Zwracasz się o pomoc do agencji SEO, potrzebujesz programisty do naprawy strony internetowej lub właśnie zleciłeś pisanie artykułów copywriterowi – przyznanie dostępu do Twojej witryny WordPress innemu użytkownikowi może być konieczne z różnych powodów. Tylko jak to zrobić bezpieczenie, aby zachować bezpieczeństwo witryny internetowej? W tym poradniku zebrałem dla Ciebie najważniejsze informacje oraz instrukcje, na temat bezpiecznego udzielania dostępu do WordPress. Sprawdź krok po kroku, jak przygotować się i dać dostęp do strony WordPress nowemu użytkownikowi.
- Dlaczego udzielenie dostępu do panelu WordPress może być konieczne?
- Czego unikać przy udzielaniu dostępu do zaplecza WordPress?
- Jak bezpiecznie przyznać dostęp do zaplecza WordPress?
- Najlepsze praktyki dotyczące bezpiecznego dostępu
- Dostęp do strony WordPress: podsumowanie
Po zalogowaniu do panelu administratora WordPress, w sekcji Użytkownicy, możesz tworzyć nowe konta użytkowników i nadawać im różne uprawnienia – administratora, redaktora, subskrybenta. Jeśli ta opcja jest niewystarczająca, skorzystaj z wtyczki typu User Role Editor, by stworzyć więcej uprawnień.
Dlaczego dostęp osób trzecich do strony WordPress może być konieczne?
Możemy rozpatrywać kilka scenariuszy, w których dostęp osoby trzeciej do zasobów panelu administratora jest konieczny. Być może zatrudniłeś agencję SEO, która musi zoptymalizować Twoją witrynę lub potrzebujesz programisty, aby naprawił problemy techniczne. Możesz także udzielić dostępu nowemu copywriterowi, pracownikowi Twojej firmy lub komukolwiek, kto będzie działał w witrynie WordPress i obsługiwał, chociażby firmowego bloga.
Nie obawiaj się powierzyć dostęp do witryny WordPress. Udzielenie dostępu do zaplecza WordPress jest niezbędne do współpracy i wydajnego przepływu pracy, ale musi być przeprowadzane z myślą o bezpieczeństwie, aby zapobiec nieupoważnionym zmianom lub naruszeniom danych.
Oczywiście, wiele czynności da się wykonać bez udzielania dostępu. Możesz, np. edytować treści w bazie danych MySQL lub instalować motywy WordPress za pomocą serwera FTP. I to również wymaga przyznania akcesu do innych zasobów, np. do panelu hostingu. Owa czynność z kolei może nieść jeszcze większe ryzyko, np. nieautoryzowanego dostępu do poczty e-mail.
Czego unikać przy udzielaniu dostępu do zaplecza WordPress?
Przyjmijmy, że podejmujesz współpracę z osobą z zewnątrz, nawet jeśli będzie to ktoś Ci bliski. Udostępniając stronom trzecim swój panel WordPress, należy unikać krytycznych błędów. Wybrałem kilka kluczowych błędów, jakie są zazwyczaj popełniane wraz z ich objaśnieniem. Spójrz:
- Używanie słabych haseł: Nigdy nie zmieniaj hasła do konta na słabsze dla wygody i nie twórz nowych użytkowników ze słabymi hasłami. Zawsze egzekwuj zasady dotyczące silnych haseł. Jeśli Tworzysz konto, ustal hasło oraz przekaż je użytkownikowi. Jeśli ma problem z jego zapamiętaniem, może użyć menedżera haseł. Wypracuj również u siebie nawyk używania silnych haseł dostępu.
- Udostępnianie własnych danych logowania: udostępnianie innym własnych danych logowania jest ryzykowne. Utrudnia to możliwość szybkiego cofnięcia dostępu w razie potrzeby i naraża witrynę na ryzyko. Ponadto zawsze przestrzegam, nie podaje się haseł dostępu do swoich kont, a większość wszelkiego rodzaju aplikacji webowych, jak WordPress, pozwala tworzyć konta dla wielu użytkowników.
- Niepotrzebne nadawanie pełnych uprawnień: Nie twórz kont użytkowników z pełnymi uprawnieniami administracyjnymi, chyba że jest to absolutnie konieczne. Stosuj zasadę najmniejszych uprawnień niezbędnych do pracy z witryną lub zabezpiecz się stosownymi umowami, kopią zapasową, a także monitoringiem zmian.
- Udzielanie dostępu do kont hostingowych: Unikaj udzielania dostępu do całego konta hostingowego, ponieważ obejmuje ono wszystkie usługi, które mogą nie być istotne dla konkretnego zadania, w tym dostęp do poczty e-mail, zarządzanie domenami, itp.. Rozważ ten krok, jeśli potrzebujesz pomocy z utworzeniem kopii zapasowej, ale możesz zlecić to też usługodawcy hostingu.
- Brak formalnych umów: Jeśli praca jest wykonywana przez firmę, upewnij się, że istnieje pisemna umowa określająca zakres prac, obowiązki i prawa dotyczące zawartości Twojej witryny.
Jak bezpiecznie przyznać dostęp do strony WordPress?
Dodanie nowego użytkownika i przypisanie roli
Aby dodać nowego użytkownika w WordPressie:
- Zaloguj się do swojego panelu administratora witryny WordPress. Jeśli robisz to pierwszy raz, sprawdź poradnik o logowaniu do wp-admin.
- Przejdź do sekcji Użytkownicy, a następnie Utwórz użytkownika.
- Wprowadź nazwę użytkownika, adres e-mail i inne wymagane informacje. Upewnij się, że używasz silnego, unikalnego hasła.
- Przypisz rolę: wybierz odpowiednią rolę z menu rozwijanego (administrator, redaktor, autor, współautor lub subskrybent). W przypadku większości zadań administracyjnych odpowiednia może być rola Edytora lub Administratora, ale wybierz najmniej uprzywilejowaną rolę, która spełnia ich potrzeby.
- Administrator: Pełny dostęp do wszystkich funkcji serwisu.
- Edytor: może zarządzać postami, stronami i komentarzami.
- Autor: Może pisać i publikować własne posty.
- Współautor: może pisać posty, ale nie może ich publikować.
- Abonent: może zarządzać tylko swoim profilem.
- Wyślij powiadomienie: Zaznacz opcję wysłania nowemu użytkownikowi danych logowania.
- Potwierdź klikając Utwórz użytkownika.
Jeśli zaznaczyłeś opcję wysyłania wiadomości e-mail z informacją o koncie, użytkownik sam ustali swoje hasło dostępu. Możesz także wprowadzić je ręcznie (lub za pomocą generatora) i przekazać mu to hasło.
Korzystanie z wtyczek do zaawansowanego zarządzania użytkownikami
W repozytorium WordPress znajdziesz także wiele darmowych wtyczek rozszerzających opcje tworzenia użytkowników w WordPress.
Wtyczki mogą zapewnić Ci szczegółową kontrolę nad rolami i uprawnieniami użytkowników. Na przykład wtyczka User Role Editor umożliwia szerokie dostosowywanie ról oraz możliwości, jakie każda rola daje. Możesz je personalizować, dostosowywać do swoich potrzeb, wręcz wskazywać pojedyncze elementy, do których użytkownik uzyska dostęp.
Kolejną przydatną wtyczką jest Tymczasowe logowanie bez hasła tj. Temporary Login Without Password, która umożliwia tworzenie kont z tymczasowym dostępem, które wygasają po określonym czasie, co zwiększa bezpieczeństwo.
Najlepsze praktyki dotyczące bezpiecznego dostępu
Wyżej wskazałem Ci najczęściej popełniane błędy oraz wyjaśnienie problemu wraz z rozwiązaniem. Podsumuję to dodatkowo kilkoma praktykami, które możesz wdrożyć już teraz, nie tylko w odniesieniu do przyszłych zleceń i osób trzecich, ale również na potrzeby funkcjonowania Twojej witryny WordPrress. Zobacz:
- Egzekwuj silne hasła: zawsze wymagaj silnych haseł i zachęcaj do korzystania z menedżerów haseł. Ponadto, w aplikacjach webowych nie powtarzaj haseł do różnych systemów. Wyciek danych, np. adresu e-mail i kodu dostępu, daje duże prawdopodobieństwo, że ktoś uzyska nieautoryzowany dostęp do innych kont, np. konta bankowego.
- Korzystaj z bezpiecznych przeglądarek i sieci VPN: upewnij się, że użytkownicy uzyskujący akces do Twojej witryny korzystają z bezpiecznych przeglądarek i, jeśli to możliwe, sieci VPN, aby chronić swoje połączenie.
- Jasno zdefiniuj obowiązki: Jasno określ obowiązki i zakres dostępu każdego użytkownika, aby zapobiec przypadkowym lub nieautoryzowanym zmianom. Czy to znajomy, czy pracownik w firmie, czy osoba trzecia, każdy z nich powinien wiedzieć, co może robić, a Ty musisz zdobyć narzędzia do monitorowania zmian.
- Monitoruj aktywność: zainstaluj wtyczki monitorujące aktywność, aby śledzić zmiany oraz działania podejmowane przez różnych użytkowników. W tym celu skuteczne są wtyczki takie jak „Dziennik aktywności WP”.
- Utwórz kopię zapasową swojej witryny: Przed udzieleniem dostępu zawsze utwórz kopię zapasową swojej witryny. Dzięki temu będziesz mógł przywrócić witrynę do poprzedniego stanu, jeśli coś pójdzie nie tak.
Dostęp do strony WordPress: podsumowanie
Jak widzisz, udzielenie dostępu do witryny WordPress jest niezbędną częścią rozwoju strony internetowej, ale także jej konserwacji i aktualizacji. Postępując zgodnie z najlepszymi praktykami, jak również korzystając z wbudowanych narzędzi i wtyczek WordPress, możesz mieć pewność, że Twoja witryna pozostanie bezpieczna, jednocześnie umożliwiając wydajną współpracę z osobami z zewnątrz. Zawsze pamiętaj o cofnięciu dostępu, gdy nie jest już potrzebny i monitorowaniu aktywności użytkowników, aby zachować kontrolę nad integralnością witryny. Powtórz te same czynności w odniesieniu do innych systemów jak np. dostępu do statystyk Google Analytics i Google Search Console lub zarządzania kontami w mediach społecznościowych.