Kullanıcılar ve Roller
Kullanıcılar paneli, sitenize giriş yapabilen herkesin — siz dahil adminler, ekibiniz, yazarlar, aboneler — yönetildiği yerdir. admin/users.php altında yeni hesap açar, rol atar, birini yasaklar ve kim ne zaman giriş yapmış görürsünüz.
Roller ne işe yarar
jekcms'te beş sabit rol vardır. Ne yapabildiklerini anlarsanız kimi nereye koyacağınız netleşir.
Admin her şeyi yapabilir — ayarlara dokunabilir, kullanıcı yönetebilir, tehlike bölgesine girebilir. Editor tüm yazıları düzenleyip yayınlayabilir, yorumları denetler, medyayı yönetir ama site ayarlarına dokunamaz. Author kendi yazılarını yazar ve yayınlar, başkalarının içeriğine karışmaz. Contributor taslak yazar ama yayınlayamaz; bir editor veya admin onayı gerekir. Subscriber ise sadece okur ve yorum yapar, admin paneline hiç giremez.
Özel roller desteklenmiyor — en yakın rolü seçin. Birine fazla yetki vermemek için Contributor'dan başlayıp gerekirse yükseltmek daha güvenli bir yaklaşımdır.
Yeni kullanıcı eklemek
Add New butonuyla açılan formda kullanıcı adı, e-posta, parola ve rolü girersiniz. Kritik nokta: Send setup email kutusunu işaretleyip parolayı boş bırakın. Bu durumda kullanıcıya sihirli bir link gider, kendi parolasını kendisi belirler. E-posta üzerinden düz parola göndermektense bu yolu tercih edin — hem daha güvenli, hem de kullanıcı başından itibaren kendine özgü bir parola seçmiş olur.
Kullanıcı adı yazar imzalarında ve /author/{username} URL'lerinde görünür, yani URL-dostu bir şey seçin.
Parola politikası
Settings → Security → Password Policy altında minimum uzunluk (varsayılan 10), büyük/küçük harf ve sembol zorunluluğu, ve yaygın sızdırılmış parolaların engellenmesi gibi anahtarlar bulunur. Politikayı sonradan sıkılaştırırsanız mevcut kullanıcılar hemen etkilenmez — bir sonraki parola sıfırlamada uygulanır. Herkesi zorla sıfırlamak isterseniz kullanıcılar panelinden Bulk → Invalidate passwords diyebilirsiniz.
İki faktörlü doğrulama
Her kullanıcı kendi hesabı için 2FA'yı kendisi açar: sağ üstteki profil menüsü → Security → Enable 2FA. QR kodunu Authenticator uygulamasıyla (Authy, Google Auth, 1Password) tarar, 6 haneli kodu girip onaylar. Yedek kodlar tek seferlik gösterilir — kullanıcı bunları mutlaka saklamalı, çünkü telefonu kaybolursa başka kurtarma yolu yoktur. O noktada bir admin kullanıcının düzenleme sayfasından 2FA'yı devre dışı bırakmak zorunda kalır.
Admin rolü için 2FA'yı mecbur kılmak isterseniz Settings → Security → Require 2FA for roles altından belirleyebilirsiniz. O rollerdeki kullanıcılar bir sonraki girişte 2FA kurulumuna yönlendirilir.
Google ile giriş
Ekibinizin Google hesapları varsa, her biri için ayrı parola yönetmektense Google OAuth akışını kurabilirsiniz. Settings → Integrations → Google OAuth'ta Google Cloud Console'dan aldığınız Client ID ve Secret'ı yapıştırın, yetkili yönlendirme URI'si olarak https://siteniz.com/auth/google/callback adresini Google Cloud tarafında ekleyin. Giriş sayfasında Sign in with Google butonu belirir.
E-postası mevcut bir hesapla eşleşen kullanıcılar o hesaba otomatik bağlanır. İlk kez giriş yapan yeni Google kullanıcıları Subscriber rolüyle başlar — ekip üyesiyse elle yükseltirsiniz.
Birini yasaklamak (kilit)
Bir kullanıcıyı kalıcı olarak silmek istemiyor ama erişimini kesmek istiyorsanız Lock account kullanın. Kilitlenen kullanıcının aktif oturumları anında geçersiz olur, yeni giriş denemeleri "account suspended" döner ama yazıları, yorumları ve profili site üzerinde görünmeye devam eder. Hesap ele geçirilmiş olabilir şüphesi, kural ihlali veya ayrılan bir personel için bu güvenli yoldur — sonradan kilidi açabilirsiniz, içerik kaybolmaz.
Kullanıcı silmek
Delete butonu bir onay penceresi açar ve önemli bir soru sorar: bu kullanıcının yazıları ne olacak? Yazıları şuna yeniden ata seçeneğiyle başka bir kullanıcıya devredebilir (güvenli seçim) ya da Yazıları da sil ile hepsini kullanıcıyla birlikte silebilirsiniz (yedeksiz geri alınamaz).
Kendinizi veya sitedeki son admini silemezsiniz — arayüz butonu devre dışı bırakır.
Giriş geçmişi ve oturumlar
Her kullanıcının Security sekmesinde son 90 günlük giriş geçmişi vardır: zaman damgası, IP, tarayıcı, sonuç. 15 dakikada 5 başarısız girişten sonra hesap 30 dakika otomatik kilitlenir.
Aynı sekmede aktif oturumlar da listelenir. Kullanıcı "biri benim olarak giriş yapmış" derse Revoke all except current ile diğer tüm cihazlardaki oturumları sonlandırabilir. Parola sıfırlaması da tüm oturumları otomatik iptal eder.