Guia das Funções de Utilizador no WordPress

Por que razão as funções de utilizador importam

O sistema de utilizadores do WordPress baseia-se no princípio de funções e capacidades, em que cada função tem um conjunto definido de permissões que determina o que um utilizador pode e não pode fazer no site. A atribuição correta de funções é essencial para a segurança do site, porque se todos os utilizadores tiverem acesso de administrador, uma única conta comprometida pode levar ao controlo total do site. Saiba mais sobre como proteger o seu site contra hackers. Também previne erros acidentais, porque um utilizador que não consegue aceder às definições não as pode alterar por engano.

O WordPress vem com cinco funções predefinidas, cada uma com um conjunto específico de capacidades. Compreender estas funções é fundamental para qualquer administrador de site, sobretudo em sites com vários utilizadores, como blogues com múltiplos autores, sites de empresas com equipas que inserem conteúdos ou plataformas de comércio eletrónico com colaboradores a gerir encomendas.

Administrador

Capacidades

O administrador tem controlo total sobre o site WordPress, sem quaisquer restrições. Esta função inclui a capacidade de instalar e eliminar plugins e temas, adicionar e eliminar utilizadores incluindo outros administradores, aceder a todas as definições do site, gerir todos os conteúdos incluindo artigos e páginas de todos os utilizadores, aceder ao editor de código para modificação direta dos ficheiros de temas e plugins, gerir e moderar comentários e exportar e importar dados do site.

Quando utilizar

A função de Administrador deve ser atribuída apenas aos proprietários do site e às pessoas técnicas responsáveis pela gestão integral do site. Limite o número de administradores ao mínimo, porque cada conta de administrador é um potencial ponto de entrada no site. Num site empresarial típico, um ou dois administradores são suficientes. Nunca utilize a conta de administrador para a escrita diária de conteúdos. Consulte o nosso guia de otimização do site WordPress, porque é mais seguro utilizar uma conta com privilégios inferiores para tarefas rotineiras. Se precisar de aceder às funcionalidades de administrador, inicie sessão na conta de administrador apenas quando for necessário.

Editor

Capacidades

O Editor tem controlo sobre todos os conteúdos do site, mas não tem acesso às definições técnicas. Os editores podem criar, modificar, publicar e eliminar quaisquer artigos e páginas, incluindo os escritos por outros utilizadores, gerir categorias e etiquetas, moderar comentários e aprová-los para publicação, gerir ligações e carregar ficheiros multimédia. O editor não pode instalar plugins, mudar o tema, adicionar utilizadores nem aceder às definições técnicas do site.

Quando utilizar

A função de Editor é ideal para o editor principal do blogue ou para a pessoa responsável pelo controlo de qualidade dos conteúdos do site. Esta pessoa revê os artigos escritos por autores e colaboradores, aprova-os para publicação, corrige erros e assegura a consistência dos conteúdos. Num site corporativo, o responsável de marketing ou de comunicação é um candidato típico à função de editor, porque precisa de controlo sobre os conteúdos, mas não sobre os aspetos técnicos do site.

Autor

Capacidades

Um Autor pode criar, modificar e publicar os seus próprios artigos sem aprovação do editor ou do administrador. Os autores podem carregar ficheiros multimédia, modificar e eliminar os seus próprios artigos publicados, mas não podem modificar nem eliminar artigos de outros utilizadores. Os autores não podem criar páginas, apenas artigos, não podem gerir categorias e etiquetas ao nível do site, mas podem adicionar categorias e etiquetas existentes aos seus próprios artigos. Não têm acesso aos comentários, exceto aos dos seus próprios artigos.

Quando utilizar

A função de Autor é adequada para redatores de confiança que contribuem regularmente com conteúdos e nos quais confia para publicar conteúdos de qualidade sem revisão prévia. Jornalistas, bloguers experientes ou colaboradores de marketing que escrevem e publicam conteúdos de forma autónoma são candidatos típicos. A diferença essencial entre autor e colaborador é que os autores podem publicar artigos por si mesmos, enquanto os colaboradores têm de aguardar aprovação. Por isso, atribua a função de Autor apenas a pessoas cujos conteúdos não exijam revisão regular.

Colaborador

Capacidades

Um Colaborador pode escrever e modificar os seus próprios artigos, mas não os pode publicar. Em vez disso, o colaborador submete o artigo para revisão e o editor ou administrador aprova-o e publica-o. Os colaboradores não podem carregar ficheiros multimédia, o que significa que não podem adicionar imagens aos artigos. Depois de um artigo ser publicado, o colaborador deixa de o poder modificar, porque o artigo publicado passa a ser da responsabilidade do editor. Estas limitações tornam a função de colaborador segura para redatores externos ou para aqueles em quem não confia totalmente.

Quando utilizar

A função de Colaborador é ideal para autores convidados, redatores freelancer ou novos membros da equipa cujos conteúdos exijam revisão antes da publicação. Em blogues que aceitam artigos de convidados, uma conta de colaborador permite que autores externos escrevam diretamente no WordPress sem o risco de publicar algo inadequado. A restrição ao carregamento de ficheiros evita o potencial abuso para carregar conteúdos maliciosos. Se os colaboradores precisarem de adicionar imagens aos artigos, o editor ou administrador fá-lo após a revisão do conteúdo.

Subscritor

Capacidades

Um Subscritor tem o nível de acesso mais baixo e só pode gerir o seu próprio perfil e ler conteúdos que exijam início de sessão. Os subscritores não podem criar, modificar nem eliminar qualquer conteúdo do site. A única diferença entre um subscritor e um visitante não registado é que o subscritor tem uma conta de utilizador que pode usar para comentar sem voltar a introduzir os dados pessoais e para aceder a conteúdos restritos a utilizadores registados.

Quando utilizar

A função de Subscritor é utilizada em sites que exigem registo para aceder a determinados conteúdos, para comentar ou para aceder a uma comunidade fechada. Os sites de membros usam o subscritor como função base para utilizadores registados, com a opção de evoluir para níveis de acesso premium. Fóruns e comunidades usam o subscritor para utilizadores que participam em discussões. O WordPress define, por predefinição, a função de novos utilizadores registados como subscritor, o que é uma opção segura, porque um subscritor não pode causar danos ao site.

Funções de utilizador personalizadas

Por que razão criar funções personalizadas

As funções predefinidas não cobrem todos os cenários de utilização. Por exemplo, pode querer uma função que possa publicar artigos mas não os eliminar, ou uma função que tenha acesso às encomendas do WooCommerce mas não às definições da loja. As funções personalizadas resolvem estas necessidades específicas, criando funções com conjuntos de capacidades definidos com precisão e adaptados ao seu fluxo de trabalho.

Plugins de gestão de funções

O User Role Editor é o plugin mais popular para gerir funções do WordPress, com mais de 700 000 instalações ativas. Oferece uma interface visual para criar novas funções, adicionar ou remover capacidades das funções existentes e atribuir várias funções a um único utilizador. O Members, da equipa do MemberPress, oferece funcionalidade semelhante, com foco no controlo de acesso a conteúdos por função. O PublishPress Capabilities é outra opção, com uma interface limpa para a gestão de capacidades. Todos estes plugins permitem criar funções personalizadas sem escrever código.

Exemplos de funções personalizadas

O Gestor de SEO é uma função personalizada com acesso às definições de SEO no Yoast ou Rank Math, mas que não pode modificar o conteúdo dos artigos. O Moderador de Comentários pode gerir comentários, mas não tem acesso a artigos nem páginas. O Gestor de Produtos WooCommerce pode adicionar e modificar produtos, mas não tem acesso a encomendas nem a dados financeiros. O Designer pode alterar o aspeto do site e carregar ficheiros multimédia, mas não pode instalar plugins nem alterar contas de utilizador. Estas funções personalizadas permitem um controlo de acesso preciso, adaptado à estrutura da sua equipa.

Criar funções com código

Para programadores, o WordPress disponibiliza uma API para criar funções personalizadas através de código. A função add_role recebe o nome da função, o nome a apresentar e um array de capacidades. Pode usar as funções add_cap e remove_cap para adicionar ou remover capacidades individuais de funções existentes. Estas alterações só devem ser acionadas uma vez, normalmente na ativação do plugin ou do tema, e não a cada carregamento de página, porque ficam armazenadas na base de dados. O sistema de capacidades do WordPress é flexível e permite criar permissões granulares para cada ação no site.

Recomendações de segurança

Princípio do privilégio mínimo

Atribua sempre aos utilizadores a função mais baixa que lhes permita realizar o seu trabalho. Isto é conhecido como o princípio do privilégio mínimo e é um dos pilares da segurança informática. Se um utilizador apenas escreve artigos, atribua-lhe a função de Autor ou Colaborador, e não de Editor ou Administrador. Se um utilizador só precisa de ler conteúdos, a função de Subscritor é suficiente. A revisão das funções deve ser feita periodicamente, para remover contas desnecessárias e baixar as funções de utilizadores que já não desempenham as mesmas tarefas.

Medidas de segurança adicionais

Além da atribuição correta de funções, implemente a autenticação de dois fatores, sobretudo para as contas de administrador e editor. Utilize palavras-passe fortes em todas as contas e exija a sua alteração periódica. Desative o registo de utilizadores se não for necessário para o seu site, porque o registo aberto pode ser explorado para spam ou ataques. Acompanhe a atividade dos utilizadores com plugins como o WP Activity Log, que regista todas as ações no site e permite identificar atividades suspeitas.

Conclusão

O sistema de utilizadores do WordPress, com funções e capacidades, oferece um controlo de acesso flexível, essencial para sites com vários utilizadores. Administrador para o proprietário do site, Editor para o responsável de conteúdos, Autor para redatores de confiança, Colaborador para colaboradores externos e Subscritor para visitantes registados cobrem a maioria dos cenários. Para necessidades específicas, as funções personalizadas oferecem um controlo de permissões preciso. Na BeoHosting, os nossos pacotes de alojamento WordPress suportam contas de utilizador ilimitadas, com um ambiente rápido e seguro que protege todas as contas do seu site.