Gestión de usuarios en WordPress

Diógenes Mata

¿Qué es un usuario?, ¿Qué tipo de usuarios crear?, ¿Cómo personalizarlos?, ¿Qué perfil asignarles?, todas estas son preguntas que nos vienen a la mente cuando necesitamos crear, modificar y mantener seguros a los usuarios en WordPress.

En esta guía te responderé todas esas preguntas y muchas otras que debes conocer, para que puedas tener el control de tus usuarios, administrarlos de manera eficiente y no morir en el intento.

Conceptos básicos

Como toda guía que se precia de serlo 😆  debe comenzar por lo básico, y eso son las definiciones en la gestión de usuarios.

Un usuario en el sentido general de la informática, es aquel que tiene acceso a hacer determinadas cosas en un programa, bien sean usuarios de carne y hueso o digitales. En WordPress llamamos “usuario” a las personas que tienen permisos otorgados por el administrador (Dios dentro de WordPress 😎 ) para realizar determinadas tareas.

El administrador en WordPress es otro usuario, pero con todos los permisos que pueda tenerse.

Cuando instalamos el WordPress por primera vez creamos el usuario administrador, con el cual podremos delegar roles a los otros que creemos posteriormente.

Los roles o perfiles es la agrupación de permisos que puede realizar un usuario: una o muchas, dependiendo de lo que asigne el administrador.

Un ejemplo de estos permisos es la edición de artículos, instalación de plugins, moderar comentarios, edición de artículos de otros usuarios, entre muchos otros. Un usuario tiene un perfil, que a su vez tiene permisos otorgados.

Un detalle importante, es que los perfiles de los usuarios pueden ser cambiados por el administrador en cualquier momento, tanto para extender sus permisos como para limitarlos. Así como también su eliminación cuando así lo considere.

Perfiles en WordPress

De manera predeterminada WordPress tiene cinco perfiles, los cuales son:

  • Suscriptor: estos  usuarios en WordPress son los básicos, pueden modificar las información de su perfil y publicar comentarios en WordPress.
  • Colaborador: tiene permiso para agregar y editar entradas, pero no publicarlas.
  • Autor: además de agregar y editar sus entradas, tiene los permisos para publicarlos.
  • Editor: puede agregar, editar y publicar entradas propias y de otros usuarios dentro del WordPress.
  • Administrador: tiene todos los permisos habilitados para gestionar íntegramente el sitio web.

Para crear un nuevo usuario, entra como administrador y vamos a Usuarios > Añadir nuevo. Aquí deberás rellenar los campos que se presentar, y asignar un perfil de acuerdo a las necesidades.

agregar usuario en wordpress

Te recomiendo por motivos de seguridad coloques un nombre de usuario que se diferencie notablemente del nombre del perfil para no revelar a personas indeseables 😈 esta información. Los atacantes saben que muchas veces (más de las que crees  😕 ) se colocan los mismos, por lo tanto si conocen tu nombre ya pueden saber tu usuario.

Es también una buena práctica no usar el usuario administrador como autor de tus entradas. Crea un usuario Autor o Editor para este fin. El usuario administrador debe estar lo menos expuesto que se pueda al publico general.

Tip
Por defecto WordPress usa el sistema de Gravatar para la imagen a mostrar en los perfiles. Debes estar suscrito previamente con el correo que colocas en el perfil para que tome dicha imagen en WordPress.

Si desees agregar tu propia imagen saltándote este sistema, instala el plugin WP User Avatar. Tiene muchas opciones y es muy flexible. Agrega un botón en la administración del perfil permitiendo un avatar personalizado.

 

Editando los perfiles de usuarios en WordPress

Para editar los perfiles debes ir a Usuarios > Todos los usuarios, haz clic en el nombre del usuario para modificarlo.

En esta pantalla puedes editar casi toda la información, a excepción del nombre de usuario en WordPress (más adelante en esta guía te enseño como cambiarlos).

Te recomiendo actualices los datos de las redes sociales, ya que son una conexión básica con tus visitantes y seguidores. También tener una Información biográfica atractiva vale su peso en oro; esto muestra quién eres en unas pocas palabras.

Lo anterior, es especialmente útil si usas un Widget o plugin que muestra dicha información en las entradas. El Author Bio Box es un ejemplo de ellos.

Cambiando los perfiles predeterminados

user roler editor

A muchos les será suficiente con los perfiles predeterminados de usuarios en WordPress. Pero si deseas agregar usuarios personalizados de acuerdo a tus necesidades específicas el plugin User Role Editor será tu aliado.

Con él podrás asignar o retirar los permisos a los usuarios según queramos sin las restricciones de los perfiles predeterminados.

Quiéres crear un perfil Colaborador con la capacidad adicional de actualizar plugins: Hecho, con este plugin es posible 😉 ; el cielo y WordPress es el límite.

Seguridad en la gestión de usuarios de WordPress

La seguridad de los usuarios de WordPress es un tema importante, ya que una de las formas más utilizadas por los atacantes para tener acceso a tu sitio web es, a través de los usuarios. Para ello necesitan dos cosas: nombre de usuario y la clave de acceso.

Una forma sencilla de conocer el nombre del usuario administrador es, colocando en la barra de dirección: www.tudominio.com/?author=1 y ejecutarlo, esta acción mostrará en la misma barra de dirección el nombre del mismo.

barra direccion autor

Esto se debe a que WordPress asigna de manera predeterminada la id=1 al usuario administrador. De esta forma un posible atacante ya tendría gran parte del trabajo ganado para poder acceder a tu sitio.

Para solucionar esto, existen muchas maneras, para mí la más efectiva es cambiando el valor de la columna user_nicename en la base de datos para hacerlo distinto a user_login que por defecto son iguales, siendo este último el que sirve para acceder al WordPress.

Igualmente es importante que el nombre de usuario administrador  sea distinto a “admin”. Por defecto los atacantes intentarán loguearse con él, ya que conocen este truco.

Modificando la base de datos

Podemos hacer estos dos cambios modificando los valores en la base de datos. Has una copia de la base de datos antes de proceder.

  1. Entra al phpMyAdmin de tu servidor. Si usas cPanel encontrarás un acceso en la administración del mismo.
  2. Selecciona la base de datos de tu sitio web en el menú a la izquierda.
  3. En el menú desplegable selecciona la tabla wp_users. A la derecha te aparecerán los usuarios que tengas en WordPress. (El prefijo wp_ es por defecto del WordPress, si lo cambiaste por uno distinto en la instalación, verás éste en su lugar)
  4. Dale clic a Editar (icono lápiz) al usuario administrador el cual debes identificar por el nombré del usuario (lo observas en la columna user_login).
  5. En el caso de que tu nombre de usuario en WordPress sea: admin, en la columna que pone user_login, reemplázalo por el nombre que quieras en el valor respectivo (sin espacios ni caracteres especiales).
  6. Ahora vamos a la columna que pone user_nicename: por un nombre distinto al valor de user_login (sin espacios ni caracteres especiales).
  7. Para finalizar haz clic en Continuar para que se guarden los cambios.

editando perfil phpmyadmin

Has esto con cada uno de los usuarios con perfil con permisos de al menos edición de entradas.

Con estos cambios, si intentan conocer el nombre de usuario con el truco anterior, les mostrará el nombre falso asociado al campo user_nicename, el cual no tendría nada que ver con el nombre de usuario real, que también sería distinto a admin :mrgreen: .

Importante
La seguridad de los usuarios en WordPress depende de muchos factores, pero el más importante es una clave de acceso fuerte. Debe tener al menos 10 dígitos, conformado por una mezcla de minúsculas, mayúsculas, números y caracteres especiales como la coma y el punto.

Administración temporal

Las cuentas de administración no deben ser cedidas a terceros distintos al administrador(es) del sitio, ya que corres el riesgo de muchos problemas. Es como darle las llaves de tu casa a desconocidos.

Pero existen situaciones en lo que esto puede ser necesario. Un ejemplo de esto es, cuando necesitas soporte especializado por parte de tu hosting, ya que muchas veces requieren acceder a tu WordPress y hacer cambios que permitan solventar un problema grave.

Otro ejemplo es cuando tomes unas vacaciones (cuanto nos gusta 😀 ) y necesites dejar alguien que monitoree tu sitio web.

Para estas situaciones puedes usar el plugin Support Me. Con él podrás crear cuentas de administración que expiran en un tiempo determinado, al cabo de lo cual se borrarán.

Cuando creas la cuenta temporal te muestra un link único que entregarás a la persona para que pueda acceder a través de ella y le permita colocar su clave de acceso. Después de lo cual dejará de estar disponible.

Es un plugin muy recomendable para situaciones como las anteriores y sobre todo por la que no deberás pagar nada, ya que es gratuita.

De todas maneras úsala con cuidado y no abuses de ella, en mi opinión debe ser usada en situaciones excepcionales.

La mejor administración en WordPress es la que hace su propio creadorHaz click para twittear

Con esto finalizamos esta guía, espero haya sido de ayuda. Comparte tus opiniones es la caja de comentarías, sabes que me encantan 😳 . Saludos.

Califica este articulo

2 comentarios en “Gestión de usuarios en WordPress”

  1. Hola, amigo. Estoy por contratar a un freelancer de workana.com. Le tendría que dar acceso de administrador verdad? Por cuestiones de seguridad puedo hacer algo si las intenciones de él son otras?

    Espero tu respuesta y recomendaciones.

    • Hola Luis. Disculpa la tardanza en responder, pero había caído en spam tu comentario.
      Con Support Me puedes crear un usuario administrador temporal sin que el pueda modificar el tuyo. Respalda antes por si surge algún problema.
      Saludos.

Deja un comentario

El responsable de este sitio web es Diógenes Mata. La finalidad de los datos es gestionar los comentarios en este blog. El destinatario (donde se almacenan los datos) es el hosting de este blog: Banahosting, ubicado en EEUU. La legitimidad es el consentimiento que otorgas en el formulario. Tienes derecho a acceder, rectificar, limitar y suprimir tus datos según la política de privacidad.