Всем привет! В этой статье речь пойдет о роли пользователей WordPress, иными словами о правах пользователей в группах. Что каждый из них умеет и как настроить права доступа.
Прежде чем заняться настройками прав пользователей WordPress, давайте разберемся, как эти самые новые пользователи могут создаваться.
Способ №1
Разрешить читателям регистрироваться на блоге. Это можно сделать в разделе «Общие настройки»:
Поставьте галочку напротив «Любой может зарегистрироваться» и выберете роль пользователя WordPress, то есть к какой группе будет относится зарегистрированный на блоге читатель.
Способ №2
В ручную создавать нового пользователя. Для этого необходимо воспользоваться разделом админки WordPress «Пользователи» — «Добавить нового»:
Обязательными являются только поля Имя, Email и пароль. Внизу не забудьте выбрать для него роль.
Теперь давайте разбираться с правами и возможностями стандартных ролей, которые имеются в WordPress по умолчанию.
Стандартные группы пользователей (роли) и их права доступа
Подписчик
Самое бесправное из всех зарегистрированных «существ» в WP. Имеет доступ только к настройкам своего профиля.
Если в WordPress установлен , то простой подписчик имеет доступ ко всем его настройкам. Это, конечно, баг плагина и очень неприятный. Поэтому советую, при его использовании запретить регистрацию новых пользователей на блоге.
Участник
Помимо редактирования своего профиля участник умеет:
- Просматривать заголовки имеющихся на блоге записей, включая те, которые еще не опубликованы. При этом только заголовки, заглядывать в содержимое запрещено.
- Писать статьи и отправлять на утверждение администратору.
- Просматривать комментарии, но редактировать их нельзя.
- Если на блоге имеется , то участник может посмотреть код обратной связи, который можно добавить в статью.
Автор
- Может самостоятельно публиковать статьи без одобрения администратора.
- Добавлять медиа-файлы в WordPress.
- Если имеется , то он предоставляет возможность загружать разного рода файлы на сервер.
Редактор
Редактор имеет все права связанные с публикацией и редактированием материалов сайта. Настройки самой админки WP и большинства плагинов ему не доступны. И так, пряники редактора:
- Возможность публиковать записи и страницы на блоге, а также изменять уже существующие.
- Создавать категории, метки и внешние ссылки.
- Полный контроль над комментариями — удаление/создание/редактирование.
- Помимо упомянутых выше, какие еще плагины доступны (из замеченных мной): Contact Form 7 — теперь все настройки формы обратной связи; FV Gravatar Cache — настройки кэширования аватар в комментариях; Subscribe To Comments — подписка на новые комментарии; WP-Filebase — теперь загружаемые файлы можно группировать по рубрикам.
Администратор
Админ может все!!!
Создание и редактирование ролей пользователей
Что делать, если необходимо расширить функции какой-то роли, наделить ее дополнительными правами? На помощь приходит плагин User Role Editor , который позволяет редактировать права существующих ролей и создавать новые.
Плагин устанавливается стандартно:
- распакуйте архив в текущую директорию и полученную папку загрузите на сервер в каталок wp-content/plugins, используя ;
- зайдите в раздел «Плагины» админки WordPress, найдите и активируйте User Role Editor.
Настройки плагина доступны по адресу «Пользователи» — «User Role Editor». Радует, что они польностью на русском языке! В первом поле можно отредактировать права для уже существующих ролей.
Порядок действий таков:
- выбираем роль, которую хотим отредактировать;
- ставим галочку напротив Показ возможностей в читабельной форме для лучшего восприятия списка доступных функций;
- галочками отмечаем нужные права и сохраняем настройки.
Можно добавить новую роль. Для этого воспользуемся одноименной опцией:
Имя должно быть вписано латинскими буквами. Часть прав можно взять от стандартных ролей. После создания галочками отмечаем доступные возможности и сохраняем настройки.
Еще такой момент. Некоторые плагины добавляют свои функции. На скриншоте можно заметить нестандартные функции от , отвечающего за создание галерей, альбомов и лайтбоксов для картинок, и от
Возникала ли у вас когда-нибудь необходимость разрешить регистрацию пользователей на своем WordPress сайте, не предоставляя при этом доступа к консоли? Когда пользователь создает аккаунт в ВП, он получает доступ к админке, также известной как Консоль. В этой статье мы покажем вам как ограничить доступ к консоли в WordPress.
Зачем ограничивать доступ к консоли?
Доступ в админку должны иметь только те пользователи, которым вы доверяете. Если у вас на сайте несколько авторов, тогда доступ получат редакторы и участники, но не подписчики.
Даже если вы решите кому-то предоставить доступ в консоль, вы всё также сможете контролировать то, что они смогут или не смогут видеть в консоли. Это мы обсудим позже.
Ограничиваем доступ к Консоли в WordPress
Первым делом вам потребуется установить и активировать плагин Remove Dashboard Access . После активации переходим в Настройки » Dashboard Access для настройки плагина.
Плагин Dashboard Access позволяет вам выбирать роли пользователей, которые могут получать доступ в консоль. Можно выбрать администраторов, редакторов и администраторов, или же авторов, редакторов и администраторов.
В качестве альтернативы, можете ограничить доступ по возможностям. Возможности — это действия, которые пользователь может совершать на вашем сайте.
Если вы хотите разрешить пользователям редактировать профили, тогда нужно отметить галочку рядом с «user profile access». Однако, если выбрать эту опцию, то отключится функция перенаправления. Плагин будет перенаправлять пользователей на страницу редактирования профиля вместе адреса, указанного вами ранее.
Не забудьте нажать на кнопку сохранения изменений.
Вот и все. Теперь только пользователи с выбранной вами ролью или возможностями смогут получить доступ к консоли WordPress.
Скрываем элементы в админке WordPress
Иногда может потребоваться ограничить видимость определенных элементов в админке.
Вы можете скрывать и контролировать то, что пользователь видит в консоли. Сделать это можно с помощью плагина Adminimize, о котором мы писали ранее.
Защищаем папку wp-admin с помощью.htaccess
Еще одним способом защитить админ.директорию WordPress — это добавить дополнительный слой безопасности с помощью пароля. Этот способ будет запрашивать у пользователя логин и пароль, прежде чем они смогут войти в wp-admin.
Однако, здесь не будет пользовательского интерфейса для контроля того, какие именно пользователи смогут получить доступ в админку. Если вы единственный автор на сайте, или у вас крайне небольшое количество пользователей, тогда можно воспользоваться этим способом.
Мы надеемся, что эта статья помогла вам ограничить доступ к консоли WordPress.
По всем вопросам и отзывам просьба писать в комментарии ниже.
Не забывайте, по возможности, оценивать понравившиеся записи количеством звездочек на ваше усмотрение.
Здравствуйте, уважаемые читатели!
В сегодняшней статье мы рассмотрение особенностей входа в админку WordPress, а точнее, ее защите.
Нам осталось рассмотреть три вопроса:
- Защита админки от брутфорс-атак;
- Ограничение входа с помощью блокировки ip -адреса;
- Смена логина и пароля через php MyAdmin .
Защита админки от брутфорс-атак.
Брутфорс-атаки – это метод взлома сайта подбором логина и пароля. Конечно, такой взлом осуществляет не конкретный человек. Перебирать тысячи вариантов логинов и паролей под силу только компьютерной программе, которая может работать быстро и не имеет ограничений по времени. Такая программа, установленная на каком-то удаленном компьютере, может непрерывно «стучаться» в админку вашего сайта, пробуя различные варианты.
Используя специальные плагины, можно ограничить количество таких попыток. Для таких целей можно использовать плагин Limit Login Attempts .
Каковы его возможности?
Во-первых, после нескольких неправильных попыток входа с некоторого ip-адреса, этот адрес блокируется на заданное время. Во-вторых, если после этого неправильные попытки продолжаются, то этот адрес блокируется окончательно. Вы можете настроить и количество неправильных попыток и время блокировки.
Плагин Limit Login Attempts используется очень широко, несмотря на то, что он давно не обновлялся.
Но такими же функциями обладают и некоторые другие плагины. Например, плагин , о котором я уже писал. (Скачать руководство по его настройке можно ). Этот универсальный плагин имеет более 30 функций для защиты сайта на WordPress, в том числе и ограничение попыток входа в админку.
Еще один плагин, ограничивающий вход в админку WordPress – Однако его недостатком считается то, что он слишком нагружает сервер. Его лучше использовать периодически для проверки сайта, а не постоянно.
Ограничение входа с помощью блокировки ip-адреса.
Еще один метод, с помощью которого админка WordPress защищается от посторонних посетителей, использует блокировку ip-адресов.
Каждый компьютер в сети имеет свой уникальный ip-адрес, состоящий из четырех чисел, разделенных точками, и вы можете запретить вход в админку WordPress со всех ip-адресов, кроме своего. Этот способ немного сложней, чем простое использование плагинов. Для его применения нужно уметь работать с файлами на вашем сервере.
Во-первых, сначала нужно узнать свой ip-адрес. Для этого можно воспользоваться онлайн-сервисом 2ip.ru .
Во-вторых, создать файл .htaccess в папке wp-admin .
В-третьих, в этом файле прописать следующий текст:
| 1 2 3 | Order deny, allow Deny from all Allow from ***.***.***.***, |
Order deny,allow Deny from all Allow from ***.***.***.***,
где вместо звездочек ставится ваш ip-адрес. Обратите внимание, слова «deny,allow» пишутся без пробела.
Этот файл можно создать с помощью онлайн-редактора, обычно предоставляемого хостингом, или сначала создать его на своем компьютере с помощью текстового редактора Notepad++, и потом закачать на сервер.
Однако этот способ не всегда применим в полной мере. Дело в том, что ip-адреса бывают статические и динамические. Если у вас адрес статический, то есть не меняется со временем, вы его прописываете в файл .htaccess и тем самым закрываете вход в админку для посторонних. Но чаще всего интернет-провайдеры предоставляют пользователям динамические ip-адреса, которые изменяются при каждом новом подключении. Что же делать в этом случае? Обычно провайдеры имеют определенный диапазон ip-адресов, образующий свою подсеть. Ее мы можем оставить открытой, а остальные адреса заблокировать. Для этого в файл .htaccess вписываем только первые два числа ***.***. с точками из определенного вами ip-адреса.
Смена логина и пароля через php MyAdmin.
Логин и пароль для входа в админку WordPress хранятся в базе данных вашего сайта, и изменить их можно с помощью программы php MyAdmin, которая служит для управления БД.
Для того чтобы это сделать, нужно зайти в панель управления вашим аккаунтом на хостинге. Эти панели на разных хостингах выглядят по разному, но всегда есть пункт php MyAdmin
.
Щелкнув на нем, мы попадаем в панель управления базами данных. Выбираем вкладку Базы данных, в списке баз находим свою и открываем ее.
Кстати, если вы не знаете название вашей БД, или для входа в нее от вас потребуют пароль, их предварительно можно найти в файле wp-config.php, находящемся в корневой папке сайта на сервере.
База данных состоит из нескольких таблиц, среди которых находим ту, в которой хранятся логин и пароль. По умолчанию она называется wp-users
, но если вы каким-то образом, например, с помощью плагина iThemes Security
, изменяли префикс, то вместо wp
будет другой набор символов.
После открытия этой таблицы вы увидите логин и пароль. 
Не удивляйтесь, что вместо известного вам пароля будет другой. Дело в том, что в базе пароль хранится в зашифрованном виде. Теперь вы можете изменить свои данные. Для этого щелкаем на кнопке Изменить
и в поле логин
вводим новое имя. 
Прежде чем вводить пароль, в выпадающем списке перед паролем нужно выбрать MD5
для того, чтобы новый пароль был также зашифрован. После этого сохраняем изменения и пробуем войти в админку WordPress с новыми данными.
На этом пока заканчиваю. В следующей статье будет краткий обзор админ-панели WordPress. Подпишитесь на обновления блога , чтобы не пропустить ее и последующие материалы.
Напишите, была ли статья полезной для вас. Поделитесь с другими, используя кнопки социальных сетей.
Добрый день дорогие читатели! После диких выходных, хочется сказать «Спасибо, что живой». Об этом будет отдельная статья, поскольку я чуть не утонул на соревнованиях.
Ну да ладно, об этом не сейчас. Сегодня для вас дорогие читатели моего блога я заготовил следующую статью, которая называется как ограничить доступ к админке сайта wordpress.
Вы когда нибудь хотели предоставить регистрацию пользователя на сайте wordpress, при этом не давая доступ к админке? Когда юзер создает аккаунт на вордпресс, он получает права к панели администратора wordpress. В этой статье мы расскажем как закрыть доступ к админке сайта на wordpress.
Зачем ограничивать доступ к панели администратора wordpress?
Только особые пользователи, которым вы доверяете должны иметь привелегии к святая святых вашего сайта. Если вы запускаете много авторский блог, то вы можете разрешить делать изменения штатным редакторам и, возможно, вашим сотрудникам, но никак ни подписчикам.
Даже когда вы даете некоторым пользователям доступ к админке вашего блога, вы все еще можете контролировать то, что они могут или не могут видеть в ней. Мы обсудим это чуточку позже.
Ограничение доступа к админке сайта wordpress
Первая вещь, которую вам нужно сделать — это установить и активировать специальный плагин Remove Dashboard Access. После активации вам нужно будет перейти во вкладку Настройки — > Конфигурации Remove Dashboard Access
Данный плагин позволяет выбрать пользовательские привилегии для доступа к . Вы можете назначить администраторов, редакторов, авторов.
Кроме того, вы можете ввести ограничения на различные действия ваших пользователей. Под этим понимается то, что вы можете контролировать различные активности ваших подписчиков, у которых есть доступ к «сердцу» вашего сайта. Вы можете добавлять и удалять новые роли для своих авторов.
Следующая опция это выбор перенаправления URL. Она позволяет перенаправлять «запрещенных» или «отключенных» пользователей на различные страницы сайта. Стоит ему только войти в раздел, доступ который для него ограничен, его сразу же перенаправят на любую заданную в настройках страницу.
Если вы хотите, чтобы пользователи сами редактировали и изменяли свои профили, то вам необходимо установить флажок рядом с «Доступ профиля пользователя». Теперь все пользователи, которые были в статусе «запрещенных» будут перенаправляться на страницу редактирования своего профиля, вместо обычного перенаправления на страницы сайта.
Если вас все устраивает, то нажимайте на «Сохранить изменения».
Вот и все. Теперь все ваши пользователи с выбранными привилегиями имеют возможность доступа к админке wordpress.
Прячем элементы в админке в wordpress
Иногда вы можете ограничить то, что пользователь видит и может редактировать в консоли администратора.
Соответственно, вы можете прятать отдельные элементы и контролировать то, что юзеры могут видеть в админке сайта. Скрыть ненужные элементы вы можете через плагин Adminimize.
Об этом плагине мы поговорим в ближайшей статье.
Спасибо за внимание.
Обычно посетители на сайте, это желанные люди. Но бывают ситуации, когда нужно ограничить доступ к сайту. Сделать его для избранных)) Давайте посмотрим, как можно это реализовать.
Для чего вообще нужно делать подобные ограничения? Это могут быть разные причины. Например, сайт только в разработке, но при этом, вы не хотите, чтобы его даже случайно увидели раньше времени. Да, можно закрыть индексацию, но это не выход, если знаете адрес сайта, то на него все равно можно попасть.
Другой причиной закрытия сайта, это использование его по типу частного, закрытого клуба. Администратор регистрирует пользователей, дает им пароли, после чего, пользователи смогут заходить на сайт. Это удобно, если создаете платный сайт. Размещаете нужную информацию на сайте, например, уроки чего-либо, человек вам оплачивает членство на сайте, и он получает доступ к сайту.
Но как это сделать?
Плагин Restricted Site Access
Для этого, вам нужно скачать плагин Restricted Site Access с официального репозитория плагинов WordPress. Проще говоря, вам нужно зайти в меню плагины, и добавить новый.
После чего, нужно ввести в поиск название плагина — Restricted Site Access, установить и активировать его.
А теперь перейдем к настройкам. К сожалению, у плагина нет русского языка, поэтому, позвольте мне объяснить, как пользоваться этим плагином. Для начала, нужно зайти в настройки. Но настройки плагина, находятся не в совсем обычном месте. Для настройки, нужно зайти в меню Настройки на левой панели управления сайтом, и выбрать пункт Чтение .
Теперь, в настройках видимости сайта, появился третий выбор: Restrict site access to visitors who are logged in or allowed by IP address , что в переводе означает примерно следующее, «Ограничить доступ к сайту незарегистрированным посетителям или по IP адресу» .
После выбора этого пункта, у вас откроется еще один небольшой раздел. Вот он.
И вот что они означают.
Ну и наконец, есть пункт Unrestricted IP addresses (разрешенные IP адреса). Если у вас есть постоянный IP адрес, то вы можете его ввести, после чего, все остальные посетители, не смогут заходить на сайт. Можно добавить несколько адресов (точное количество я не знаю), можно задать определенный набор адресов. То есть, теоретически, можно ограничивать доступ по IP адресам целых стран.
Заключение.
Как видите, ограничить сайт на WordPress от нежеланных посетителей, можно очень даже легко. Достаточно установить один плагин, и сделать простейшие его настройки. Если вы вдруг сами себя заблокировали, то вам достаточно зайти в админку сайта (обычно расположенную по адресу: moysite.ru/wp-admin) и изменить настройки.
Также нужно иметь ввиду: Restricted Site Access не является плагином по безопасности. Устанавливая его, вы лишь ограничиваете доступ к сайту посетителям. Но никакой защиты непосредственно от взлома, плагин не дает. Для этого есть другие плагины и методы защиты, но об этом, я поговорю в другой раз.