WordPress教學:用戶帳號「角色與權限」說明

WordPress 網路內容管理系統(Content Management System, CMS)雖然常見於個人網誌、部落格(Blog)網站中使用,但 WP 其實早已內建有五種基本的用戶帳戶類型(Role)1,並針對個別類型的用戶提供不同程度的管理權限。

這五種帳戶類型分別是訂閱者(Subscriber)寫手(又稱投稿者,Contributor)作者(Author)編輯(Editor)以及管理員(Administer)。這項功能對於開放寫手進行多人作者的網站而言(現在還蠻流行的),免去了另外掛上使用者權限管理插件(Plugin)的麻煩。

雖然相對於 Joomla 與 Drupal 這類架站系統來說,WordPress 以一個最初是以部落格管理起家的系統而言,在使用者權限管理的應用上顯得相當陽春,幸好還是可以透過如下圖一的外掛插件(例如:Members)或是增添指令(例如:add role())達成多樣化的「角色與權限」設定應用。

WordPress-Role-Plugin-Members

Fig.1, WordPress 帳號權限管理插件 Members 示意圖。

如果你的網站打算走個人網誌的型態,其實不需要進行權限設定,因為你的帳號一定是擁有最大權限的管理者,在你自己的空間中想做什麼就做什麼。

不過即使是為了安全性的考量,我們也建議你再新增一個專門用來發表文章的帳號。一方面避免管理者帳號大辣辣地擺在檯面上,另一方面還是為了方便管理,例如:管理者帳號採用複雜密碼,發布文章的帳號採用簡單密碼,如此一來,以後在不同電腦寫文章時,就可以輕鬆的登入發文專用帳號(不然誰能記這麼多密碼)。

用戶帳號「角色與權限」說明

文章前面曾經提到 WordPress 預設的用戶類型共有五種,接下來將仔細跟大家介紹這五種的基本權限說明:

訂閱者(Subscriber)

訂閱者僅被賦予最少的角色權限,除了與未登入的觀眾一樣可以查看網站文章外,還能登入後台查看網站活動列表、迴響列表、WordPress 新聞列表,Jetpack 功能起的啟用狀態、以及修改個人資訊。

另外在 WordPress 預設的設定中,新註冊的使用者都會被歸類為訂閱者角色。

訂閱者本身的權限雖然不會對系統造成任何修改性的破壞,但是我個人建議如非必要,還是請務必關閉帳號註冊的功能,避免有心人能從些許的蛛絲馬跡並進行破壞。

請參閱下圖 Fig.2 所示,關於 WordPress 用戶權限的設定功能,可以在後台「設定」→「一般」中找到。如果你是剛架站的新站長,也請記得去檢查「任何人皆可註冊」選項是否已經取消。

WordPress-Roles-成員資格-新帳號預設角色

Fig.2, 一般設定可設定成員資格。

寫手、投稿者(Contributor)

寫手(又稱投稿者)身分的角色,除了擁有訂閱者的全部權限外,還可以在控制台中查看文章概況、查看全部文章與迴響(但無法編修或刪除)、可設定部分外掛插件(Plugin)及工具。

此外,寫手最大的特徵是已具備撰寫新文章的權限,但無法上傳媒體檔案(例如:Jpeg 影像),以彆需提交給更高權限的角色進行文章審查[Fig.3],無法直接發佈文章。

WordPress-Role-Contributor-New-Post-Submit

Fig.3, 送交審查按鈕

然而,投稿者的身分有點曖昧不明,雖然可以提交文章,但無法上傳檔案,卻又能查看許多站內資料,這有影響網站安全性之虞。例如外掛插件設計不良,很可能發生系統功能被亂動的窘境。我就曾發現有網站直接公布投稿者的帳密,希望網路作者自己登入並發表文章。如果你覺得有必要這樣做,我建議是重新建立一個新的投稿者身分,並將權限限縮於發表文章即可,最後再建立新身分跑一次後台查看是否有漏網之魚。

作者(Author)

其實前面兩個角色可說是「純服務」性質的存在,讓陌生使用者有像實習生的機會貼近網站。但是接下來這個角色「作者」就像是已經面試入公司的新員工,具備發佈文章所需要的所有權限,除了可以自由上傳媒體檔案、編修與刪除文章(僅限自己發表的文章)外,還可以直接發表文章。如果被垃圾廣告、郵件業者取得這個角色帳號,那麼你在一覺醒來後肯定會被自己網站爆增的文章數量嚇了一跳。

另外,這個角色除了可以更進一步設定部分外掛插件的功能外,還能在後台的「設定」的「分享」中,將帳號與 WordPress 官網進行連結,用以設定自己的宣傳方式。

編輯(Editor)

身為只比管理員小一階的編輯來說,主要的權限還是在內容本身。編輯比作者的權限更高一級,可以針對網站所有文章、媒體檔案以及迴響進行新增、編輯以及刪除的動作,甚至分類、標籤以及頁面都可以完全控制,掌管著內容管理網站最重要的核心價值。

換句話說,你必須用跟管理員相同的安全等級觀念在看待編輯這個角色,如果不是信任的朋友或同事,請勿隨便給予這個角色。

至於編輯在系統設定以及外掛插件部分,其實與作者、投稿者等角色沒有太大差異。

管理員(Administer)

最後一個,最重要、最容易理解也是最常見的角色自然就是管理員,擁有管理網站的全部權限,請務必參考另一篇文章《資訊安全: 設計一組好密碼 保護網路隱私與安全 (規則教學)2》的內容,設計出一組優質的複雜密碼,而且盡量不要在陌生電腦啟用這個角色的帳號。

  •  
  •  
  •  
  •  
  •  
  •  

說些什麼吧

您也許也會喜歡…