當您允許人們訪問您的網站時,重要的是要保持完全控制,同時讓您的員工、承包商和志願者能夠有效地完成工作。有一些重要的步驟可以幫助實現這一目標。
我們將討論WordPress和WooCommerce提供的不同使用者類型,以及這些權限的意義,以及其他最佳實踐,以確保網站的安全性。
使用者角色與權限
使用者管理系統基於兩個要素:角色與能力。
角色是分配給WordPress網站上一組使用者的分類標題。每個角色都對應其自己的一組能力。
能力是指使用者被允許執行的特定操作。例如,編輯文章是一個獨立的能力,而審核博客文章的評論是另一個。
WordPress有六種預設使用者角色,每個角色都具備自己一套權限與能力:
- 超級管理員:超級管理員具有專門應用於多站點環境的能力。他們可以管理網絡上所有網站的設置。對於單一網站,管理員是最高級別的使用者。
- 管理員:這是最強大的使用者角色,因為它讓您可以訪問一切。作為網站擁有者,這應該是您的角色。
- 編輯者:這個使用者通常負責管理內容。編輯者可以添加、編輯、發布和刪除任何文章和媒體,包括其他使用者編寫的文章。編輯者還可以審核、編輯和刪除評論,以及添加和編輯分類和標籤。
- 作者:通常負責與編寫內容相關的任務。他們可以創建、編輯和發布自己的文章。他們也可以刪除自己的文章(即使已經發布),但不能編輯或刪除其他使用者編寫的文章。
- 貢獻者:貢獻者是作者角色的一個基本版本。貢獻者可以在您的網站上執行三項任務:閱讀所有文章、創建和編輯自己的文章,以及刪除自己的文章。然而,這個角色無法直接在您的網站上發布他們的文章。這讓您有機會在內容上線之前審查並最終掌控他們創建的任何內容。
- 訂閱者:如果您啟用網站註冊,則分配給新使用者。這個角色擁有最少的權限。使用者只能更新自己的個人資料、閱讀您網站上的內容並留下評論。
當您安裝WooCommerce時,您將獲得兩個使用者角色:
- 顧客(Customer):當新客戶在您的網站上創建帳戶時分配的角色。這個角色基本上等同於一個普通的博客訂閱者,但客戶可以編輯他們自己的帳戶信息,並查看過去或當前的訂單。
- 商店經理(Shop Manager):這允許使用者運營您的WooCommerce商店的運營部分,但不能編輯後端功能,如文件和代碼。
經理具有與顧客相同的權限,此外,他們還被授予管理WooCommerce中的所有設置,創建/編輯產品,以及訪問所有WooCommerce報告的能力。重要提示:他們還可以訪問上述提到的WordPress編輯功能。
WooCommerce還提供額外的功能,允許管理員:
- 管理所有WooCommerce設置
- 創建和編輯產品
- 查看WooCommerce報告
何時使用商店經理角色
當您需要分配商店經理角色時:
- 您希望允許一個使用者管理訂單、處理退款和生成報告,但不能編輯插件、主題或網站設置。
- 您希望允許一個使用者查看和更新訂單和產品,但不能訪問您的使用者設置(他們將無法添加/編輯使用者角色和權限)。
何時使用管理員角色
在某些情況下,您可能需要在您的網站上授予其他使用者管理員角色。
管理員用戶的示例:
- 網站開發者
- 網站設計師
- 社交媒體營銷代理機構
- 數位營銷代理機構
通常,擔任這些角色的人需要訪問更廣泛的WordPress功能和設置,以便在您的網站上執行項目。
您需要格外謹慎,因為管理員是您商店上最強大的角色。
使用者權限的最佳實踐
- 僅提供使用者所需的訪問權限:這對於安全性很重要,可以防止使用者進行未經批准的更改,並防止內容被意外刪除。
- 限制擁有管理員角色的使用者數量:許多供應商可能會要求這個角色,但實際上只有少數需要這種高級訪問權限。在批准請求之前,請仔細考慮他們將執行的工作職能,並查看是否需要更低級別的訪問權限。
- 如果您想要更多控制使用者能夠訪問的內容,請下載免費的User Role Editor插件,該插件允許您選擇您為每個使用者授予的個別能力。
網站安全的最佳實踐
將使用者添加到您的網站需要額外的安全措施 – 使用者數量越多,風險就越高。
安全的使用者名稱和密碼
始終確保您的整個團隊使用強大的使用者名稱和密碼。
- 如果可能的話,啟用雙因素認證。免費的Jetpack插件使這變得容易。
- 對於使用者名稱,避免使用常見的標題,如“Admin”或“Administrator”。這會使您的網站容易受到安全漏洞的威脅。相反,為每個人創建特定的使用者名稱。
- 當您創建新使用者時,WordPress將自動為您創建一個安全的密碼,但您可以覆蓋這個選項,並允許您的使用者設置自己的密碼。
- 在創建新密碼時,確保它包括大寫字母、小寫字母、數字、符號,並至少12個字符長。這聽起來可能有些極端,但每個使用者的密碼越複雜,您的安全性就會越高。
Regularly Review Roles
定期檢閱使用者角色,尤其是管理員。您可能需要為他們分配新的角色或完全刪除他們的帳戶。
例如,如果您停止與代理機構或開發者合作,請確保從您的網站中刪除他們的帳戶,以便他們不再能夠訪問它。同樣的情況也適用於其他使用者角色。
除非目前需要,否則不應該讓任何使用者訪問您的網站。
這對於您的主機和域名帳戶也同樣適用。如果您曾經提供了某人訪問您的登錄信息,而現在不再與他們合作,請更改您的密碼。如果在任何時候您曾提供FTP憑證給開發者以便管理您的網站文件,請確保完全更新或刪除這些憑證。InMotion Hosting提供了一個易於遵循的cPanel使用者的操作指南。
記住:網站專業人士仍可以通過您的主機帳戶信息或FTP憑證訪問您的網站。
定期備份您的網站
定期備份您的網站和線上商店是非常重要的,不僅是為了安全,也是為了讓您安心。
如果某個使用者對您的網站進行了未經批准的更改,或者如果您的網站受到了威脅,有一份備份是至關重要的,這樣您就可以將它還原到原始狀態。
付費的Jetpack計劃允許您點擊一個按鈕快速還原網站備份。Jetpack還在您的WordPress儀表板中保留了一個審計日誌,提供了有關對您的網站進行的所有更改的詳細信息。您可以看到哪個使用者進行了更改,發生更改的時間,以及確切的更改內容。
不要依賴任何主機提供的免費備份是很重要的。您應該對您的文件和備份擁有完全控制權,而許多主機只保留備份 48 小時。您可能也希望將備份與您可能共享訪問權限的任何帳戶保持獨立。一種方法是將備份存儲在像Dropbox或Google Drive這樣的在線雲提供商上,或者在物理硬盤上保留一份備份。
分享登錄憑證
如果您需要分享使用者角色或主機/域名帳戶的登錄憑證,請不要通過電子郵件或其他不安全的系統發送它們。
相反,利用免費的密碼共享工具,如LastPass。
LastPass允許您創建一個帳戶,將所有在您的保險庫中的在線使用者名稱和密碼存儲,並通過他們的加密和安全網絡共享憑證。
您還可以在此工具中設置使用者權限 – 例如,您可以選擇是否允許使用者查看密碼。
在這方面要保持安全
擁有一個線上商店帶來很多責任,特別是在分配後端訪問權限方面。
幸運的是,WordPress和WooCommerce使得分配特定使用者角色,限制權限,以確保客戶信息和您的數位資產的安全變得輕鬆簡單。
文章來源:A Guide to WooCommerce User Roles, Permissions, and Security
