WooCommerce 用戶角色、權限和安全指南

已發表: 2019-09-04

在允許人們訪問您的網站時,保持完全控制非常重要,同時仍然允許您的員工、承包商和志願者有效地完成工作。 您應該採取一些重要步驟來完成此操作。

我們將了解 WordPress 和 WooCommerce 為您提供訪問權限的不同用戶類型、這些權限的含義以及網站安全的其他最佳實踐。

電腦前的 WordPress 用戶

用戶角色和權限

用戶管理系統基於兩個方面:角色和能力。

角色是分配給 WordPress 網站上的一組用戶的分類標題。 每個角色都與自己的一組能力相關聯。

能力是允許用戶完成的特定操作。 例如,編輯帖子是一項獨特的功能,而審核博客帖子評論是另一項功能。

WordPress 有六個默認用戶角色,每個角色都有自己的一組權限和功能:

  • 超級管理員:超級管理員具有專門適用於多站點環境的功能。 他們可以管理網絡上所有網站的設置。 在單個站點的情況下,管理員是最高級別的用戶。
  • 管理員:最強大的用戶角色,因為它可以讓您訪問所有內容。 作為網站所有者,這應該是您的角色
  • 編輯:此用戶通常負責管理內容。 編輯者可以添加、編輯、發布和刪除任何帖子和媒體,包括其他用戶撰寫的帖子和媒體。 編輯者還可以審核、編輯和刪除評論,以及添加和編輯類別和標籤
  • 作者:通常負責與編寫內容相關的任務。 他們可以創建、編輯和發布自己的帖子。 他們也可以刪除自己的帖子(即使已經發布),但不能編輯或刪除其他用戶寫的帖子
  • 貢獻者:貢獻者是作者角色的更基本版本。 投稿人可以在您的網站上執行三項任務:閱讀所有帖子、創建和編輯他們自己的帖子以及刪除他們自己的帖子。 但是,此角色不允許他們直接在您的網站上發布他們的帖子。 這使您有機會在他們創建的任何內容上線之前對其進行審查並擁有最終控制權
  • 訂閱者:如果您在網站上啟用註冊,則分配給新用戶。 此角色的權限數量最少。 用戶只能更新自己的個人資料、閱讀您網站上的內容以及發表評論。

安裝 WooCommerce 時,您將獲得兩個用戶角色:

  • 客戶:當新客戶在您的網站上創建帳戶時分配給他們。 這個角色基本上相當於普通的博客訂閱者,但客戶可以編輯自己的賬戶信息,查看過去或當前的訂單。
  • 商店經理:這允許用戶在您的 WooCommerce 商店的運營方面運行,而無需編輯文件和代碼等後端功能。 經理擁有與客戶相同的權限,此外,他們還被授予管理 WooCommerce 中的所有設置、創建/編輯產品以及訪問所有 WooCommerce 報告的能力。 重要提示:他們還可以訪問上述 WordPress 編輯器功能。

WooCommerce 還提供其他功能,允許管理員:

  • 管理所有 WooCommerce 設置
  • 創建和編輯產品
  • 查看 WooCommerce 報告

何時使用店長角色

在以下情況下分配車間經理角色:

  • 您希望允許用戶管理訂單、發放退款和生成報告,但不能編輯您網站上的插件、主題或設置。
  • 您希望允許用戶查看和更新​​訂單和產品,但不能訪問您的用戶設置(他們將無法添加/編輯用戶角色和權限)。
計算機上的代碼以演示何時可以分配管理員角色

何時使用管理員角色

在某些情況下,您可能需要在您的站點上為其他用戶授予管理員角色。

管理員用戶示例:

  • 網站開發人員
  • 網站設計者
  • 社交媒體營銷機構
  • 數字營銷機構

通常,擔任這些角色的人需要訪問更廣泛的 WordPress 功能和設置才能在您的網站上執行項目。

您需要非常小心,因為管理員是您商店中最強大的角色。

用戶權限的最佳實踐

  • 只為用戶提供他們需要的訪問權限。 這對於安全性很重要,可以防止用戶進行未經批准的更改,並防止內容被意外刪除。
  • 限制具有管理員角色的用戶數量。 許多供應商可能會要求這個角色,但很少有人真正需要如此高級的訪問權限。 在授予請求之前,請仔細重新考慮他們將執行的工作職能,並查看較低級別的訪問權限是否足夠。
  • 如果您想更準確地控制用戶可以訪問的內容,請下載免費的用戶角色編輯器插件,該插件允許您選擇授予每個用戶的個人功能。

網站安全最佳實踐

將用戶添加到您的網站需要額外的安全措施——您擁有的用戶越多,您承擔的風險就越大。

安全的用戶名和密碼

始終確保您的整個團隊維護強大的用戶名和密碼。

  • 如果可能,啟用雙因素身份驗證。 免費的 Jetpack 插件讓這一切變得簡單。
  • 對於用戶名,請避免使用“Admin”或“Administrator”等常見標題。 這使您的網站容易受到安全漏洞的影響。 相反,為每個人創建一個特定的用戶名
  • 當您創建新用戶時,WordPress 會自動為您創建一個安全密碼,但您確實可以覆蓋它並允許您的用戶設置自己的密碼
  • 創建新密碼時,請確保密碼包含大寫字母、小寫字母、數字、符號,並且長度至少為 12 個字符。 這聽起來可能很極端,但每個用戶的密碼越複雜您的安全性就越好

定期審查角色

定期檢查用戶角色,尤其是管理員。 您可能需要為他們分配新角色或完全刪除他們的帳戶。

例如,如果您停止與代理機構或開發人員合作,請確保從您的網站上刪除他們的帳戶,這樣他們就無法再訪問它。 同樣的事情也適用於其他用戶角色。

除非當前需要,否則任何用戶都不應訪問您的網站。

這也適用於您的主機和域名帳戶。 如果您允許某人訪問您的登錄信息並且您不再與他們合作,請更改您的密碼。 如果您在任何時候向開發人員提供了 FTP 憑據以便他們可以管理您的網站文件,請確保完全更新或刪除這些憑據。 InMotion Hosting 為任何使用 cPanel 的人提供了易於理解的演練。

請記住:網站專業人員仍然可以通過您的託管帳戶信息或 FTP 憑據訪問您的網站。

定期為您的網站創建備份

定期備份您的網站和在線商店非常重要,不僅是為了安全,也是為了讓您安心。

如果用戶最終對您的網站進行了未經批准的更改,或者您的網站遭到入侵,則必須準備一份副本,以便您可以將其恢復到原始狀態。

付費 Jetpack 計劃允許您通過單擊按鈕快速恢復站點備份。 Jetpack 還在您的 WordPress 儀表板中保留審核日誌,提供有關對您的站點所做的所有更改的詳細信息。 您可以看到哪個用戶進行了更改、更改發生的時間以及更改的確切內容。

Jetpack 審核日誌的屏幕截圖

不要依賴託管服務提供商提供的任何免費備份,這一點很重要。 您應該完全控制您的文件和備份,許多主機只保留 48 小時的備份。 您可能還希望保持備份獨立於您可能共享訪問的任何帳戶。 一種方法是將副本保存在 Dropbox 或 Google Drive 等在線雲提供商上,或者將副本保存在物理硬盤上。

共享登錄憑據

如果您需要為用戶角色或託管/域帳戶共享登錄憑據,請不要通過電子郵件或其他不安全的系統發送它們。

相反,請利用 LastPass 等免費密碼共享工具。

LastPass 允許您創建帳戶,將所有在線用戶名和密碼存儲在保險庫中,並通過其加密和安全的網絡共享憑據。

您還可以在此工具中設置用戶權限 - 例如,如果您希望用戶能夠看到密碼,您可以選中一個框。

在外面安全

擁有一家在線商店需要承擔很多責任,尤其是在分配對網站後端的訪問權限時。

值得慶幸的是,WordPress 和 WooCommerce 使分配特定用戶角色、鎖定權限、保護客戶信息和您的數字財產安全變得容易。