Privatiser un site de comité d’entreprise sous WordPress

Twitter Facebook Google+
22 Apr 2017

 Environ 5 minutes de lecture

Cet article fait suite à Créer un site internet pour un comité d’entreprise avec WordPress : 1ère étape.

Cette seconde étape (que je n’ai pas marqué dans le titre) est pour moi une des principales. Elle va être la base du site parce que derrière la privatisation d’un site, se pose toutes les questions d’accès à l’information et des différents droits utilisateurs. C’est une sacrée prise de tête et je n’en suis pas complètement sorti, des doutes sont encore présents dans mon esprit.

J’ai donc fait le choix de fermer complètement l’accès au site, me calquant sur ce que j’ai pu voir à droite et à gauche dans les autres entreprises. Lors de la demande d’affichage du site dans le navigateur, le visiteur verra uniquement la page de login et devra forcément s’identifier pour accéder aux contenus. Le site vitrine avec accès visiteurs contenant des parties privées est plutôt rare quand on parle de comité d’entreprise mais comme j’ai des doutes, j’ai fait en sorte de me laisser le choix au fur et à mesure de l’utilisation du site, ce n’est pas définitif.

Roues crantéeshttps://unsplash.com/@chesteralvarez5

Le travail commence donc avec les réglages présents d’origine au sein de WordPress.

WP (WordPress) gère assez bien l’enregistrement d’utilisateurs avec différents niveaux, je pense que cela devrait suffire pour le démarrage. Si les besoins se font sentir, je partirai à la recherche d’une extension pour affiner les différents droits, il en existe énormément. Nous avons donc pour WP :

  1. Abonné : c’est le premier niveau d’enregistrement. Aucuns droits particuliers, il accède aux fonctions d’abonnements du site et est enregistré pour créer des commentaires par exemple. C’est, je pense, le rôle qui va me servir pour l’ensemble des employés de mon entreprise.
  2. Contributeur : l’utilisateur pourra soumettre du contenu, seulement des articles de base, les modifier et les effacer tant qu’ils ne sont pas publiés. Il est impossible pour lui de les publier.
  3. Auteur : il peut soumettre du contenu mais également le publier. Il a une gestion plus fine de ses propres publications en pouvant agir sur ses articles publiés. L’envoi de fichiers est possible pour lui.
  4. Editeur : encore un cran dessus, il peut gérer les articles des autres personnes en plus des siens.
  5. Administrateur : Dieu tout-puissant, moi.

Les différents extensions disponibles dans le catalogue de WP permettent de jouer sur ses rôles en variant toutes les possibilités (pour les extensions les plus puissantes) mais aussi de créer des nouveaux rôles selon les besoins. Les réglages sont poussés au maximum chez certaines et ça peut vite devenir un casse-tête si vous n’êtes pas un minimum organisé. Pour éviter cela, j’ai donc choisi de me servir de ces différents rôles pour le moment, tels qu’ils sont disponibles dans un WP de base.

En ce qui me concerne donc, j’ai choisi d’attribuer le rôle d’abonné à tous les employés. Ils auront donc un accès avec un login et mot de passe. Cependant, pour plus de maîtrise là-dessus, ils ne vont pas pouvoir créer de compte la première fois, l’enregistrement des nouveaux utilisateurs sous WP va être désactivé, je vais le faire moi-même.

C’est une solution simple pour éviter l’enregistrement de robots qui va venir polluer la gestion des utilisateurs en interface administrateur.

Ils pourront plus tard changer leur mot de passe et informations personnelles bien évidemment.

Pour réaliser tout cela, il suffit de se rendre dans Réglages => Général et vous trouverez le bloc ci-dessous.

Réglages

J’ai décoché l’option d’inscription et, au cas où, laissé le rôle par défaut sur Abonné.

Désormais la création de comptes utilisateurs devra forcément se faire via la partie administration et donc avec le rôle Administrateur, simple et efficace. Pas sûr que ce soit la meilleure des solutions si vous avez plusieurs centaines d’employés, ou alors il faudra peut être passer par une injection via la base de données avec une table, ou encore jouer avec LDAP (Lightweight Directory Access Protocol) en vous mettant en relation avec le service informatique de la boîte (je vais voir ça de mon côté) et en piochant dans les extensions sur le sujet.

Un second réglage disponible dans WP va venir essayer de renforcer l’aspect discret de notre site en empêchant l’indexation de celui-ci par différents robots de moteur de recherche. Pour cela, aller dans Réglages => Lecture pour obtenir l’écran ci-dessous.

Lecture

En cochant la bonne case, cela devrait limiter l’indexation. WP avertit tout de même que certains moteurs de recherche vont quand même essayer de scruter votre contenu. Pas grave, si vraiment il faut devenir invisible, ce sera toujours possible en rejetant tous les moteurs de recherche connu à la mode brute avec un fichier sur le serveur.

Passons maintenant à des choses plus réjouissantes et l’utilisation d’extension pour interdire l’affichage d’informations aux utilisateurs non-connectés. J’ai fait un choix, ce n’est peut être pas le plus parfait, je me suis basé sur le nombre d’utilisateurs, la date de la dernière mise à jour de l’extension, son aspect gratuit et bien sûr à ses fonctionnalités et j’ai retenu : My Private Site.

My Private Site

Une simple case à cocher et votre site devient privé intégralement : obligation de s’identifier.

Vient ensuite les réglages modifiables à souhait :

Une extension simple et complète à la fois. elle fait ce qu’on lui demande et si l’envie vous prend, vous pouvez autoriser des pages à l’affichage. Exactement ce que je souhaitais. Si jamais je change d’avis sur l’aspect site vitrine, je pourrais laisser à l’affichage la page d’accueil, et uniquement celle-ci (ou d’autres si je le spécifie).

Voilà, vous avez un site complètement privé.

Pour le prochain article sur le sujet, on va rester sur les fonctionnalités et s’attaquer encore à un gros sujet : la gestion des membres et les besoins de ceux-ci.

Tcho, Hamtaro.


Twitter Facebook Google+

Peut-être que ceci devrait vous plaire :