¿Qué es un usuario?, ¿Qué tipo de usuarios crear?, ¿Cómo personalizarlos?, ¿Qué perfil asignarles?, todas estas son preguntas que nos vienen a la mente cuando necesitamos crear, modificar y mantener seguros a los usuarios en WordPress.
En esta guía te responderé todas esas preguntas y muchas otras que debes conocer, para que puedas tener el control de tus usuarios, administrarlos de manera eficiente y no morir en el intento.
Contenido del post
Conceptos básicos
Como toda guía que se precia de serlo 😆 debe comenzar por lo básico, y eso son las definiciones en la gestión de usuarios.
Un usuario en el sentido general de la informática, es aquel que tiene acceso a hacer determinadas cosas en un programa, bien sean usuarios de carne y hueso o digitales. En WordPress llamamos “usuario” a las personas que tienen permisos otorgados por el administrador (Dios dentro de WordPress 😎 ) para realizar determinadas tareas.
El administrador en WordPress es otro usuario, pero con todos los permisos que pueda tenerse.
Cuando instalamos el WordPress por primera vez creamos el usuario administrador, con el cual podremos delegar roles a los otros que creemos posteriormente.
Los roles o perfiles es la agrupación de permisos que puede realizar un usuario: una o muchas, dependiendo de lo que asigne el administrador.
Un ejemplo de estos permisos es la edición de artículos, instalación de plugins, moderar comentarios, edición de artículos de otros usuarios, entre muchos otros. Un usuario tiene un perfil, que a su vez tiene permisos otorgados.
Un detalle importante, es que los perfiles de los usuarios pueden ser cambiados por el administrador en cualquier momento, tanto para extender sus permisos como para limitarlos. Así como también su eliminación cuando así lo considere.
Perfiles en WordPress
De manera predeterminada WordPress tiene cinco perfiles, los cuales son:
- Suscriptor: estos usuarios en WordPress son los básicos, pueden modificar las información de su perfil y publicar comentarios en WordPress.
- Colaborador: tiene permiso para agregar y editar entradas, pero no publicarlas.
- Autor: además de agregar y editar sus entradas, tiene los permisos para publicarlos.
- Editor: puede agregar, editar y publicar entradas propias y de otros usuarios dentro del WordPress.
- Administrador: tiene todos los permisos habilitados para gestionar íntegramente el sitio web.
Para crear un nuevo usuario, entra como administrador y vamos a Usuarios > Añadir nuevo. Aquí deberás rellenar los campos que se presentar, y asignar un perfil de acuerdo a las necesidades.
Te recomiendo por motivos de seguridad coloques un nombre de usuario que se diferencie notablemente del nombre del perfil para no revelar a personas indeseables 😈 esta información. Los atacantes saben que muchas veces (más de las que crees 😕 ) se colocan los mismos, por lo tanto si conocen tu nombre ya pueden saber tu usuario.
Es también una buena práctica no usar el usuario administrador como autor de tus entradas. Crea un usuario Autor o Editor para este fin. El usuario administrador debe estar lo menos expuesto que se pueda al publico general.
Si desees agregar tu propia imagen saltándote este sistema, instala el plugin WP User Avatar. Tiene muchas opciones y es muy flexible. Agrega un botón en la administración del perfil permitiendo un avatar personalizado.
Editando los perfiles de usuarios en WordPress
Para editar los perfiles debes ir a Usuarios > Todos los usuarios, haz clic en el nombre del usuario para modificarlo.
En esta pantalla puedes editar casi toda la información, a excepción del nombre de usuario en WordPress (más adelante en esta guía te enseño como cambiarlos).
Te recomiendo actualices los datos de las redes sociales, ya que son una conexión básica con tus visitantes y seguidores. También tener una Información biográfica atractiva vale su peso en oro; esto muestra quién eres en unas pocas palabras.
Lo anterior, es especialmente útil si usas un Widget o plugin que muestra dicha información en las entradas. El Author Bio Box es un ejemplo de ellos.
Cambiando los perfiles predeterminados
A muchos les será suficiente con los perfiles predeterminados de usuarios en WordPress. Pero si deseas agregar usuarios personalizados de acuerdo a tus necesidades específicas el plugin User Role Editor será tu aliado.
Con él podrás asignar o retirar los permisos a los usuarios según queramos sin las restricciones de los perfiles predeterminados.
Quiéres crear un perfil Colaborador con la capacidad adicional de actualizar plugins: Hecho, con este plugin es posible 😉 ; el cielo y WordPress es el límite.
Seguridad en la gestión de usuarios de WordPress
La seguridad de los usuarios de WordPress es un tema importante, ya que una de las formas más utilizadas por los atacantes para tener acceso a tu sitio web es, a través de los usuarios. Para ello necesitan dos cosas: nombre de usuario y la clave de acceso.
Una forma sencilla de conocer el nombre del usuario administrador es, colocando en la barra de dirección: www.tudominio.com/?author=1 y ejecutarlo, esta acción mostrará en la misma barra de dirección el nombre del mismo.
Esto se debe a que WordPress asigna de manera predeterminada la id=1 al usuario administrador. De esta forma un posible atacante ya tendría gran parte del trabajo ganado para poder acceder a tu sitio.
Para solucionar esto, existen muchas maneras, para mí la más efectiva es cambiando el valor de la columna user_nicename en la base de datos para hacerlo distinto a user_login que por defecto son iguales, siendo este último el que sirve para acceder al WordPress.
Igualmente es importante que el nombre de usuario administrador sea distinto a “admin”. Por defecto los atacantes intentarán loguearse con él, ya que conocen este truco.
Modificando la base de datos
Podemos hacer estos dos cambios modificando los valores en la base de datos. Has una copia de la base de datos antes de proceder.
- Entra al phpMyAdmin de tu servidor. Si usas cPanel encontrarás un acceso en la administración del mismo.
- Selecciona la base de datos de tu sitio web en el menú a la izquierda.
- En el menú desplegable selecciona la tabla wp_users. A la derecha te aparecerán los usuarios que tengas en WordPress. (El prefijo wp_ es por defecto del WordPress, si lo cambiaste por uno distinto en la instalación, verás éste en su lugar)
- Dale clic a Editar (icono lápiz) al usuario administrador el cual debes identificar por el nombré del usuario (lo observas en la columna user_login).
- En el caso de que tu nombre de usuario en WordPress sea: admin, en la columna que pone user_login, reemplázalo por el nombre que quieras en el valor respectivo (sin espacios ni caracteres especiales).
- Ahora vamos a la columna que pone user_nicename: por un nombre distinto al valor de user_login (sin espacios ni caracteres especiales).
- Para finalizar haz clic en Continuar para que se guarden los cambios.
Has esto con cada uno de los usuarios con perfil con permisos de al menos edición de entradas.
Con estos cambios, si intentan conocer el nombre de usuario con el truco anterior, les mostrará el nombre falso asociado al campo user_nicename, el cual no tendría nada que ver con el nombre de usuario real, que también sería distinto a admin .
Administración temporal
Las cuentas de administración no deben ser cedidas a terceros distintos al administrador(es) del sitio, ya que corres el riesgo de muchos problemas. Es como darle las llaves de tu casa a desconocidos.
Pero existen situaciones en lo que esto puede ser necesario. Un ejemplo de esto es, cuando necesitas soporte especializado por parte de tu hosting, ya que muchas veces requieren acceder a tu WordPress y hacer cambios que permitan solventar un problema grave.
Otro ejemplo es cuando tomes unas vacaciones (cuanto nos gusta 😀 ) y necesites dejar alguien que monitoree tu sitio web.
Para estas situaciones puedes usar el plugin Support Me. Con él podrás crear cuentas de administración que expiran en un tiempo determinado, al cabo de lo cual se borrarán.
Cuando creas la cuenta temporal te muestra un link único que entregarás a la persona para que pueda acceder a través de ella y le permita colocar su clave de acceso. Después de lo cual dejará de estar disponible.
Es un plugin muy recomendable para situaciones como las anteriores y sobre todo por la que no deberás pagar nada, ya que es gratuita.
De todas maneras úsala con cuidado y no abuses de ella, en mi opinión debe ser usada en situaciones excepcionales.
[clickToTweet tweet=”La mejor administración en WordPress es la que hace su propio creador” quote=”La mejor administración en WordPress es la que hace su propio creador”]Con esto finalizamos esta guía, espero haya sido de ayuda. Comparte tus opiniones es la caja de comentarías, sabes que me encantan 😳 . Saludos.
Fundador de VivaBlogger y cofundador de EVirtualplus. Soy un tecnomaniaco desde que estaba en pañales. Mi familia es el fundamento de mi vida. Sígueme en mis redes sociales.
Hola
Les escribo para saber si este plugin
toma el registro de las paginas que visita el usuario registrado
en mi caso ese seria un “cliente” y necesito eso para que en un futuro me contacte con el y charlar sobre lo que visito
si no es asi, tienen algun plugin para recomendarme?
Prueba este plugin Martin: User Activity Tracking and Log
Saludos.
Hola, amigo. Estoy por contratar a un freelancer de workana.com. Le tendría que dar acceso de administrador verdad? Por cuestiones de seguridad puedo hacer algo si las intenciones de él son otras?
Espero tu respuesta y recomendaciones.
Hola Luis. Disculpa la tardanza en responder, pero había caído en spam tu comentario.
Con Support Me puedes crear un usuario administrador temporal sin que el pueda modificar el tuyo. Respalda antes por si surge algún problema.
Saludos.