3. Permessi

Questa sezione definisce i livelli di accesso al sito WordPress Pordenone Musei. L’assegnazione dei permessi segue il principio del minimo privilegio: ogni utente deve avere solo le autorizzazioni necessarie al proprio lavoro.

3.1. Ruoli WordPress e ambiti operativi

3.1.1. Amministratore

Puo” gestire l’intero sito:

  • utenti, ruoli e permessi;

  • impostazioni generali;

  • tema, plugin e menu;

  • contenuti di tutte le sezioni.

Uso consigliato: solo personale tecnico o responsabile di piattaforma.

3.1.2. Editor

Puo” gestire tutti i contenuti editoriali:

  • creare, modificare, pubblicare e archiviare pagine e articoli;

  • revisionare contenuti creati da altri utenti;

  • gestire categorie, tag e media.

Uso consigliato: coordinamento redazionale.

3.1.3. Autore

Puo” operare sui propri contenuti:

  • creare, modificare e pubblicare articoli propri;

  • caricare media collegati ai propri articoli.

Non puo” modificare o pubblicare contenuti di altri utenti.

3.1.4. Collaboratore

Puo” scrivere contenuti ma non pubblicarli:

  • creare e modificare bozze dei propri articoli;

  • inviare i contenuti a un Editor per revisione e pubblicazione.

3.1.5. Sottoscrittore

Puo” solo accedere al proprio profilo utente. Non ha permessi editoriali.

3.2. Regole di assegnazione permessi

  • ogni utenza deve essere nominale e non condivisa;

  • i ruoli devono essere assegnati in base alla funzione effettiva;

  • i permessi elevati devono essere limitati e periodicamente verificati;

  • in caso di cambio mansione, il ruolo va aggiornato subito;

  • in caso di cessazione utenza, l’accesso va disattivato tempestivamente.

3.3. Sicurezza delle credenziali

3.3.1. Buone pratiche

  • non condividere mai username e password;

  • non inviare password via email o chat non sicure;

  • attivare l’autenticazione a due fattori (2FA) quando disponibile;

  • usare un password manager approvato dall’ente;

  • bloccare la sessione quando si lascia la postazione.

3.3.2. Requisiti minimi password

  • lunghezza minima: 12 caratteri;

  • usare lettere maiuscole, minuscole, numeri e simboli;

  • evitare parole comuni, dati personali e sequenze prevedibili;

  • non riutilizzare password gia” usate su altri servizi.

3.3.3. Gestione incidenti

In caso di sospetto accesso non autorizzato:

  • cambiare subito la password;

  • avvisare immediatamente il referente tecnico;

  • verificare log accessi e azioni recenti;

  • disattivare temporaneamente l’utenza se necessario.