Giới thiệu về quản lý người dùng (Users) #
Hệ thống Users trong WordPress cho phép bạn thêm, chỉnh sửa và phân quyền tài khoản. Đây là phần quan trọng để quản lý người chỉnh sửa nội dung, đảm bảo tính an toàn và trách nhiệm trong website.
Nếu quản lý không tốt, website có thể bị mất dữ liệu, bị sửa nhầm hoặc bị chiếm quyền quản trị.
Cách truy cập khu vực Users #
Vào Users → All Users để xem tất cả tài khoản.
Tại đây bạn có thể:
- Xem danh sách tài khoản
- Đổi mật khẩu người dùng
- Thay đổi Role (phân quyền)
- Xoá tài khoản không còn sử dụng
Cách tạo tài khoản mới #
- Vào Users → Add New
- Điền:
- Username
- Name (tuỳ chọn)
- Website (bỏ trống)
- Chọn Role phù hợp
- Tạo mật khẩu mạnh
- Nhấn Add New User
Yêu cầu mật khẩu mạnh #
- Tối thiểu 10 ký tự
- Có chữ hoa + chữ thường
- Có số
- Có ký tự đặc biệt
Phân quyền người dùng (Role) #
Chỉ cấp quyền theo đúng nhu cầu công việc.
Administrator (Admin) #
Toàn quyền website. Chỉ cấp cho người kỹ thuật hoặc chủ website.
Editor #
Quản lý toàn bộ nội dung. Phù hợp cho phòng marketing hoặc content.
Author #
Chỉ đăng và sửa bài viết của chính mình.
Contributor #
Viết bài nhưng không thể đăng. Dùng cho thực tập sinh.
Subscriber #
Đăng nhập xem thông tin cá nhân. Không có quyền chỉnh sửa.
Lưu ý: Tránh cấp quyền Admin cho người chỉ sửa nội dung.
Chỉnh sửa tài khoản người dùng #
Vào Users → All Users → chọn tài khoản → Edit.
Các mục có thể sửa #
- Ảnh đại diện (Gravatar)
- Biệt danh hiển thị (Nickname)
- Mật khẩu
- Role (phân quyền)
Cảnh báo: Không nên đổi email của tài khoản Admin nếu không nắm quyền truy cập email mới.
Cách xoá tài khoản người dùng #
Khi xoá tài khoản, WordPress sẽ hỏi:
- Delete all content: Xoá toàn bộ bài của user (KHÔNG dùng)
- Attribute content to: Chuyển bài viết sang user khác (NÊN dùng)
Quy tắc xoá tài khoản an toàn #
- Luôn chọn Attribute content to
- Không xoá tài khoản Admin cuối cùng
- Không xoá user đang dùng API hoặc form
Bảo mật tài khoản WordPress #
1. Không dùng mật khẩu yếu #
Mật khẩu yếu dễ bị brute-force hoặc lộ từ email.
2. Không dùng chung 1 tài khoản cho nhiều người #
Việc này gây khó theo dõi thao tác và mất trách nhiệm.
3. Không cấp quyền Admin bừa bãi #
Admin có thể:
- Xoá plugin
- Xoá trang chủ
- Chỉnh sửa theme → lỗi website
4. Bật bảo mật đăng nhập #
Nếu website dùng Solid Security hoặc plugin bảo mật khác, nên bật:
- Giới hạn số lần đăng nhập sai
- Ẩn đường dẫn wp-admin (nếu cấu hình cho phép)
- Thông báo email khi có đăng nhập lạ
5. Kiểm tra nhật ký hoạt động #
Dùng plugin như:
- WP Activity Log
- Stream
để biết ai đã sửa trang / xoá trang / đổi nội dung.
6. Không đặt username là “admin” #
Username phổ biến dễ bị tấn công brute-force.
7. Không chia sẻ tài khoản qua Zalo/Facebook #
Nên chia sẻ mật khẩu qua email hoặc ghi ra rồi xoá.
Lỗi thường gặp khi quản lý User #
1. Quên chọn đúng Role #
- Dẫn đến không thấy menu
- User không chỉnh sửa được bài
2. Tài khoản bị khoá hoặc đổi mật khẩu #
Do người khác đổi mật khẩu user hoặc do plugin bảo mật chặn IP.
3. Đổi email tài khoản Admin sai #
User mất quyền truy cập website.
4. Xoá user mà xoá luôn bài viết #
Dẫn đến mất dữ liệu quan trọng.
5. Dùng username tiếng Việt có dấu #
Dễ lỗi khi đăng nhập hoặc khi dùng plugin.
Best Practices cho quản lý user #
- ✔ Mỗi người 1 tài khoản riêng
- ✔ Role phân rõ ràng
- ✔ Mật khẩu mạnh
- ✔ Ghi chú vai trò từng tài khoản
- ✔ Không dùng username “admin”
- ✔ Kiểm tra thao tác user định kỳ
Checklist bảo mật tài khoản #
- ✔ Mật khẩu mạnh (10 ký tự trở lên)
- ✔ Không chia sẻ tài khoản
- ✔ Không cấp quyền Admin khi không cần
- ✔ Bật giới hạn số lần đăng nhập sai
- ✔ Bật thông báo login lạ (nếu plugin hỗ trợ)
- ✔ Xoá user không hoạt động
Bài: Tạo – Quản lý User & Bảo mật tài khoản WordPress kết thúc.
