Průvodce uživatelskými rolemi ve WordPressu

Proč jsou uživatelské role důležité

Uživatelský systém WordPressu je založen na principu rolí a oprávnění (capabilities), kde každá role má definovanou sadu oprávnění určujících, co uživatel na webu může a nemůže dělat. Správné přiřazení rolí je klíčové pro bezpečnost webu, protože pokud má každý uživatel administrátorský přístup, jediný kompromitovaný účet může vést k úplnému převzetí kontroly nad webem. Více se dozvíte o ochraně webu před hackery. Zároveň to předchází náhodným chybám, protože uživatel, který nemá přístup k nastavení, jej nemůže omylem změnit.

WordPress je dodáván s pěti výchozími rolemi, z nichž každá má konkrétní sadu oprávnění. Porozumění těmto rolím je nezbytné pro každého správce webu, zejména na webech s více uživateli, jako jsou blogy s více autory, firemní weby s týmy zadávajícími obsah nebo e-commerce platformy se zaměstnanci spravujícími objednávky.

Administrator

Oprávnění

Administrator má úplnou kontrolu nad webem WordPress bez jakýchkoli omezení. Tato role zahrnuje možnost instalovat a mazat pluginy a šablony, přidávat a mazat uživatele včetně dalších administrátorů, přistupovat ke všem nastavením webu, spravovat veškerý obsah včetně příspěvků a stránek všech uživatelů, přistupovat k editoru kódu pro přímou úpravu souborů šablony a pluginů, spravovat a moderovat komentáře a exportovat a importovat data webu.

Kdy ji použít

Role Administrator by měla být přidělena pouze majitelům webu a technickým osobám odpovědným za kompletní správu webu. Omezte počet administrátorů na minimum, protože každý administrátorský účet je potenciální vstupní bod na web. Na typickém firemním webu stačí jeden nebo dva administrátoři. Nikdy nepoužívejte administrátorský účet k běžnému psaní obsahu. Podívejte se na našeho průvodce optimalizací webu WordPress, protože pro rutinní úkoly je bezpečnější používat účet s nižšími oprávněními. Pokud potřebujete přístup k administrátorským funkcím, přihlaste se k administrátorskému účtu jen tehdy, když je to nezbytné.

Editor

Oprávnění

Editor má kontrolu nad veškerým obsahem webu, ale nemá přístup k technickým nastavením. Editoři mohou vytvářet, upravovat, publikovat a mazat libovolné příspěvky a stránky včetně těch, které napsali jiní uživatelé, spravovat kategorie a štítky, moderovat komentáře a schvalovat je k publikování, spravovat odkazy a nahrávat mediální soubory. Editor nemůže instalovat pluginy, měnit šablonu, přidávat uživatele ani přistupovat k technickým nastavením webu.

Kdy ji použít

Role Editor je ideální pro hlavního redaktora blogu nebo osobu odpovědnou za kontrolu kvality obsahu na webu. Tato osoba kontroluje příspěvky napsané autory a přispěvateli, schvaluje je k publikování, opravuje chyby a zajišťuje konzistenci obsahu. Na firemním webu je typickým kandidátem na roli editora marketingový nebo komunikační manažer, protože potřebuje kontrolu nad obsahem, ale ne nad technickými aspekty webu.

Author

Oprávnění

Author (autor) může vytvářet, upravovat a publikovat své vlastní příspěvky bez schválení editorem nebo administrátorem. Autoři mohou nahrávat mediální soubory, upravovat a mazat své vlastní publikované příspěvky, ale nemohou upravovat ani mazat příspěvky jiných uživatelů. Autoři nemohou vytvářet stránky, pouze příspěvky, nemohou spravovat kategorie a štítky na úrovni webu, ale mohou ke svým příspěvkům přidávat existující kategorie a štítky. Nemají přístup ke komentářům s výjimkou těch u svých vlastních příspěvků.

Kdy ji použít

Role Author je vhodná pro důvěryhodné autory, kteří pravidelně přispívají obsahem a kterým důvěřujete, že budou publikovat kvalitní obsah bez předchozí kontroly. Typickými kandidáty jsou novináři, zkušení blogeři nebo marketingoví zaměstnanci, kteří samostatně píší a publikují obsah. Klíčovým rozdílem mezi autorem a přispěvatelem je, že autoři mohou příspěvky publikovat sami, zatímco přispěvatelé musí čekat na schválení. Roli Author tedy přidělujte pouze osobám, jejichž obsah nevyžaduje pravidelnou kontrolu.

Contributor

Oprávnění

Contributor (přispěvatel) může psát a upravovat své vlastní příspěvky, ale nemůže je publikovat. Místo toho přispěvatel odešle příspěvek ke kontrole a editor nebo administrátor jej schválí a publikuje. Přispěvatelé nemohou nahrávat mediální soubory, což znamená, že do příspěvků nemohou vkládat obrázky. Po publikování příspěvku jej přispěvatel již nemůže upravovat, protože publikovaný příspěvek se stává odpovědností editora. Tato omezení činí roli přispěvatele bezpečnou pro externí autory nebo ty, kterým plně nedůvěřujete.

Kdy ji použít

Role Contributor je ideální pro hostující autory, autory na volné noze nebo nové členy týmu, jejichž obsah vyžaduje kontrolu před publikováním. Na blozích přijímajících hostující příspěvky umožňuje účet přispěvatele externím autorům psát přímo ve WordPressu bez rizika, že zveřejní něco nevhodného. Omezení nahrávání souborů brání možnému zneužití k nahrávání škodlivého obsahu. Pokud přispěvatelé potřebují do příspěvků přidat obrázky, udělá to editor nebo administrátor po kontrole obsahu.

Subscriber

Oprávnění

Subscriber (odběratel) má nejnižší úroveň přístupu a může pouze spravovat svůj vlastní profil a číst obsah vyžadující přihlášení. Odběratelé nemohou vytvářet, upravovat ani mazat žádný obsah na webu. Jediným rozdílem mezi odběratelem a neregistrovaným návštěvníkem je, že odběratel má uživatelský účet, který může použít ke komentování bez opětovného zadávání osobních údajů a k přístupu k obsahu vyhrazenému pro registrované uživatele.

Kdy ji použít

Role Subscriber se používá na webech vyžadujících registraci pro přístup k určitému obsahu, pro komentování nebo pro přístup do uzavřené komunity. Členské weby používají odběratele jako základní roli pro registrované uživatele s možností přechodu na prémiové úrovně přístupu. Fóra a komunity používají odběratele pro uživatele účastnící se diskusí. WordPress ve výchozím nastavení přiřazuje novým registrovaným uživatelům roli odběratele, což je bezpečná volba, protože odběratel nemůže webu způsobit škodu.

Vlastní uživatelské role

Proč vytvářet vlastní role

Výchozí role nepokrývají všechny scénáře použití. Můžete například chtít roli, která může příspěvky publikovat, ale ne mazat, nebo roli, která má přístup k objednávkám WooCommerce, ale ne k nastavení obchodu. Vlastní role řeší tyto specifické potřeby vytvořením rolí s přesně definovanou sadou oprávnění odpovídajících vašemu workflow.

Pluginy pro správu rolí

User Role Editor je nejoblíbenějším pluginem pro správu rolí ve WordPressu s více než 700 000 aktivními instalacemi. Poskytuje vizuální rozhraní pro vytváření nových rolí, přidávání nebo odebírání oprávnění u existujících rolí a přiřazování více rolí jednomu uživateli. Plugin Members od týmu MemberPress nabízí podobnou funkčnost se zaměřením na řízení přístupu k obsahu podle rolí. PublishPress Capabilities je další možností s přehledným rozhraním pro správu oprávnění. Všechny tyto pluginy umožňují vytvářet vlastní role bez psaní kódu.

Příklady vlastních rolí

SEO Manager je vlastní role s přístupem k nastavení SEO v pluginech Yoast nebo Rank Math, ale bez možnosti upravovat obsah příspěvků. Comment Moderator může spravovat komentáře, ale nemá přístup k příspěvkům ani stránkám. WooCommerce Product Manager může přidávat a upravovat produkty, ale nemá přístup k objednávkám ani finančním datům. Designer může měnit vzhled webu a nahrávat média, ale nemůže instalovat pluginy ani měnit uživatelské účty. Tyto vlastní role umožňují přesné řízení přístupu odpovídající struktuře vašeho týmu.

Vytváření rolí pomocí kódu

Pro vývojáře WordPress poskytuje API pro vytváření vlastních rolí pomocí kódu. Funkce add_role přijímá název role, zobrazovaný název a pole oprávnění. Funkce add_cap a remove_cap můžete použít k přidávání nebo odebírání jednotlivých oprávnění u existujících rolí. Tyto změny by se měly spustit pouze jednou, obvykle při aktivaci pluginu nebo šablony, nikoli při každém načtení stránky, protože jsou uloženy v databázi. Systém oprávnění WordPressu je flexibilní a umožňuje vytvářet jemně odstupňovaná oprávnění pro každou akci na webu.

Bezpečnostní doporučení

Princip nejnižších oprávnění

Uživatelům vždy přidělujte nejnižší roli, která jim umožní vykonávat jejich práci. To je známé jako princip nejnižších oprávnění a je jedním ze základů IT bezpečnosti. Pokud uživatel pouze píše příspěvky, dejte mu roli Author nebo Contributor, ne Editor nebo Administrator. Pokud uživatel potřebuje pouze číst obsah, stačí Subscriber. Revize rolí by se měla provádět pravidelně, aby se odstranily nepotřebné účty a snížily role uživatelů, kteří již nevykonávají stejné funkce.

Další bezpečnostní opatření

Kromě správného přiřazení rolí zaveďte dvoufaktorové ověřování, zejména u administrátorských a editorských účtů. Používejte silná hesla pro všechny účty a vyžadujte jejich pravidelnou změnu. Vypněte registraci uživatelů, pokud ji váš web nepotřebuje, protože otevřená registrace může být zneužita ke spamu nebo útokům. Sledujte aktivitu uživatelů pomocí pluginů jako WP Activity Log, který zaznamenává všechny akce na webu a umožňuje vám identifikovat podezřelé aktivity.

Závěr

Uživatelský systém WordPressu s rolemi a oprávněními poskytuje flexibilní řízení přístupu nezbytné pro weby s více uživateli. Administrator pro majitele webu, Editor pro redaktora obsahu, Author pro důvěryhodné autory, Contributor pro externí spolupracovníky a Subscriber pro registrované návštěvníky pokrývají většinu scénářů. Pro specifické potřeby poskytují vlastní role přesné řízení oprávnění. V BeoHosting naše balíčky WordPress hostingu podporují neomezený počet uživatelských účtů s rychlým a bezpečným prostředím chránícím všechny účty na vašem webu.