ | ñ |
| 删除网站 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理网络 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理网站 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理网络用户 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理网络插件 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理网络主题 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理网络选项 | 是 | ñ | ñ | ñ | ñ | ñ |
| 上传插件 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 上传主题 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 升级网络 | 是 | ñ | ñ | ñ | ñ | ñ |
| 设置网络 | 是 | ñ | ñ | ñ | ñ | ñ |
| 激活插件 | 是 | Y(单个站点或通过网络设置启用) | ñ | ñ | ñ | ñ |
| 创建用户 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 删除插件 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 删除主题 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 删除用户 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 编辑文件 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 编辑插件 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 编辑主题选项 | 是 | 是 | ñ | ñ | ñ | ñ |
| 编辑主题 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 编辑用户 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 出口 | 是 | 是 | ñ | ñ | ñ | ñ |
| 进口 | 是 | 是 | ñ | ñ | ñ | ñ |
| 安装插件 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 安装主题 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 列出用户 | 是 | 是 | ñ | ñ | ñ | ñ |
| 管理选项 | 是 | 是 | ñ | ñ | ñ | ñ |
| 推广用户 | 是 | 是 | ñ | ñ | ñ | ñ |
| 删除用户 | 是 | 是 | ñ | ñ | ñ | ñ |
| 切换主题 | 是 | 是 | ñ | ñ | ñ | ñ |
| 更新核心 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 更新插件 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 更新主题 | 是 | Y(单点) | ñ | ñ | ñ | ñ |
| 编辑仪表板 | 是 | 是 | ñ | ñ | ñ | ñ |
| 定制 | 是 | 是 | ñ | ñ | ñ | ñ |
| 删除网站 | 是 | 是 | ñ | ñ | ñ | ñ |
| 适度的评论 | 是 | 是 | 是 | ñ | ñ | ñ |
| 管理类别 | 是 | 是 | 是 | ñ | ñ | ñ |
| 管理链接 | 是 | 是 | 是 | ñ | ñ | ñ |
| 编辑其他帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 编辑页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 编辑其他页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 编辑已发布的页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 发布页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 删除页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 删除其他页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 删除已发布的页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 删除其他帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 删除私人帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 编辑私人帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 阅读私人帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 删除私人页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 编辑私人页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 阅读私人页面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 编辑已发布的帖子 | 是 | 是 | 是 | 是 | ñ | ñ |
| 将文件上传到媒体库 | 是 | 是 | 是 | 是 | ñ | ñ |
| 发布帖子 | 是 | 是 | 是 | 是 | ñ | ñ |
| 删除已发布的帖子 | 是 | 是 | 是 | Y(如果作者) | N(如果作者) | ñ |
| 编辑帖子 | 是 | 是 | 是 | Y(如果作者) | Y(如果作者) | ñ |
| 删除帖子 | 是 | 是 | 是 | Y(如果作者) | Y(如果作者) | ñ |
| 阅读页面和帖子 | 是 | 是 | 是 | 是 | 是 | 是 |
如何在 WordPress 中添加新用户?
在 WordPress 中添加新用户需要您是管理员用户。 从那里开始,在 WordPress 中添加新用户是一个非常简单的过程。 这是您最初为用户分配角色和权限的地方。
当然,作为管理员,如果更适合您的需要,您可以随时更改用户的角色。 稍后会详细介绍。
将新用户添加到您的 WordPress 站点的步骤如下:
1. 登录 WordPress 管理仪表板 (https://examplesite.com/wp-admin)。
2. 在您的 WordPress 管理仪表板菜单中,单击用户菜单项,然后单击添加新的。
3. 输入新用户的姓名、电子邮件地址、名字和姓氏以及网站。
4. 选择上面定义的用户角色。
5. 单击“向新用户发送有关其帐户的电子邮件”前面的复选框。
6. 单击添加新用户按钮,新用户即被添加。
对每个新用户重复这些步骤,密切注意您分配给每个新用户的用户角色和权限。
添加新 WordPress 用户的提示
作者、贡献者和订阅者角色的创建和权限非常简单。 如果仔细考虑和规划,超级管理员、管理员和编辑职位可以成为组织的主要优势领域。
- 多站点安装应该有一个超级管理员,无论附加站点的数量是多少。 如果有任何安全、用户或核心文件问题,由超级管理员负责。 每个参与网站的人都应该考虑安全性。 WordPress 在更新核心文件和安全性方面非常出色; 但是,拥有多个超级管理员可能会造成严重破坏。
- 为多站点网络中的每个附加站点指定一个管理员或编辑器。 如果有数百个虚拟站点,请让管理员或编辑者管理多个站点。
- 销售网站或代理的自由网络开发人员应赋予每个网站所有者管理员职责,但严格禁止访问任何网络设置。
如何在 WordPress 中查找用户角色?
对于现有用户,您可能需要查看当前分配的用户角色。 毕竟,在您彻底了解 WordPress 用户角色和权限之前,可能已经分配了其中一些角色。
现在是验证您当前分配的用户角色的时候了。
为此,只需按照以下步骤操作:
1. 登录 WordPress 管理仪表板。
2. 在您的 WordPress 管理仪表板中,单击用户部分,然后单击所有用户。
4. 查看所有当前用户的列表。
5. 在电子邮件列旁边,您会看到角色。 这是分配给每个站点用户的用户角色。
现在您已经知道分配给每个用户的角色,也许您想要进行一些分配调整。
如何在 WordPress 中更改用户角色?
WordPress 用户角色更改是即时的,用户将通过电子邮件收到他们在您网站上的新角色的通知。
要更改 WordPress 用户角色,请执行上述步骤 1-4。 查看所有站点用户的列表后,您需要:
1. 将鼠标悬停在您要更新的用户名上。 将鼠标悬停在所选用户上时,您将看到呈现给您的编辑选项。
2. 点击编辑后,您将可以更改姓名、电子邮件和网站等字段。 但是,您不能在此处更改用户名。
3. 在用户配置文件的底部,您会看到一个下拉菜单,允许您更改/选择用户角色。
4. 选择新的用户角色。
5. 保存用户配置文件。
角色和权限更改由 WordPress 在您保存它们的瞬间实施。
如何删除现有用户?
有时可能需要将用户从您的站点中完全删除。
也许您聘请了一名临时自由编辑,在两个月内为您的网站提供编辑服务。 当两个月的期限到期并且合同到期时,您不再希望自由职业者访问您的网站。
要删除此用户并删除他们对您网站的所有权限,请按照上面列出的步骤 1-4 查找用户。
找到将被删除的用户后,将鼠标悬停在其姓名上并单击删除选项。
确认删除后,将通过电子邮件通知用户他们已从您的站点中删除。 他们将不再有任何登录凭据。
请务必注意,您不能删除自己或其他管理员(除非您是多站点帐户的超级管理员)。
如何在 WordPress 中管理用户角色?
您选择在 WordPress 网站上管理用户角色和权限的方式完全取决于您。 毕竟,谁和你一样了解你的团队成员的能力和局限性?
在您选择适合您网站上每个用户的角色之前,请退后一步,问自己一系列关于他们的问题。
- 可以信任用户来完全管理您的 WordPress 仪表板吗?
- 您是否相信用户可以正确组织您网站上的内容?
- 您是否需要在用户的帖子发布之前对其进行审核? 还是你相信他们的判断?
- 用户是否应该具有编辑和发布其他用户帖子的能力?
在将新用户分配给管理员角色之前,重要的是他们对 WordPress 平台有透彻的了解。
WordPress 用户安全
您网站上用户的安全很重要。 很多! 为什么? 使用弱密码的单个管理员用户可能会破坏您已实施的所有其他网站安全措施。 这就是为什么审核您网站上管理员和编辑用户使用的安全强度对您来说如此重要的原因。
iThemes Security Pro 插件的用户安全检查允许您快速审核和修改用户安全的 5 个关键要素:
- 两因素身份验证状态
- 密码年龄和强度
- 上次活动
- 活跃的 WordPress 会话
- 用户角色
此外,iThemes Security Pro 插件有大量工具可用于提高网站上 WordPress 用户的安全性。 仅双因素身份验证和密码要求功能就可以保护您的 WordPress 用户免受 100% 的自动机器人攻击。
但是,这两个用户安全工具只有在您网站上的用户实际使用它们时才有效。
保护 WordPress 用户的 7 个技巧
让我们来看看您可以采取哪些措施来保护您的 WordPress 用户。 事实是,这些安全方法将有助于保护每种类型的 WordPress 用户。 但是,当我们介绍每种方法时,我们会让您知道您需要哪些用户才能使用该方法。
1. 只给人们他们需要的能力
您可以保护您的网站的最简单方法是只为您的用户提供他们需要的功能,而不是更多。 如果某人在您的网站上要做的唯一事情是创建和编辑他们自己的博客文章,那么他们不需要编辑其他人的文章的能力。
2.限制登录尝试
蛮力攻击是指用于发现用户名和密码组合以侵入网站的试错方法。 默认情况下,WordPress 没有内置任何东西来限制某人可以进行的失败登录尝试次数。
如果对失败的登录尝试次数没有限制,攻击者可以进行,他们可以继续尝试无限数量的用户名和密码,直到成功。
iThemes Security Pro 本地蛮力保护功能会跟踪 IP 地址和用户名进行的无效登录尝试。 一旦某个 IP 或用户名连续多次尝试无效登录,它们将被锁定并无法再进行任何登录尝试。
3. 使用强密码保护 WordPress 用户
您的 WordPress 用户帐户密码越强,就越难猜。 破解一个七字符密码需要0.29毫秒。 但是,黑客需要两个世纪才能破解十二个字符的密码!
理想情况下,强密码是 12 个字符长的字母数字字符串。 密码应包含大小写字母以及其他 ASCII 字符。
虽然每个人都可以从使用强密码中受益,但您可能只想强制具有作者级别及以上能力的人使用强密码。
iThemes Security Pro 密码要求功能允许您强制特定用户使用强密码。
4. 拒绝泄露的密码
黑客经常使用一种称为字典攻击的蛮力攻击形式。 字典攻击是一种使用出现在数据库转储中的常用密码侵入 WordPress 网站的方法。 “系列#1? 托管在 MEGA 上的数据泄露包括 1,160,253,228 个电子邮件地址和密码的独特组合。 那是带有b的十亿。 这种分数确实有助于字典攻击缩小最常用的 WordPress 密码。
必须防止具有作者级别及以上权限的用户使用已泄露的密码。 您也可以考虑不让较低级别的用户使用泄露的密码。
尽可能轻松地创建新客户帐户是完全可以理解和鼓励的。 但是,您的客户可能不知道他们使用的密码已在数据转储中找到。 通过提醒客户他们正在使用的密码已被泄露这一事实,您将为您的客户提供出色的服务。 如果他们在任何地方都使用该密码,那么您可以让他们免于遇到一些重大问题。
iThemes Security Pro 拒绝泄露密码功能强制用户使用在 Have I Been Pwned 跟踪的任何密码泄露中未出现的密码。
5. 使用双重身份验证保护 WordPress 用户
双因素身份验证是通过在登录之前要求两种单独的验证方法来验证个人身份的过程。 谷歌在其博客上分享说,使用双重身份验证可以阻止 100% 的自动机器人攻击。 我真的很喜欢这些赔率。
至少,您应该要求您的管理员和编辑使用双重身份验证。
iThemes Security Pro 双重身份验证功能在您的网站上实施 2fa 时提供了极大的灵活性。 您可以为所有或部分用户启用双因素,并且可以强制您的高级用户在每次登录时使用 2fa。
6. 限制设备对 WP 仪表板的访问
将对 WordPress 仪表板的访问限制为一组设备可以为您的网站增加一层强大的安全性。 如果黑客没有为用户使用正确的设备,他们将无法使用受感染的用户对您的网站造成损害。
您应该只限制对您的管理员和编辑的设备访问。
iThemes Security Pro 受信任设备功能可识别您和其他用户用于登录您的 WordPress 站点的设备。 当用户登录到无法识别的设备时,受信任的设备可以限制其管理员级别的功能。 这意味着如果攻击者能够闯入您的 WordPress 网站的后端,他们将无法对您的网站进行任何恶意更改。
7. 保护 WordPress 用户免受会话劫持
每次您登录网站时,WordPress 都会生成一个会话 cookie。 假设您有一个浏览器扩展已被开发人员放弃并且不再发布安全更新。 不幸的是,被忽视的浏览器扩展存在漏洞。 该漏洞允许不良行为者劫持您的浏览器 cookie,包括前面提到的 WordPress 会话 cookie。 这种类型的黑客被称为会话劫持。 因此,攻击者可以利用扩展漏洞捎带您的登录并开始对您的 WordPress 用户进行恶意更改。
您应该为您的管理员和编辑设置会话劫持保护。
iThemes Security Pro 受信任的设备功能使会话劫持成为过去。 如果用户的设备在会话期间发生变化,iThemes Security 将自动注销用户,以防止用户帐户上的任何未经授权的活动,例如更改用户的电子邮件地址或上传恶意插件。
WordPress 用户角色插件
当您深入研究 WordPress 用户角色插件时,您会发现许多最受欢迎的插件使用和管理我们讨论的主要六个角色之外的用户角色和权限。
有一些插件允许您创建和分配自定义用户角色和组。 我们将在这里介绍的插件是:
- bbPress
- 伙伴出版社
- WooCommerce
- 限制内容
- iThemes 安全
它们每个都以不同的方式与可定制的用户角色一起工作。
bbPress
bbPress 插件是一个 WordPress 讨论论坛,它需要 WordPress 中提供的主要六个之外的唯一用户角色。
bbPress 插件中内置的第一个用户角色 Keymaster 位于山顶。 Keymasters 类似于 WordPress 中的管理员角色。 他们可以访问所有工具和设置,并且可以编辑、创建或删除其他用户的论坛、主题、评论和回复。 Keymaster 也是论坛版主并管理所有标签。
bbPress 然后提供主持人角色。 此角色负责创建、编辑、删除和管理论坛。 他们还可以完全控制用户主题和回复。 但是,版主无权访问站点设置。
参与者是社区的成员。 他们可以创建和编辑他们的主题和回复,但没有别的。
观众只能阅读话题和回复。 他们无法回复或以其他方式参与其中。
被阻止的用户是您根本不想再出现在社区中的用户。
bbPress 插件还允许您通过将代码添加到 codex 来制作自己的自定义用户角色(例如,Pupil 和 Tutor)。 您将能够为您创建的每个角色分配您自己的自定义权限。 您还可以更改现有 bbPress 用户角色的名称。
伙伴出版社
BuddyPress 是一个 WordPress 社区插件,可让您在自己的网站内建立社交网络。
使用 BuddyPress 插件,您可以创建自己的私人、公共和隐藏群组。 然后,您可以分配用户角色来管理您的组。
成员用户角色是 BuddyPress 中的默认角色。 这适用于任何注册并加入群组的用户。 具有成员角色的用户可以向小组论坛提交和发布内容。 在某些情况下,他们可以看到其他群组成员并向他们发送邀请或直接消息。
BuddyPress 版主是升级后的用户角色,具有额外的权限,包括关闭、编辑或删除论坛中的主题。 但要小心,因为他们也可以对您在 WordPress 网站上运行的其他插件生成的内容执行相同的操作。
与 WordPress 平台和其他插件一样,BuddyPress 中的管理员角色可以完全控制组和设置。 管理员可以更改组中的设置、组头像和管理组成员。他们还可以删除整个组。
WooCommerce
WooCommerce 是一个非常受欢迎的 WordPress 插件,它将帮助您将 WordPress 网站变成一个强大的电子商务网站。
在您的网站上安装 WooCommerce 后,您将立即有权开始列出产品、发布产品图片、编写产品描述和接受在线订单。
因此,WooCommerce 提供了 WordPress 标准六个之外的两个用户角色。 这些角色是:
- 客户:在您的 WooCommerce 网站上注册或在结帐时向您注册的任何用户。 客户与订阅者的权限非常相似。
- 商店经理:这是管理 WooCommerce 商店但没有管理员权限的人。 他们将自动拥有客户权限,但也可以管理商店中列出的产品,以及查看销售报告。
很简单的东西。
限制内容
免费的限制内容插件允许您根据可应用于默认 WordPress 用户角色的自定义会员级别设置内容限制。 这有助于根据会员级别和/或 WordPress 用户角色控制谁可以查看 WordPress 网站上的内容。
使用 Restrict Content 作为 WordPress 内容限制插件来:
- 限制对基于 WordPress 站点的用户角色的访问。 通过帖子、页面和自定义帖子类型编辑屏幕上的简单界面限制对全部内容的访问。
- 根据 WordPress 用户角色、访问级别或成员级别控制用户对内容的访问。
- 保护敏感内容。
- 将公共内容与私人内容明确分开
- 限制对整个页面或特定部分的访问
- 让用户从您网站的前端注册和登录
iThemes 安全
iThemes Security 是一款出色的 WordPress 安全插件,具有 30 多种保护 WordPress 网站的方法,包括针对 WordPress 用户角色的特定功能的方法。
例如,如果您正在寻找一个插件,它可以通过临时权限升级提供快速、轻松的用户角色升级和降级功能,那么 iThemes Security 插件绝对值得一试。
您还可以使用该插件节省大量使用用户组保护网站的时间。 为了更轻松地管理您网站上的用户安全,iThemes Security Pro 将您的所有用户分类到不同的组中。 默认情况下,您的用户将按其 WordPress 用户角色和功能进行分组。 按 WordPress 用户角色排序允许将 WordPress 和自定义用户角色轻松组合到同一组中。
例如,如果您正在运行 WooCommerce 站点,则您的站点管理员和商店经理将在管理员用户组中,而您的订阅者和客户将在订阅者用户组中。
在用户组设置中,您将看到所有用户组和为每个组启用的所有安全设置,并快速打开和关闭设置。 用户组让您有信心将正确的安全级别应用于正确的 WordPress 用户角色。
如何自定义 WordPress 用户角色和权限
除了我们已经讨论过的用户角色之外,您还可以使用旨在允许您为 WordPress 创建自定义用户角色的插件来添加更多角色。 这里有一些插件和工具可供查看。
iThemes 同步客户端仪表板
iThemes Sync 是一个帮助您管理多个 WordPress 网站的工具。 借助 Sync,您可以使用一个仪表板为您的所有 WordPress 网站执行 WordPress 管理任务。 如果您作为网页设计机构、营销机构或自由职业者为客户构建或维护网站,同步尤其有用。
iThemes 同步客户端仪表板功能旨在自定义用户如何查看 WordPress 管理仪表板,这是自定义 WordPress 用户角色和权限的一种方式。
例如,如果您有一个想要成为管理员的客户端,但不想查看站点的某些区域(例如主题或插件),您可以使用客户端仪表板完成此任务。
客户端仪表板可以在每个用户的基础上激活,然后您可以选择 WordPress 仪表板菜单项以允许该用户查看。 很酷,对吧?
用户角色编辑器
如果您想在 WordPress 中自定义标准用户角色,用户角色编辑器是一个很好的插件。 用户角色编辑器将允许您创建自己的角色、权限和用户能力。
您还可以使用它来更改或重命名角色,或完全删除它们。 该插件有免费和付费版本。
高级访问管理器
无论您是在您的网站上运行一个巨大的 WooCommerce 商店还是运行一个标准的 WordPress 博客,您都可能正在寻找对管理对您的内容的访问的额外控制。
用户访问管理器可能是帮助您的插件。 Advanced Access Manager 可用于设置站点的受限成员区域,利用用户角色和权限。 它还可以帮助您管理站点私有部分中的用户。
Yoast 搜索引擎优化
如果您的团队专注于改进内容的 SEO(搜索引擎优化),那么 Yoast SEO 插件是一个很好的起点。
此插件允许您创建两个非标准用户角色:
- 搜索引擎优化编辑
- 搜索引擎优化经理
为什么这两个新的用户角色对您作为 WordPress 网站所有者有益?
通过在 Yoast SEO 中分配角色,您将授权您的团队进行与 SEO 相关的工作,而无需手动跟踪结果或要求您在需要时进行站点更改。
正如 Yoast 的博客所说:
“当与您网站上的多人合作时,SEO 编辑和 SEO 经理这两个新角色可以提供更加灵活的解决方案。 管理员可以决定谁可以看到和做什么,而用户则可以获得他们工作所需的工具。”
Yoast SEO 插件是另一个将 WordPress 用户角色和权限置于管理效率最前沿的工具。
总结:了解 WordPress 中的用户角色和权限
回顾一下:WordPress 安装中的前三个管理用户角色具有专门为该位置设计的站点区域。 超级管理员和管理员控制仪表板和核心文件以及站点本身。 而编辑器控制内容管理器和其他内容。 作者和贡献者只控制他们的内容,而不控制其他内容。 订阅者只能访问管理职位赋予角色的内容和权限。
通过阅读本文中的信息,您现在对 WordPress 平台中的用户角色和权限有了更深入的了解。 如您所见,您分配给每个用户的角色对您运行网站的效率起着重要作用。
但是,无论您多么小心地确保将所有用户角色分配给最优秀的人,有时还是会发生错误。 例如,当您刚刚分配为管理员的新员工在激活新的未经测试的插件时导致您的网站崩溃时,像 BackupBuddy 这样的 WordPress 备份插件将是绝对的救星。 确保在发生此类灾难之前安装并激活您的备份插件。
与 WordPress 的其他领域一样,正确分配用户角色和权限需要一些试验和错误。 但是利用您刚刚学到的信息,您将做出更明智的决定。
Kristen 自 2011 年以来一直在编写教程来帮助 WordPress 用户。作为 iThemes 的营销总监,她致力于帮助您找到构建、管理和维护有效 WordPress 网站的最佳方法。 克里斯汀还喜欢写日记(看看她的业余项目,转型之年!)、远足和露营、有氧运动、烹饪以及与家人的日常冒险,希望过上更真实的生活。