Użytkownicy

– lekcja 11 –

Wraz z uruchomieniem witryny na WordPressie otrzymujesz dostęp do systemu zarządzania użytkownikami. Od tej pory możesz dodawać tworzyć konta dla nowych redaktorów, autorów czy subskrybentów. Dzięki funkcjonalnościom od WP możesz łatwo stworzyć zgrany zespół, który pomoże w zarządzaniu Twoją witryną.

Dane użytkownika

Założenie nowego konta dla użytkownika jest w WP możliwie uproszczone. Aby tego dokonać należy podać trzy podstawowe informacje na jego temat. Są to:

Co prawda tylko Nazwa użytkownika oraz E-mail są oznaczone jako wymagane, więc wypełnienie tych dwóch pól wystarczy, ale później w mailu nowy użytkownik będzie poproszony aby wygenerować samodzielnie hasło. To rozwiązanie przyda Ci się w sytuacji, w której zakładasz komuś konto i nie chcesz narzucać mu hasła – wolisz je pozostawić do samodzielnego wypełnienia. Warto wtedy sprawdzić (np. wpisując swój drugi adres e-mail) czy WordPress faktycznie wysyła maila z prośbą o wpisanie indywidualnego hasła do utworzonego konta. Jeśli nie – warto to naprawić, a w ostateczności samemu nadawać innym redaktorom hasła i instruować ich jak mogą je samodzielnie zmienić.

Żeby sprawdzić czy Twoje konto do zarządzania stroną na WP posiada tylko te 3 dane czy też więcej, możesz przejść do sekcji Użytkownicy -> Twój profil. W zależności od motywu, może znajdować się tam więcej opcji, ale te, które są podstawowe to: PersonalizacjaNazwaDane kontaktowe, O Tobie oraz Zarządzanie kontem. Każda z nich zawiera szereg danych, a te najważniejsze (wymagane) znajdziesz w części Nazwa oraz Zarządzanie kontem.

Notka o autorze pod wpisami – biografia i Gravatar

Zasadniczo nie musisz uzupełniać wszystkich danych, które znajdziesz w Twoim profilu. To, co jest opcjonalne, pozostaje opcjonalne. Może się jednak zdarzyć, że Twój motyw będzie obsługiwał pola tam umieszczone i uzupełnienie ich będzie potrzebne aby np. pod wpisami pojawił się author box czyli przestrzeń na krótkie BIO autora.

W tej sytuacji nie uzupełnienie tych danych albo pozostawienie notki od autora nieukrytej jest dużym zaniedbaniem.

Notkę biograficzną pod wpisami najczęściej można uzupełnić wypełniając treścią okno Biografia.

Nieco bardziej skomplikowane jest dodanie zdjęcia autora. WP jest zintegrowane z serwisem Gravatar, dzięki czemu każdorazowe dodanie i zmiana fotografii musi się odbywać przy pomocy tego serwisu. Z kolei aby zalogować się na swojego Gravatara trzeba wcześniej założyć konto na WordPress.com. Może wydaje się to trochę zawiłe, ale nie musisz się martwić. Krok po kroku przeprowadzę Cię przez proces dodania własnego zdjęcia:

  1. Przejdź na pl.gravatar.com i kliknij na przycisk „Create Your Own Gravatar”.
  2. Wprowadź Twój adres email (ten, który podałeś przy koncie użytkownika w ramach Twojego profilu).
  3. Wpisz także dowolną nazwę użytkownika (choose a username) oraz hasło.
  4. Sprawdź skrzynkę, której adres wpisałeś w drugim kroku i aktywuj konto.
  5. W ustawieniach konta wprowadź swoje zdjęcie oraz dane.

Jak widzisz na powyższym wideo – okazuje się, że to nic skomplikowanego. Ustawienie zdjęcia w Gravatarze z pozoru może się wydawać stratą czasu i niepotrzebnym zawracaniem głowy (po co nowe konto dla jednego zdjęcia), ale w dalszej perspektywie jest to dla Ciebie duża wygoda. Po pierwsze, zdjęcie pojawi się zawsze pod Twoimi tekstami, o ile Twój motyw obsługuje biografie autorów wpisów. Jeśli umieścisz komentarz pod wpisem na swoim blogu i jako adres mailowy podasz e-mail wskazany w serwisie Gravatar, wtedy z tego serwisu zostanie pobrane zdjęcie i umieszczone przy Twoim komentarzu. Co więcej, jeśli będziesz komentował na dowolnej stronie, która korzysta z danych przechowywanych na Gravatarze, wtedy po wpisaniu właściwego adresu pojawi się obok komentarza Twoje zdjęcie. Publikacja wizerunku (najlepiej takiego samego we wszystkich mediach) wpływa pozytywnie na rozpoznawalność, dlatego warto poświęcić te 2 min. na rejestrację w serwisie Gravatar.

 

Czy to jedyny sposób na podmianę zdjęcia? Oczywiście, że nie. Jeśli ktoś uzna, że nie chce zakładać konta dla jednego zdjęcia w Gravatarze i nie będzie chciał skorzystać z wygody jaką niesie ze sobą to narzędzie, wtedy alternatywą jest np. instalacja wtyczki User Photo i wgranie zdjęcia bezpośrednio w ustawieniach Twojego profilu. Wtyczka działa, pomimo to, że ostatnia aktualizacja miała miejsce kilka lat temu. Nie rekomenduję jej użycia, ale zdaję sobie sprawę z tego, że w niektórych sytuacjach skorzystanie z niej będzie zasadne.

Jakie inne dane można uzupełnić podczas edycji profilu?

Poniżej znajdziesz listę opcji, które możesz samodzielnie ustawić podczas edycji Twojego profilu wraz z kilkoma pomysłami na dobre ich wykorzystanie.

Wyłączenie globalne edytora wizualnego

Zaznaczenie powyższego checkboxa sprawi, że w każdym wpisie i stronie zamiast edytora wizualnego będziesz widział edytor tekstowy. Zaznaczają tę opcję najczęściej osoby, które poruszają się płynnie w HTML’u i szybciej piszą komendy za pomocą kodu niż przy użyciu edytora wizualnego.


Wyłączenie przejrzystej edycji plików motywu

Podświetlanie (kolorowanie) składni dotyczy edytora dostępnego w sekcji Wygląd -> Edytor. Jeśli nie będziesz modyfikował plików motywu, ta opcja nie powinna Ciebie dotyczyć.


Personalizacja kolorów panelu administracyjnego

Jeśli posiadasz do administracji więcej niż jedną stronę, wtedy wybranie różnych kolorystyk dla każdej z nich pozwoli na momentalne ich rozróżnienie w momencie kiedy np. edytujesz jedną i drugą witrynę w różnych kartach. Choć to już pewnie kwestia indywidualna to najprzyjemniejszymi zestawami kolorystycznymi na których będzie można komfortowo pracować są: Domyślny, Kawa, Ektoplazma i Północ.


Włączenie skrótów klawiszowych

Jeśli korzystasz z domyślnych komentarzy lub z rozwiązania, które na domyślnych komentarzach bazuje (czyli np. z wpDiscuza) i otrzymujesz codziennie wiele komentarzy – ułatw sobie zadanie ich moderowania. Koniecznie zaznacz powyższy checkbox i odblokuj skróty klawiaturowe.

Po jego zaznaczeniu przejdź do sekcji Komentarze i sprawdź czy działają Ci klawisze „j” i „k” na podstronie z wylistowanymi ostatnio dodanymi komentarzami. Szybko zorientujesz się, że pozwalają Ci one zaznaczać komentarz i przechodzić do góry i dołu. To nie wszystko, bowiem odblokowując skróty klawiszowe możesz w szybki sposób akceptować i odrzucać komentarze, a także w sposób błyskawiczny odpowiadać i edytować komentarz.

Zobacz jakie skróty klawiszowe możesz użyć podczas administrowania komentarzami:

  • j – nawigacja po komentarzach (jasnoniebieskie zaznaczenie) do dołu
  • k – nawigacja po komentarzach (jasnoniebieskie zaznaczenie) do góry
  • a – akceptacja komentarza
  • s – przeniesienie komentarza do spamu
  • d – usunięcie komentarza
  • z – pozwala odzyskać komentarz umieszczony w koszu w momencie zaznaczenia na jasnoniebiesko komunikatu „Komentarz, którego autorem jest Janina Przykładowa, został przeniesiony do kosza. Cofnij”
  • u – przeniesienie komentarza z powrotem do moderacji (cofnięcie akceptacji komentarza)
  • r – odpowiedź na zaznaczony komentarz (Esc pozwala na rezygnację z odpowiedzi)
  • q – szybka edycja zaznaczonego komentarza
  • e – otwarcie ekranu edycji zaznaczonego komentarza

Nowe hasło

Aby zmienić hasło na swoim koncie przejdź do Twojego profilu i znajdź na dole sekcję Zarządzanie kontem. Tam możesz skorzystać z wygenerowanego hasła lub wpisać własne. Jeśli się okaże, że wpisane hasło będzie zbyt proste, będziesz mógł je dodatkowo utrudnić używając znaków specjalnych lub … potwierdzić użycie prostego hasła i zapisać zmiany. WP dba o Twoje bezpieczeństwo, ale nie wymusza konkretnych zachowań licząc na dojrzałość swoich użytkowników.

Jeśli decyzja o zmianie hasła wynika z obaw, że ktoś mógł je przejąć lub nie wylogowałeś się z WP na publicznie dostępnym komputerze, wtedy możesz skorzystać z przycisku Wyloguj z wszystkich innych miejsc:

Dla pewności jednak lepiej będzie, jeśli w tej sytuacji nie tylko wylogujesz się, ale też zmienisz swoje hasło.


Role użytkowników

O różnorodności ról dowiesz się w kolejnych akapitach tej lekcji.

Jak zarządzać użytkownikami?

Wszystkie zmiany jakich dokonywałeś w ramach edycji swojego profilu możesz dokonać także edytując profil innych użytkowników. Przechodząc do sekcji Użytkownicy -> Wszyscy użytkownicy możesz podejrzeć wszystkie konta użytkownika założone w ramach konkretnej strony, a także w tym miejscu dodawać, usuwać i edytować konta. Oto przykładowa lista użytkowników:

Jeśli jesteś jedyną osobą edytującą treści na Twojej stronie to zamiast długiej listy zobaczysz najprawdopodobniej jedno konto należące do Ciebie. Aby się upewnić czy tak jest porównaj podkreślone na czerwono nazwy użytkowników w górnej belce (tam znajduje się informacja o tym kto jest zalogowany) oraz na liście użytkowników:

Niezależnie od poziomu złożoności Twojej listy (przy założeniu, że posiadasz uprawnienia do zarządzania użytkownikami) będziesz mógł każdą osobę widniejącą na tej liście edytować i usunąć.

Układ dodatkowych opcji wygląda podobnie jak w przypadku listy z wpisami lub stronami.

Role użytkowników czyli tworzymy redakcję portalu

Już w drugiej lekcji zwróciłem Twoją uwagę na to, że po zalogowaniu się możesz zobaczyć niekompletny Kokpit administratora. To, jaki będzie miał kształt zależy od uprawnień jakie posiada Twoje konto.

Od roli – czyli właśnie pewnego zestawu uprawnień – zależy nie tylko wygląd Twojego panelu, ale też lista funkcji, które będą dla Ciebie i innych użytkowników dostępne. Oto najczęściej spotykane role wraz z krótkim opisem wskazującym na to, do czego uprawniają:

  • Administrator – osoba posiadająca dostęp do wszystkich funkcjonalności witryny, którą administruje
  • Redaktor – osoba, która może publikować i zarządzać wpisami oraz stronami swoimi i innych użytkowników
  • Autor – osoba, która może publikować i zarządzać swoimi wpisami (widzi wpisy innych autorów, ale nie może ich edytować)
  • Współpracownik – osoba, która może pisać i zarządzać własnymi wpisami, ale nie może ich samodzielnie publikować
  • Subskrybent – osoba, która może zarządzać wyłącznie swoim profilem

Przeczytaj, proszę,  jeszcze raz powyższy opis i zapamiętaj jakie uprawnienia posiada każda z ról. Poniżej będziesz mógł sprawdzić swoją wiedzę w konkretnych sytuacjach w formie krótkiego quizu:

Jakie konto założysz dla osoby, która zajmuje się aktualizowaniem wtyczek, motywu oraz pozostałymi pracami przy optymalizacji i konserwacji witryny?


Jakie konto założysz osobie, która będzie odpowiedzialna za publikację swoich tekstów?


Jakie konto założysz osobie, która będzie się zajmowała w redakcji korektą wszystkich tekstów?


Jakie konto będzie miała osoba, która przesyła swój tekst do korekty przed publikacją przy założeniu, że teksty publikuje korekta?


Jak więc widzisz, nie każdy musi posiadać konto z rolą Administratora, a wręcz jest to niewskazane, bo osoba gorzej posługująca się WordPressem może spanikować jeśli jej się coś nie uda, przejść do edycji motywu (wyglądu) strony i omyłkowo skasować cały layout witryny albo wpisać coś do dowolnego pliku i tym samym sprawić, że strona przestanie się wyświetlać.

Twoim zadaniem jako właściciela strony jest rozsądne zarządzanie użytkownikami i przydzielanie im właściwych ról. Poniżej znajdziesz moje propozycje ról dla osób, które wchodzą w skład redakcji portalu internetowego:

Właściciel portalu – obowiązkowo konto Administratora. To od niego zależy przyszłość portalu, więc powinien on posiadać pełne uprawnienia, nawet jeśli z większości dostępnych w panelu funkcji nie będzie korzystał.

Wsparcie IT – osoba, która okazjonalnie pomaga Ci w zarządzaniu witryną, dodaje nowe funkcjonalności, naprawia błędy, rozwija Twój portal powinna posiadać konto Administratora. Jeśli jest to stała współpraca, konto można zachować, jeśli jednak jest to jednorazowa pomoc np. przy przyspieszeniu działania witryny – warto takie konto po zakończeniu współpracy usunąć.

Redaktor naczelny – to od niego zależy ostateczny kształt publikowanych treści, ma też prawo do edycji artykułów, w razie pilnej potrzeby szybkiej korekty, dlatego powinien mieć konto Redaktora.

Korekta – aby korektor mógł skutecznie edytować opublikowane lub przygotowane do publikacji (nie swoje) treści, powinien otrzymać konto Redaktora.

Redaktor – ktoś, kto regularnie publikuje wpisy powinien mieć dostęp do przygotowywanych przez siebie materiałów powinien mieć konto Autora. Wyjątkiem jest sytuacja w której redakcja jest niewielka, darzy siebie dużym zaufaniem edytując wzajemnie swoje treści. Jeśli zdarzają się w trakcie pracy redakcyjnej sytuacje, w której każdy czyta i dokonuje korekty tekstów innych redaktorów, wtedy właściwą rolą jest nie Autor, a Redaktor.

Redaktor z zewnątrz – osoba z zewnątrz, która pisze gościnny wpis i nie chcemy, aby ten został od razu opublikowany powinna posiadać konto Współpracownika.

Stażysta – podobnie, jak w przypadku osoby z zewnątrz jeśli nie chcemy, aby pierwsze teksty zostały przez stażystę od razu opublikowane, powinniśmy nadać mu uprawnienia Współpracownika.

“Obcy” wśród użytkowników czyli nieproszony gość z dostępem do Twojej strony

Warto jest raz na pewien czas (np. co miesiąc) zajrzeć do listy Wszystkich użytkowników, aby upewnić się, czy wśród administratorów nie ma nieproszonego gościa. Jeśli okaże się, że wśród znanych użytkowników znajdują się także inni, których nie kojarzysz – wtedy warto podjąć natychmiastowe kroki, żeby zrobić na stronie porządek i pozostawić dostępność tylko dla tych osób, które są do tego uprawnione.

Powyższy przykład pokazuje właśnie taką sytuację. Oprócz konta Administracyjnego naszej Janiny Przykładowej pojawiło się drugie konto, którego nie zakładaliśmy.

Nie zawsze tego typu sytuacja może być spowodowana atakiem hackerskim. Powyższy zrzut przejaskrawiłem, zazwyczaj konta podejrzanych administratorów nie mają zdjęcia profilowego ani nie posługują się nazwiskiem najbardziej znanego komputerowego włamywacza. Czasami jednak dodatkowe konto jest wgrywane wraz z domyślnymi treściami po instalacji nowego motywu. W tej sytuacji osoba, która dokonuje tego typu instalacji powinna zadbać o to, żeby dostęp do strony miał tylko jej właściciel. Jeśli o to nie zadbała – warto wziąć sprawy w swoje ręce i takiego nadprogramowego (podejrzanego) administratora usunąć, a następnie zmienić wszystkie możliwe hasła, począwszy od hasła naszego konta administratora, przez hasło do bazy danych (wraz ze zmianą hasła w plikach konfiguracyjnych), konta FTP i profilaktycznie także danych dostępowych do serwera. Warto też sprawdzić czy strona nie została zainfekowana. Warto tego typu działanie zlecić specjaliście, aby mieć pewność, że nieproszony gość już nigdy nie wróci.

To co możesz zrobić w łatwy sposób we własnym zakresie to sprawdzenie:

  1. czy rejestracja (Członkostwo) na stronie jest wyłączona,
  2. czy domyślną rolą nowych użytkowników jest Subskrybent. Właściwe ustawienia w sekcji  Ustawienia -> Ogólne powinny wyglądać tak:

Jeśli checkbox jest oznaczony, a domyślną rolą jest Administrator, wtedy takie ustawienia należy traktować jako proszenie się o problemy.

Inny przykład włamania na stronę bez korzystania z tzw. ataku słownikowego czyli uruchomienia programu, który zgaduje hasła i pozwala wcześniej lub później na dostanie się do Kokpitu polega na wykorzystaniu luki w oprogramowaniu (WordPressie lub wtyczkach).

Inny przykład włamania na stronę polega na skorzystaniu z tzw. ataku słownikowego czyli uruchomienia programu, który zgaduje hasła i pozwala wcześniej czy później dostać się na zaplecze Twojej strony. Im trudniejsze, bardziej losowe hasło tym zadanie dla włamywacza jest bardziej utrudnione. Z tego właśnie względu dobrze jest generować losowe hasła, aby nie ułatwiać nikomu włamania.

Kolejnym sposobem na dostanie się do zaplecza Twojej strony jest wykorzystanie luki w oprogramowaniu w WordPressie lub zainstalowanej wtyczce. Dobrym przykładem opisującym to zjawisko jest wtyczka Easy WP SMTP służąca do konfiguracji i wysyłki wszystkich wychodzących maili poprzez serwer SMTP, która w wersji 1.3.9 posiadała dość poważną lukę. Rzecz jasna, szybko pojawiła się wersja 1.3.9.1, która naprawiała problem, jednak Ci, którzy nie aktualizują wtyczek na bieżąco mogli natrafić na dziwne przekierowanie na swojej stronie oraz podejrzanych użytkowników o nazwach: devidpentesting99, larryking99 lub podobych.

Ostatnim przykładem włamania na stronę jest celowe zgadywanie hasła w celu namieszania na zapleczu witryny. Jeśli nie jesteś zwolennikiem skomplikowanych haseł i nie zmieniłeś swojego domyślnego loginu z „admin” na trudniejszy, to możesz być narażony na tego typu ataki. Warto zapobiegać sytuacji w której ktoś będzie usiłował Ci się włamać na stronę niż później ratować to, co zostało – jeśli będzie coś do odzyskania. Możliwość typowego włamania na stronę internetową warto potraktować całkowicie serio i zabezpieczyć się przed tego typu sytuacją. Jeśli jesteś zainteresowany tego typu kursem to daj mi, proszę, znać na maila.

Podsumowanie

  1. Co prawda, możesz podać dodając nowego użytkownika tylko nazwę użytkownika, email i hasło, jednak czasami warto podać więcej informacji, bo mogą się one wyświetlać w motywie w różnych miejscach np. w ramach biografii autora pod wpisami.
  2. Założenie konta Gravatara i podpięcie Twojego zdjęcia pod adres mailowy jest bardzo wygodnym i prostym rozwiązaniem.
  3. Włącz edytor wizualny, jeśli nie znasz HTML’a, a do tej pory edytowałeś teksty tylko w ten sposób i nie miałeś możliwości włączenia edytora WYSIWYG (What You See Is What You Get – edytor wizualny w WordPressie).
  4. Personalizacja nie jest tylko niepotrzebnym dodatkiem, ale pozwoli Ci rozróżnić edytowane jednocześnie strony po pierwszym spojrzeniu na kolorystykę kokpitu.
  5. Jeśli dostajesz dużo komentarzy, koniecznie włącz wygodne administrowanie nimi przy pomocy skrótów klawiszowych.
  6. Jeśli nie jesteś pewien czy Twoje hasło nie zostało zapamiętane na publicznym komputerze, skorzystaj z opcji wylogowania.
  7. Zapoznaj się z rolami użytkowników, aby każdy z nich miał właściwy dostęp.
  8. Jeśli znajdziesz na swojej liście użytkowników nieznane konto, obowiązkowo je usuń i zrób porządek ze swoją stroną.

Jeśli skorzystałeś z treści zawartych w tym kursie zachęcam Cię do wsparcia moich działań:


Jeśli znalazłeś literówkę, daj mi znać, zaznaczając ten tekst i naciskającCtrl+Enter.

UDOSTĘPNIJ