WordPress tích hợp tính năng quản lý User cơ bản, cho phép mỗi User với quyền nhất định để truy cập WP dashboard ở những khu vực nhất định, cũng như các quyền hạn cụ thể trên WP.
A. Các loại User mặc định của WordPress
Thông thường, User trên WordPress có 5 loại, hay 5 roles (role: vai trò, chức vụ), cụ thể theo thứ tự phân quyền từ cao đến thấp:
1. Administrator/ quản lý (hay gọi là Admin)
Administrator có quyền cao nhất, toàn quyền quản trị trên WordPress Dashboard, có thể thêm/ xóa/ sửa User bất kỳ (kể cả Administrator khác).
Bạn có thể tạo nhiều Administrator.
Riêng với hệ thống Multi-site, thì quyền Quản trị cao nhất chung cho mọi site gọi là Super Administrator (Super Admin), Super Admin toàn quyền quản trị Sites Network, còn Administrator chỉ toàn quyền trên mỗi site.
2. Editor/ Biên tập
Quyền Editor cho phép tạo/ xuất bản/ sửa/ xóa nội dung: category/ post/ page/ custom post type (sản phẩm, tour du lịch) & bình luận…
- Editor User không được truy cập các phần Cấu hình (Settings) hay cài/ xóa/ bật/ tắt Themes & Plugins.
- Tất nhiên Editor cũng không tác động được tới khu vực Users.
3. Author/ Tác giả
Quyền này cho phép user viết bài mới – và chỉnh sửa/ xóa các bài viết bởi chính họ.
- Author không được phép tác động tới các phần khác ngoài khu vực viết bài mới & quản lý các nội dung do chính họ viết.
- Author không có quyền tác động tới nội dung do các author khác viết.
4. Contributor/ Cộng tác viên
Cộng tác viên chỉ có quyền duy nhất là viết bài mới – chỉnh sửa các bài viết của chính họ. Nhưng:
- Contributor không có quyền publish (xuất bản) hay update (cập nhật nội dung mới).
Đây là quyền dành cho những Website nhận Guest Posts – Tức cho phép mọi người đóng góp nội dung. Nhưng các bài viết phải qua kiểm duyệt của Admin/ Editor trước khi được đăng hoặc cập nhật.
Điểm hạn chế của quyền Contributor là họ không được upload media files, nghĩa là nếu bài viết cần có hình ảnh, videos, hay file đính kèm mà chưa có trên Media Library của WordPress thì họ không thể upload chúng, mà phải nhờ người dùng có quyền cao hơn upload trước.
5. Subscriber/ Người đăng ký
Quyền Subscriber là ‘rất gà con’!
Họ chỉ có thể login vào khu vực thông tin chung trong Dashboard, và chỉ có thể chỉnh sửa/ cập nhật Profiles của chính họ.
WordPress sinh ra quyền này không phải để cho vui, mà thực sự có một tính năng cho phép chúng ta tùy chọn:
- Đăng ký để được truy cập các nội dung ẩn (Restrict Content)
- Đăng ký mới được đọc các bài viết
- Hoặc Đăng ký mới được comments
Để yêu cầu Đăng ký mới được comment, vào Settings -> Discussion:
Tùy chọn này giúp chúng ta có những Users thật sự quan tâm đến nội dung, cũng như có được một danh sách Emails của họ bằng việc dùng các plugin Export Users data trên Website và Import tới các dịch vụ Email Marketing.
Riêng tính năng Restrict Content – tức nội dung và người dùng phải Subscribe Membership mới có quyền đọc thì được hỗ trợ bởi các plugin Membership/ Restrict Content như Restrict Content Pro, WP-Members, Ultimate Member hay Simple Membership….
B. Custom User – Các User Role bổ sung
Ngoài 5 User Role mặc định của WordPress, khi dùng các plugin chuyên dụng như Yoast SEO, LearnDash, WooCommerce… chúng còn có các User role khác để Administrator có thể chỉ định một số User quyền thao tác các tính năng về SEO, Khóa học…
- Với Yoast SEO, chúng ta có 2 user role: SEO Manager & SEO Editor
- Với LearnDash chúng ta có user: Group Leader
- Với WooCommerce, ta có nhóm Customers.
Ví dụ Yoast SEO:
Nhiều plugin khác cũng có các user role tương tự. Như Restrict Content Pro cho phép tạo Membership nâng cao và người dùng có thể đăng ký User cho Membership đó:
Tiếp theo ta sẽ xem cách tạo và quản lý User trên WordPress.
C. Các cách tạo User trên WordPress
Mặc định khai cài WordPress, thì ta đã tạo sẵn User quản trị với quyền Administrator, đó là user duy nhất có trên Website khi mới cài đặt xong.
Ta có 3 cách tạo User trên WordPress:
- Tạo thủ công: User với quyền Adminstrator có thể tạo các User mới với quyền từ Subscriber -> Administrator.
- Bật tính năng Membership mặc định trên WordPress: sử dụng tính năng đăng ký thành viên ((Membership) trên WordPress để cho phép người dùng bất kỳ đăng ký User.
- Custom Membership: có thể tích hợp các tính năng membership mở rộng dưới sự hỗ trợ của các plugin như WooCommerce, LearnDash, Restrict Content Pro,…
Tạo User thủ công trong WordPress
Khi login với quyền Administator, ta có thể tạo User mới dễ dàng. Việc này thường gặp khi chúng ta chia sẻ quyền Administrator để người khác chỉnh sửa – support hoặc tạo Editor, Author để họ viết bài!
Để tạo User mới, vào Users -> Add New, và làm như hình dưới:
Cho phép Đăng ký thành viên trong WP
WordPress hỗ trợ tính năng Membership đơn giản, để người dùng đăng ký và truy cập các nội dung theo quyền hạn của mình!
Ta có thể bật tính năng cho phép đăng ký trong WordPress, cho phép người đăng ký có các quyền, từ Subscriber, Author, Editor.. đến Administrator.
Thông thường, nếu bật cho đăng ký, thì ta nên thiết lập quyền ban đầu chung cho tất cả đăng ký mới là Subscriber, sau đó khi cần thiết, ta có thể cấp quyền cao hơn cho một user nhất định trong mục Users.
Vào Settings -> General bật tùy chọn Membership:
Sau khi cho phép đăng ký, tại trang Login, sẽ có thêm tùy chọn Register để đăng ký thành viên:
Trang Register rất đơn giản, chỉ cần nhập Username và Email:
Một email sẽ gởi về email đăng ký với link để tạo password:
Nhập password mới hoặc dùng Password rất mạnh cho WordPress tự động tạo:
Sau khi Reset Password, User đã có thể login và truy cập các nội dung phù hợp với role của mình!
Đây là trang dành cho Subscriber Role:
Tạo User qua Custom Membership
Nhiều plugin hỗ trợ tính năng tạo Membership nâng cao hơn so với mặc định trên WordPress và cho phép người dùng đăng ký User trên Membership đó, ví dụ Restrict Content Pro, Ultimate Member, ARMember,… thực tế ta có thể tạo ra rất nhiều loại User với quyền khác nhau dựa vào các plugin này:
Ngoài ra, khi làm web bán hàng với plugin WooCommerce, cũng có tính năng cho phép khách hàng đăng ký User khi thực hiện thanh toán, lúc nào, khách hàng sẽ được đưa vào nhóm User Customers do WooCommerce hỗ trợ, ở đó cho phép họ xem các thông tin về đơn hàng, wishlist hay tải sản phẩm số.
Lưu ý với Membership trên WordPress
Tính năng Membership rất hữu dụng cho các trang cần chia sẻ nội dung với đối tượng người dùng nhất định, nhưng kèm theo đó là những phiền toái bạn phải giải quyết:
- Người dùng có thể thấy một số thông tin cần bảo mật trong WordPress Dashboard (như các thông tin thông báo về phiên bản theme, plugins…)
- Nhiều người dùng login cùng lúc, truy cập Dashboard có thể khiến Website bị chậm, cần dùng hosting mạnh.
- Hacker có thể lợi dụng tính năng Membership kém an toàn để tấn công Website qua tính năng dò mật khẩu Brute Force Attack hoặc tấn công DDos vào trang Register!
- Nhiều Spam bot có thể đăng ký members để spam
Các vấn đề trên có thể khắc phục bằng cách dùng máy chủ mạnh và cấu hình bảo mật bằng các plugin uy tín, như iThemes Security, cái chúng ta sẽ dùng trong Khóa học Bảo mật WordPress.
D. Quản lý Users trong WordPress
Chúng ta có thể thao dõi danh sách Users, và Sửa – Xóa trong mục Users -> All Users:
Trên WordPress, với một số plugin hỗ trợ, ta có thể theo dõi hoạt động của user khi họ login, mọi thao thác trên WordPress sẽ được ghi lại để kiểm tra các hoạt động bất thường khi cần.
Ví dụ bạn tạo một user với quyền Administrator để hỗ trợ bạn cấu hình một số tính năng trên WordPress, ta cần biết họ truy cập, chỉnh sửa phần nào, có làm gì bất thường không:
Tracking User Activities, các plugin miễn phí tốt nhất là Simple History, Activity Log hoặc WP Activity Log. Còn plugin trả phí, thì iThemes Security Pro là lựa chọn tối ưu.
Bảo mật Users trên WordPress, còn có các tuỳ chọn nâng cao như bắt buộc dùng mật khẩu mạnh, unique username, bắt buột dùng tính năng xác thực mật khẩu 2 lớp,.. những cái này ta sẽ thực hành.
Hi vọng qua bài viết bạn có thể nắm được cách tạo và quản lý user trên WordPress, bạn nên tham khảo thêm về các tính năng bảo mật liên quan đến User trong bài giới thiệu plugin iThemes Security:
iThemes Security – Plugin bảo mật tốt nhất cho WordPress
Chúc thành công!
