WordPress 用戶角色和權限:基本指南
已發表: 2022-04-05WordPress 用戶角色和權限為您的 WordPress 網站提供訪問控制和權限。 從超級管理員到訂閱者,每個登錄到您網站的 WordPress 用戶都分配了一組特定的權限或功能。
但是您對 WordPress 用戶角色的熟悉程度,每個角色的含義,以及為什麼正確使用每個角色如此重要? 如果您還沒有完全掌握 WordPress 平台中的用戶角色,那麼您並不孤單。 許多 WordPress 網站所有者在管理他們的網站時沒有充分利用 WordPress 用戶角色和權限的強大功能。
在本指南中,我們將介紹您了解 WordPress 用戶角色和權限所需了解的所有內容。 讓我們更深入地了解一下。
什麼是 WordPress 用戶角色?
WordPress 用戶角色定義了用戶可以用來登錄、查看、編輯或管理 WordPress 站點的訪問級別和功能。能力是允許用戶完成的特定功能或一組動作。 每個 WordPress 用戶角色都有明確的定義,因此不會對每個用戶角色可以訪問的內容以及他們可以執行的任務產生誤解。
在 WordPress 中,您會看到有六個 WordPress 用戶角色可供您為添加到網站的每個新用戶選擇。 您為每個用戶選擇的用戶角色取決於您希望他們在您的站點上擁有的權限和訪問權限級別。
例如,WordPress 用戶角色定義了以下功能:
- 誰可以管理評論
- 誰可以寫博客文章
- 誰可以添加頁面
- 誰可以安裝或更新插件或主題
- 誰可以添加新用戶
- 哪些團隊成員可以刪除垃圾郵件
雖然到目前為止您可能忽略了 WordPress 用戶角色和權限,但事實是,無論您是負責公司網站、新聞雜誌還是運營個人博客,了解每個角色都是必不可少的。
6 個 WordPress 用戶角色
WordPress 中可用的六個主要 WordPress 用戶角色是:
- 超級管理員(用於 WordPress 多站點網絡)
- 行政人員
- 編輯
- 作者
- 貢獻者
- 訂戶
在 WordPress 中添加新用戶時,您會看到下拉菜單中列出的角色選項。
在我們進一步討論之前,讓我們詳細看看它們中的每一個。
1. 超級管理員
WordPress 中的這個超級管理員角色是為 WordPress 多站點網絡保留的。 被分配為超級管理員角色的個人對網絡中的所有站點負有全部責任,並且可以管理每個站點中的所有站點功能。超級管理員有權刪除其他用戶(甚至是管理員),因此僅將此角色分配給您真正信任的團隊成員非常重要。 超級管理員可以(負面或正面)影響您業務的許多部分,包括您的網絡和運行您網站的其他用戶。
WordPress 超級管理員還可以創建新網站,跨多站點網絡管理主題和插件,添加、管理或刪除每個站點上的內容。 超級管理員通過所有設置和安全問題控製網絡。 設置多站點網絡的第一個用戶是默認的超級管理員。
請注意,WordPress 多站點網絡是使用 WordPress 作為內容管理系統的最先進方法之一。 如果您沒有多站點網絡,則無需為任何用戶使用超級管理員角色。
WordPress 超級管理員用戶角色提示
- 在 WordPress 多站點網絡中,保持用戶角色的組織簡單。 只有幾個站點的單個用戶只需要默認的超級管理員。 隨著組織的發展,為員工創建有意義的用戶角色。
- 有很多方法可以配置 WordPress 多站點網絡及其用戶。 如果您是擁有多個站點的代理機構或自由職業者,請為每個客戶分配特定站點的管理員或編輯角色。
- 從首次登錄開始專注於 WordPress 用戶安全檢查。 WordPress 是經驗豐富的黑客最喜歡的目標,並且在惡意軟件和病毒攻擊的世界中越來越複雜。 瀏覽器指紋識別也是對隱私的日益嚴重的威脅。
- 謹慎控製網絡範圍的設置。 謹慎規劃新用戶註冊和歡迎電子郵件。
2. 管理員
在單個 WordPress 安裝中,管理員用戶角色對站點中的每個功能具有完全訪問權限。 對於大多數網站所有者來說,WordPress 管理員角色是 WordPress 中最重要的用戶角色。站點管理員角色幾乎總是分配給網站所有者和/或主要開發人員,並且可以訪問所有 WordPress 功能、設置和選項。 出於所有意圖和目的,管理員是您的 WordPress 網站的國王和負責人。 這就是為什麼很好地處理作為 WordPress 管理員的職責是一個好主意的原因。
WordPress 管理員角色擁有添加和編輯帖子和頁面、更改或更新站點設置、添加和安裝主題和插件等的完全訪問權限。
WordPress 管理員角色還可以更新 WordPress 以及站點上安裝的任何插件和主題。 WordPress 更新過程是一個需要謹慎處理的領域; 一個錯誤可能會導致網站癱瘓。
管理員還負責將用戶角色和權限分配給其他用戶。 管理員用戶角色可以修改用戶及其權限,這是另一個需要小心處理的功能。
管理員功能說明
- 站點範圍:更新 WordPress 核心文件,管理所有設置,管理所有用戶的 HTML 和 JavaScript 代碼
- 插件:安裝、編輯和刪除
- 主題:安裝和切換、編輯小部件和菜單、訪問定制器
- 用戶:創建、編輯和刪除
- 帖子和頁面:添加新的、發布、管理分類法
管理員用戶提示
- 限制賦予管理員用戶角色的用戶數量。 理想情況下,應該只有一個用戶控制 WordPress 安裝。
- 您的 WordPress 安全性以 WordPress 管理員用戶角色開始和結束。 由於 WordPress 管理員可以完全訪問網站上的所有內容,因此 WordPress 管理員需要一個非常安全的 WordPress 登錄。 這意味著使用強密碼、雙重身份驗證,甚至是 iThemes Security Pro 等 WordPress 安全插件提供的無密碼登錄功能。
- WordPress 管理員必須保持 WordPress 核心文件的更新和安全。 管理員還負責更新插件和主題,這是成功維護 WordPress 的重要組成部分。
3. 編輯
WordPress 中的 Editor 用戶角色負責管理和創建 WordPress 站點的內容。 編輯者可以創建、刪除和編輯任何網站內容,包括由權限等於或低於編輯者的其他用戶製作的內容。編輯用戶管理所有站點編輯並批准/安排貢獻者和作者提交的內容。 但是,編輯器無權訪問插件、小部件、WordPress 設置或添加或刪除用戶等內容。
編輯的工作涉及一件大事:內容。 這就是他們能夠在 WordPress 儀表板中訪問的全部內容。 編輯者還可以管理網站上的類別以及添加或刪除自定義標籤。 分類和將文件上傳到網站是編輯角色的另一項職責。 編輯還可以完全控制評論。 他們可以審核、批准或刪除任何評論。
誰應該擔任編輯用戶角色?
編輯的角色應該交給管理員信任的人。 可以在整個 WordPress 中調整角色; 如果需要,可以在獲得信任時減少或更改 Editor 角色的權限。
- 內容團隊或在線出版物的經理
- 負責內容的營銷經理
- 小企業主可以兼任(管理員和編輯用戶角色)
編輯與作者
新用戶可能會以同樣的眼光看待 WordPress 編輯和作者。 然而,在許多方面,它們存在差異。
- 頁面:編輯者可以訪問所有具有添加、編輯或刪除權限的頁面。 作者沒有這樣的訪問權限
- 內容:編輯可以訪問網站上的所有內容。 在多站點網絡中,僅授予 Editor 角色的權限。 編輯者可以刪除或編輯所有內容。 作者有權編輯或刪除,只有他們製作的內容
4. 作者
正如您可能懷疑的那樣,WordPress 中的作者用戶角色具有在您的網站上編寫、起草和發布新內容的能力。 他們還可以訪問您的 WordPress 媒體庫中的內容。 他們需要這種級別的訪問權限來製作出色的博客文章。作者用戶角色通常分配給您僱用的新同事,以專注於發布精彩內容。 作者在 WordPress 安裝中擁有一組有限的權限。 該角色可以添加、編輯或刪除其內容,但無權訪問其他內容或站點設置。 作者角色可以是編輯者或管理員所允許的廣泛或有限的角色。 作者有權上傳內容和圖像。
作者角色也有權編輯讀者評論。 但是,他們只能編輯帖子中留下的評論。
作者將無法訪問其他用戶創建的帖子或頁面。 他們也不能添加插件、創建任何新類別、更改站點設置或做任何其他會影響站點性能的事情。
誰應該擁有作者用戶角色?
- 擁有專門的內容創建或營銷團隊的組織,例如記者、公共關係、公司發言人
- 任何發布信息的公司(例如新聞頻道或體育公司)都應賦予記者“作者”角色。 可以根據需要給予額外的權限
作者角色的注意事項
- 將作者用戶角色授予不在您的僱員或不值得信任的人時要謹慎。 如果他們創造了很多內容然後離開公司,作者可以刪除每一點內容。
- 刪除離開站點的任何作者用戶角色並將內容重新分配給其他作者始終是最佳實踐。 如果用戶計劃返回,請立即更改密碼並取消任何授予的權限。 當用戶返回時恢復角色。
5. 貢獻者
Contributor 用戶角色可以撰寫博客文章或文章,但不能發布它們。 當他們完成草稿時,它會進入草稿部分,供管理員或編輯在發布前進行審核。貢獻者用戶角色在 WordPress 安裝中的權限很少。 默認權限是提交內容以供審核的能力。 貢獻者不能發佈內容或上傳任何相關圖像。 只有編輯者或管理員可以發佈內容。 發佈內容後,貢獻者將不再有權訪問該內容。
貢獻者將他們的內容提交給管理員或編輯進行審查。 以下是帖子提交和批准過程的概述:
- 貢獻者在 WordPress 編輯器中編寫他們的內容,完成後,點擊“提交審核”按鈕
- 編輯或管理員登錄 WordPress 並從待批准的帖子中找到帖子
- 該帖子已針對任何語法錯誤進行編輯,並且應在此階段插入圖像。 管理員或編輯然後點擊“發布”按鈕。
- 任何未來的編輯或更改都需要由管理員或編輯完成,因為原始貢獻者不再有權訪問該帖子。
貢獻者也無權訪問 WordPress 媒體庫。 將照片、圖像或視頻添加到投稿人提交的文章將由管理員或編輯負責。
那些作為貢獻者分配的權限也不能刪除、更改或批准用戶評論。
誰應該擔任貢獻者用戶角色?
您是否有社區成員為您的網站貢獻文章和內容? 你允許來賓發帖嗎? 如果是這樣,貢獻者就是你要分配給他們的角色。
- 可以為博客做出貢獻的組織外部的作者
- 需要大量編輯的入門級內容作者應該是貢獻者
貢獻者與作者
- 發佈內容:作者有權發布和編輯他們的內容,沒有其他權限。 投稿人只能提交他們的帖子以供審核。 投稿人的內容髮布後,只有管理員或編輯可以編輯該作品
- 媒體和圖像:貢獻者無權訪問圖像或媒體。 作者可以上傳和編輯他們的媒體
6. 訂閱者
訂閱者用戶角色是您可以在 WordPress 網站上分配給某人的最簡單的用戶角色。 事實上,WordPress 使用這個角色作為所有新站點用戶的默認角色。
您可以將訂閱者角色視為類似於您的社交媒體關注者之一。 基本上,訂閱者關注您的博客並希望成為其中的一部分。
訂戶能力
WordPress 訂閱者角色有兩個主要權限。 他們可以查看他們的個人資料並查看儀表板。 訂閱者無權編輯內容或任何 WordPress 網站設置。
根據您網站的整體功能,訂閱者可能能夠與其他用戶和訂閱者交互,但他們無權訪問您的 WordPress 儀表板或編輯工具。
訂戶可用作營銷目的的包容性或入門級訪問工具。 默認情況下,訂閱者無權訪問任何站點設置或內容,這使得該角色本質上是安全的。
誰應該擔任訂戶用戶角色?
作為一種營銷工具,訂閱者角色是您網站的完美切入點。 訂閱者的角色限制最大; 然而,它為這個人提供了一個個人資料,這是一個人所需要的感覺。
WordPress 用戶角色比較表
下面是 WordPress 用戶角色及其功能的比較圖。
| 能力 | 超級管理員(在多站點設置中) | 行政人員 | 編輯 | 作者 | 貢獻者 | 訂戶 |
|---|---|---|---|---|---|---|
| 創建網站 | 是 | ñ | ñ | ñ | ñ | ñ |
| 刪除網站 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理網絡 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理站點 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理網絡用戶 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理網絡插件 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理網絡主題 | 是 | ñ | ñ | ñ | ñ | ñ |
| 管理網絡選項 | 是 | ñ | ñ | ñ | ñ | ñ |
| 上傳插件 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 上傳主題 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 升級網絡 | 是 | ñ | ñ | ñ | ñ | ñ |
| 設置網絡 | 是 | ñ | ñ | ñ | ñ | ñ |
| 激活插件 | 是 | Y(單個站點或通過網絡設置啟用) | ñ | ñ | ñ | ñ |
| 創建用戶 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 刪除插件 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 刪除主題 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 刪除用戶 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 編輯文件 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 編輯插件 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 編輯主題選項 | 是 | 是 | ñ | ñ | ñ | ñ |
| 編輯主題 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 編輯用戶 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 出口 | 是 | 是 | ñ | ñ | ñ | ñ |
| 進口 | 是 | 是 | ñ | ñ | ñ | ñ |
| 安裝插件 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 安裝主題 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 列出用戶 | 是 | 是 | ñ | ñ | ñ | ñ |
| 管理選項 | 是 | 是 | ñ | ñ | ñ | ñ |
| 推廣用戶 | 是 | 是 | ñ | ñ | ñ | ñ |
| 刪除用戶 | 是 | 是 | ñ | ñ | ñ | ñ |
| 切換主題 | 是 | 是 | ñ | ñ | ñ | ñ |
| 更新核心 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 更新插件 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 更新主題 | 是 | Y(單點) | ñ | ñ | ñ | ñ |
| 編輯儀表板 | 是 | 是 | ñ | ñ | ñ | ñ |
| 定制 | 是 | 是 | ñ | ñ | ñ | ñ |
| 刪除網站 | 是 | 是 | ñ | ñ | ñ | ñ |
| 適度的評論 | 是 | 是 | 是 | ñ | ñ | ñ |
| 管理類別 | 是 | 是 | 是 | ñ | ñ | ñ |
| 管理鏈接 | 是 | 是 | 是 | ñ | ñ | ñ |
| 編輯其他帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 編輯頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 編輯其他頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 編輯已發布的頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 發布頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 刪除頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 刪除其他頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 刪除已發布的頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 刪除其他帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 刪除私人帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 編輯私人帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 閱讀私人帖子 | 是 | 是 | 是 | ñ | ñ | ñ |
| 刪除私人頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 編輯私人頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 閱讀私人頁面 | 是 | 是 | 是 | ñ | ñ | ñ |
| 編輯已發布的帖子 | 是 | 是 | 是 | 是 | ñ | ñ |
| 將文件上傳到媒體庫 | 是 | 是 | 是 | 是 | ñ | ñ |
| 發布帖子 | 是 | 是 | 是 | 是 | ñ | ñ |
| 刪除已發布的帖子 | 是 | 是 | 是 | Y(如果作者) | N(如果作者) | ñ |
| 編輯帖子 | 是 | 是 | 是 | Y(如果作者) | Y(如果作者) | ñ |
| 刪除帖子 | 是 | 是 | 是 | Y(如果作者) | Y(如果作者) | ñ |
| 閱讀頁面和帖子 | 是 | 是 | 是 | 是 | 是 | 是 |
如何在 WordPress 中添加新用戶?
在 WordPress 中添加新用戶需要您是管理員用戶。 從那裡開始,在 WordPress 中添加新用戶是一個非常簡單的過程。 這是您最初為用戶分配角色和權限的地方。
當然,作為管理員,如果更適合您的需要,您可以隨時更改用戶的角色。 稍後會詳細介紹。
將新用戶添加到您的 WordPress 站點的步驟如下:
1. 登錄 WordPress 管理儀表板 (https://examplesite.com/wp-admin)。
2. 在您的 WordPress 管理儀表板菜單中,單擊用戶菜單項,然後單擊添加新的。
3. 輸入新用戶的姓名、電子郵件地址、名字和姓氏以及網站。
4. 選擇上面定義的用戶角色。
5. 單擊“向新用戶發送有關其帳戶的電子郵件”前面的複選框。
6. 單擊添加新用戶按鈕,新用戶即被添加。
對每個新用戶重複這些步驟,密切注意您分配給每個新用戶的用戶角色和權限。
添加新 WordPress 用戶的提示
作者、貢獻者和訂閱者角色的創建和權限非常簡單。 如果仔細考慮和規劃,超級管理員、管理員和編輯職位可以成為組織的主要優勢領域。
- 多站點安裝應該有一個超級管理員,無論附加站點的數量是多少。 如果有任何安全、用戶或核心文件問題,由超級管理員負責。 每個參與網站的人都應該考慮安全性。 WordPress 在更新核心文件和安全性方面非常出色; 但是,擁有多個超級管理員可能會造成嚴重破壞。
- 為多站點網絡中的每個附加站點指定一個管理員或編輯器。 如果有數百個虛擬站點,請讓管理員或編輯者管理多個站點。
- 銷售網站或代理的自由網絡開發人員應賦予每個網站所有者管理員職責,但嚴格禁止訪問任何網絡設置。
如何在 WordPress 中查找用戶角色?
對於現有用戶,您可能需要查看當前分配的用戶角色。 畢竟,在您徹底了解 WordPress 用戶角色和權限之前,可能已經分配了其中一些角色。
現在是驗證您當前分配的用戶角色的時候了。
為此,只需按照以下步驟操作:
1. 登錄 WordPress 管理儀表板。
2. 在您的 WordPress 管理儀表板中,單擊用戶部分,然後單擊所有用戶。
4. 查看所有當前用戶的列表。
5. 在電子郵件列旁邊,您會看到角色。 這是分配給每個站點用戶的用戶角色。
現在您已經知道分配給每個用戶的角色,也許您想要進行一些分配調整。
如何在 WordPress 中更改用戶角色?
WordPress 用戶角色更改是即時的,用戶將通過電子郵件收到他們在您網站上的新角色的通知。
要更改 WordPress 用戶角色,請執行上述步驟 1-4。 查看所有站點用戶的列表後,您需要:
1. 將鼠標懸停在您要更新的用戶名上。 將鼠標懸停在所選用戶上時,您將看到呈現給您的編輯選項。
2. 點擊編輯後,您將可以更改姓名、電子郵件和網站等字段。 但是,您不能在此處更改用戶名。
3. 在用戶配置文件的底部,您會看到一個下拉菜單,允許您更改/選擇用戶角色。
4. 選擇新的用戶角色。
5. 保存用戶配置文件。
角色和權限更改由 WordPress 在您保存它們的瞬間實施。
如何刪除現有用戶?
有時可能需要將用戶從您的站點中完全刪除。
也許您聘請了一名臨時自由編輯,在兩個月內為您的網站提供編輯服務。 當兩個月的期限到期並且合同到期時,您不再希望自由職業者訪問您的網站。
要刪除此用戶並刪除他們對您網站的所有權限,請按照上面列出的步驟 1-4 查找用戶。
找到將被刪除的用戶後,將鼠標懸停在其姓名上並單擊刪除選項。
確認刪除後,將通過電子郵件通知用戶他們已從您的站點中刪除。 他們將不再有任何登錄憑據。
請務必注意,您不能刪除自己或其他管理員(除非您是多站點帳戶的超級管理員)。
如何在 WordPress 中管理用戶角色?
您選擇在 WordPress 網站上管理用戶角色和權限的方式完全取決於您。 畢竟,誰和你一樣了解你的團隊成員的能力和局限性?
在您選擇適合您網站上每個用戶的角色之前,請退後一步,問自己一系列關於他們的問題。
- 可以信任用戶來完全管理您的 WordPress 儀表板嗎?
- 您是否相信用戶可以正確組織您網站上的內容?
- 您是否需要在用戶的帖子發布之前對其進行審核? 還是你相信他們的判斷?
- 用戶是否應該具有編輯和發布其他用戶帖子的能力?
在將新用戶分配給管理員角色之前,重要的是他們對 WordPress 平台有透徹的了解。
WordPress 用戶安全
您網站上用戶的安全很重要。 很多! 為什麼? 使用弱密碼的單個管理員用戶可能會破壞您已實施的所有其他網站安全措施。 這就是為什麼審核您網站上管理員和編輯用戶使用的安全強度對您來說如此重要的原因。
iThemes Security Pro 插件的用戶安全檢查允許您快速審核和修改用戶安全的 5 個關鍵要素:
- 兩因素身份驗證狀態
- 密碼年齡和強度
- 上次活動
- 活躍的 WordPress 會話
- 用戶角色
此外,iThemes Security Pro 插件有大量工具可用於提高網站上 WordPress 用戶的安全性。 僅雙因素身份驗證和密碼要求功能就可以保護您的 WordPress 用戶免受 100% 的自動機器人攻擊。
但是,這兩個用戶安全工具只有在您網站上的用戶實際使用它們時才有效。
保護 WordPress 用戶的 7 個技巧
讓我們來看看您可以採取哪些措施來保護您的 WordPress 用戶。 事實是,這些安全方法將有助於保護每種類型的 WordPress 用戶。 但是,當我們介紹每種方法時,我們會讓您知道您需要哪些用戶才能使用該方法。
1. 只給人們他們需要的能力
您可以保護您的網站的最簡單方法是只為您的用戶提供他們需要的功能,而不是更多。 如果某人在您的網站上要做的唯一事情是創建和編輯他們自己的博客文章,那麼他們不需要編輯其他人的文章的能力。
2.限制登錄嘗試
蠻力攻擊是指用於發現用戶名和密碼組合以侵入網站的試錯方法。 默認情況下,WordPress 沒有內置任何東西來限制某人可以進行的失敗登錄嘗試次數。
如果對失敗的登錄嘗試次數沒有限制,攻擊者可以進行,他們可以繼續嘗試無限數量的用戶名和密碼,直到成功。
iThemes Security Pro 本地蠻力保護功能會跟踪 IP 地址和用戶名進行的無效登錄嘗試。 一旦某個 IP 或用戶名連續多次嘗試無效登錄,它們將被鎖定並無法再進行任何登錄嘗試。
3. 使用強密碼保護 WordPress 用戶
您的 WordPress 用戶帳戶密碼越強,就越難猜。 破解一個七字符密碼需要0.29毫秒。 但是,黑客需要兩個世紀才能破解十二個字符的密碼!
理想情況下,強密碼是 12 個字符長的字母數字字符串。 密碼應包含大小寫字母以及其他 ASCII 字符。
雖然每個人都可以從使用強密碼中受益,但您可能只想強制具有作者級別及以上能力的人使用強密碼。
iThemes Security Pro 密碼要求功能允許您強制特定用戶使用強密碼。
4. 拒絕洩露的密碼
黑客經常使用一種稱為字典攻擊的蠻力攻擊形式。 字典攻擊是一種使用出現在數據庫轉儲中的常用密碼侵入 WordPress 網站的方法。 “系列#1? 託管在 MEGA 上的數據洩露包括 1,160,253,228 個電子郵件地址和密碼的獨特組合。 那是帶有b的十億。 這種分數確實有助於字典攻擊縮小最常用的 WordPress 密碼。
必須防止具有作者級別及以上權限的用戶使用已洩露的密碼。 您也可以考慮不讓較低級別的用戶使用洩露的密碼。
盡可能輕鬆地創建新客戶帳戶是完全可以理解和鼓勵的。 但是,您的客戶可能不知道他們使用的密碼已在數據轉儲中找到。 通過提醒客戶他們正在使用的密碼已被洩露這一事實,您將為您的客戶提供出色的服務。 如果他們在任何地方都使用該密碼,那麼您可以讓他們免於遇到一些重大問題。
iThemes Security Pro 拒絕洩露密碼功能強制用戶使用在 Have I Been Pwned 跟踪的任何密碼洩露中未出現的密碼。
5. 使用雙重身份驗證保護 WordPress 用戶
雙因素身份驗證是通過在登錄之前要求兩種單獨的驗證方法來驗證個人身份的過程。 谷歌在其博客上分享說,使用雙重身份驗證可以阻止 100% 的自動機器人攻擊。 我真的很喜歡這些賠率。
至少,您應該要求您的管理員和編輯使用雙重身份驗證。
iThemes Security Pro 雙重身份驗證功能在您的網站上實施 2fa 時提供了極大的靈活性。 您可以為所有或部分用戶啟用雙因素,並且可以強制您的高級用戶在每次登錄時使用 2fa。
6. 限制設備對 WP 儀表板的訪問
將對 WordPress 儀表板的訪問限制為一組設備可以為您的網站增加一層強大的安全性。 如果黑客沒有為用戶使用正確的設備,他們將無法使用受感染的用戶對您的網站造成損害。
您應該只限制對您的管理員和編輯的設備訪問。
iThemes Security Pro 受信任設備功能可識別您和其他用戶用於登錄您的 WordPress 站點的設備。 當用戶登錄到無法識別的設備時,受信任的設備可以限制其管理員級別的功能。 這意味著如果攻擊者能夠闖入您的 WordPress 網站的後端,他們將無法對您的網站進行任何惡意更改。
7. 保護 WordPress 用戶免受會話劫持
每次您登錄網站時,WordPress 都會生成一個會話 cookie。 假設您有一個瀏覽器擴展已被開發人員放棄並且不再發布安全更新。 不幸的是,被忽視的瀏覽器擴展存在漏洞。 該漏洞允許不良行為者劫持您的瀏覽器 cookie,包括前面提到的 WordPress 會話 cookie。 這種類型的黑客被稱為會話劫持。 因此,攻擊者可以利用擴展漏洞捎帶您的登錄並開始對您的 WordPress 用戶進行惡意更改。
您應該為您的管理員和編輯設置會話劫持保護。
iThemes Security Pro 受信任的設備功能使會話劫持成為過去。 如果用戶的設備在會話期間發生變化,iThemes Security 將自動註銷用戶,以防止用戶帳戶上的任何未經授權的活動,例如更改用戶的電子郵件地址或上傳惡意插件。
WordPress 用戶角色插件
當您深入研究 WordPress 用戶角色插件時,您會發現許多最受歡迎的插件使用和管理我們討論的主要六個角色之外的用戶角色和權限。
有一些插件允許您創建和分配自定義用戶角色和組。 我們將在這裡介紹的插件是:
- bbPress
- 夥伴出版社
- WooCommerce
- 限制內容
- iThemes 安全
它們每個都以不同的方式與可定制的用戶角色一起工作。
bbPress
bbPress 插件是一個 WordPress 討論論壇,它需要 WordPress 中提供的主要六個之外的唯一用戶角色。
bbPress 插件中內置的第一個用戶角色 Keymaster 位於山頂。 Keymasters 類似於 WordPress 中的管理員角色。 他們可以訪問所有工具和設置,並且可以編輯、創建或刪除其他用戶的論壇、主題、評論和回复。 Keymaster 也是論壇版主並管理所有標籤。
bbPress 然後提供主持人角色。 此角色負責創建、編輯、刪除和管理論壇。 他們還可以完全控制用戶主題和回复。 但是,版主無權訪問站點設置。
參與者是社區的成員。 他們可以創建和編輯他們的主題和回复,但沒有別的。
觀眾只能閱讀話題和回复。 他們無法回复或以其他方式參與其中。
被阻止的用戶是您根本不想再出現在社區中的用戶。
bbPress 插件還允許您通過將代碼添加到 codex 來製作自己的自定義用戶角色(例如,Pupil 和 Tutor)。 您將能夠為您創建的每個角色分配您自己的自定義權限。 您還可以更改現有 bbPress 用戶角色的名稱。
夥伴出版社
BuddyPress 是一個 WordPress 社區插件,可讓您在自己的網站內建立社交網絡。
使用 BuddyPress 插件,您可以創建自己的私人、公共和隱藏群組。 然後,您可以分配用戶角色來管理您的組。
成員用戶角色是 BuddyPress 中的默認角色。 這適用於任何註冊並加入群組的用戶。 具有成員角色的用戶可以向小組論壇提交和發佈內容。 在某些情況下,他們可以看到其他群組成員並向他們發送邀請或直接消息。
BuddyPress 版主是升級後的用戶角色,具有額外的權限,包括關閉、編輯或刪除論壇中的主題。 但要小心,因為他們也可以對您在 WordPress 網站上運行的其他插件生成的內容執行相同的操作。
與 WordPress 平台和其他插件一樣,BuddyPress 中的管理員角色可以完全控制組和設置。 管理員可以更改組中的設置、組頭像和管理組成員。他們還可以刪除整個組。
WooCommerce
WooCommerce 是一個非常受歡迎的 WordPress 插件,它將幫助您將 WordPress 網站變成一個強大的電子商務網站。
在您的網站上安裝 WooCommerce 後,您將立即有權開始列出產品、發布產品圖片、編寫產品描述和接受在線訂單。
因此,WooCommerce 提供了 WordPress 標準六個之外的兩個用戶角色。 這些角色是:
- 客戶:在您的 WooCommerce 網站上註冊或在結帳時向您註冊的任何用戶。 客戶與訂閱者的權限非常相似。
- 商店經理:這是管理 WooCommerce 商店但沒有管理員權限的人。 他們將自動擁有客戶權限,但也可以管理商店中列出的產品,以及查看銷售報告。
很簡單的東西。
限制內容
免費的限制內容插件允許您根據可應用於默認 WordPress 用戶角色的自定義會員級別設置內容限制。 這有助於根據會員級別和/或 WordPress 用戶角色控制誰可以查看 WordPress 網站上的內容。
使用 Restrict Content 作為 WordPress 內容限制插件來:
- 限制對基於 WordPress 站點的用戶角色的訪問。 通過帖子、頁面和自定義帖子類型編輯屏幕上的簡單界面限制對全部內容的訪問。
- 根據 WordPress 用戶角色、訪問級別或成員級別控制用戶對內容的訪問。
- 保護敏感內容。
- 將公共內容與私人內容明確分開
- 限制對整個頁面或特定部分的訪問
- 讓用戶從您網站的前端註冊和登錄
iThemes 安全
iThemes Security 是一款出色的 WordPress 安全插件,具有 30 多種保護 WordPress 網站的方法,包括針對 WordPress 用戶角色的特定功能的方法。
例如,如果您正在尋找一個插件,它可以通過臨時權限升級提供快速、輕鬆的用戶角色升級和降級功能,那麼 iThemes Security 插件絕對值得一試。
您還可以使用該插件節省大量使用用戶組保護網站的時間。 為了更輕鬆地管理您網站上的用戶安全,iThemes Security Pro 將您的所有用戶分類到不同的組中。 默認情況下,您的用戶將按其 WordPress 用戶角色和功能進行分組。 按 WordPress 用戶角色排序允許將 WordPress 和自定義用戶角色輕鬆組合到同一組中。
例如,如果您正在運行 WooCommerce 站點,則您的站點管理員和商店經理將在管理員用戶組中,而您的訂閱者和客戶將在訂閱者用戶組中。
在用戶組設置中,您將看到所有用戶組和為每個組啟用的所有安全設置,并快速打開和關閉設置。 用戶組讓您有信心將正確的安全級別應用於正確的 WordPress 用戶角色。
如何自定義 WordPress 用戶角色和權限
除了我們已經討論過的用戶角色之外,您還可以使用旨在允許您為 WordPress 創建自定義用戶角色的插件來添加更多角色。 這裡有一些插件和工具可供查看。
iThemes 同步客戶端儀表板
iThemes Sync 是一個幫助您管理多個 WordPress 網站的工具。 借助 Sync,您可以使用一個儀表板為您的所有 WordPress 網站執行 WordPress 管理任務。 如果您作為網頁設計機構、營銷機構或自由職業者為客戶構建或維護網站,同步尤其有用。
iThemes 同步客戶端儀表板功能旨在自定義用戶如何查看 WordPress 管理儀表板,這是自定義 WordPress 用戶角色和權限的一種方式。
例如,如果您有一個想要成為管理員的客戶端,但不想查看站點的某些區域(例如主題或插件),您可以使用客戶端儀表板完成此任務。
客戶端儀表板可以在每個用戶的基礎上激活,然後您可以選擇 WordPress 儀表板菜單項以允許該用戶查看。 很酷,對吧?
用戶角色編輯器
如果您想在 WordPress 中自定義標準用戶角色,用戶角色編輯器是一個很好的插件。 用戶角色編輯器將允許您創建自己的角色、權限和用戶能力。
您還可以使用它來更改或重命名角色,或完全刪除它們。 該插件有免費和付費版本。
高級訪問管理器
無論您是在您的網站上運行一個巨大的 WooCommerce 商店還是運行一個標準的 WordPress 博客,您都可能正在尋找對管理對您的內容的訪問的額外控制。
用戶訪問管理器可能是幫助您的插件。 Advanced Access Manager 可用於設置站點的受限成員區域,利用用戶角色和權限。 它還可以幫助您管理站點私有部分中的用戶。
Yoast 搜索引擎優化
如果您的團隊專注於改進內容的 SEO(搜索引擎優化),那麼 Yoast SEO 插件是一個很好的起點。
此插件允許您創建兩個非標準用戶角色:
- 搜索引擎優化編輯
- 搜索引擎優化經理
為什麼這兩個新的用戶角色對您作為 WordPress 網站所有者有益?
通過在 Yoast SEO 中分配角色,您將授權您的團隊進行與 SEO 相關的工作,而無需手動跟踪結果或要求您在需要時進行站點更改。
正如 Yoast 的博客所說:
“當與您網站上的多人合作時,SEO 編輯和 SEO 經理這兩個新角色可以提供更加靈活的解決方案。 管理員可以決定誰可以看到和做什麼,而用戶則可以獲得他們工作所需的工具。”
Yoast SEO 插件是另一個將 WordPress 用戶角色和權限置於管理效率最前沿的工具。
總結:了解 WordPress 中的用戶角色和權限
回顧一下:WordPress 安裝中的前三個管理用戶角色具有專門為該位置設計的站點區域。 超級管理員和管理員控制儀表板和核心文件以及站點本身。 而編輯器控制內容管理器和其他內容。 作者和貢獻者只控制他們的內容,而不控制其他內容。 訂閱者只能訪問管理職位賦予角色的內容和權限。
通過閱讀本文中的信息,您現在對 WordPress 平台中的用戶角色和權限有了更深入的了解。 如您所見,您分配給每個用戶的角色對您運行網站的效率起著重要作用。
但是,無論您多麼小心地確保將所有用戶角色分配給最優秀的人,有時還是會發生錯誤。 例如,當您剛剛分配為管理員的新員工在激活新的未經測試的插件時導致您的站點崩潰時,像 BackupBuddy 這樣的 WordPress 備份插件將是絕對的救星。 確保在發生此類災難之前安裝並激活您的備份插件。
與 WordPress 的其他領域一樣,正確分配用戶角色和權限需要一些試驗和錯誤。 但是利用您剛剛學到的信息,您將做出更明智的決定。
Kristen 自 2011 年以來一直在編寫教程來幫助 WordPress 用戶。作為 iThemes 的營銷總監,她致力於幫助您找到構建、管理和維護有效 WordPress 網站的最佳方法。 克里斯汀還喜歡寫日記(看看她的業餘項目,轉型之年!)、遠足和露營、有氧運動、烹飪以及與家人的日常冒險,希望過上更真實的生活。