Guía de los roles de usuario de WordPress

Por qué importan los roles de usuario

El sistema de usuarios de WordPress se basa en el principio de roles y capacidades, donde cada rol tiene un conjunto definido de permisos que determinan lo que un usuario puede y no puede hacer en el sitio. Una asignación de roles adecuada es clave para la seguridad del sitio porque, si todos los usuarios tienen acceso de administrador, una sola cuenta comprometida puede dar lugar al control completo del sitio. Aprende más sobre cómo proteger tu sitio de los hackers. También previene errores accidentales, porque un usuario que no puede acceder a la configuración no puede modificarla sin querer.

WordPress incluye cinco roles predeterminados, cada uno con un conjunto específico de capacidades. Comprender estos roles es esencial para todo administrador de un sitio, especialmente en sitios con varios usuarios, como blogs con múltiples autores, sitios corporativos con equipos que introducen contenido o plataformas de comercio electrónico con empleados que gestionan pedidos.

Administrador

Capacidades

El administrador tiene control total sobre el sitio de WordPress sin ninguna restricción. Este rol incluye la capacidad de instalar y eliminar plugins y temas, añadir y eliminar usuarios (incluidos otros administradores), acceder a toda la configuración del sitio, gestionar todo el contenido (incluidas las entradas y páginas de todos los usuarios), acceder al editor de código para modificar directamente los archivos del tema y de los plugins, gestionar y moderar comentarios, y exportar e importar datos del sitio.

Cuándo usarlo

El rol de Administrador debe asignarse únicamente a los propietarios del sitio y a las personas técnicas responsables de la gestión completa del mismo. Limita el número de administradores al mínimo, porque cada cuenta de administrador es un posible punto de entrada al sitio. En un sitio corporativo típico, uno o dos administradores son suficientes. Nunca utilices la cuenta de administrador para la redacción diaria de contenido. Consulta nuestra guía sobre la optimización de un sitio WordPress, porque es más seguro usar una cuenta con privilegios más bajos para las tareas rutinarias. Si necesitas acceder a funciones de administrador, inicia sesión en la cuenta de administrador solo cuando sea necesario.

Editor

Capacidades

El Editor tiene control sobre todo el contenido del sitio, pero sin acceso a la configuración técnica. Los editores pueden crear, modificar, publicar y eliminar cualquier entrada y página, incluidas las escritas por otros usuarios, gestionar categorías y etiquetas, moderar comentarios y aprobarlos para su publicación, gestionar enlaces y subir archivos multimedia. El editor no puede instalar plugins, cambiar el tema, añadir usuarios ni acceder a la configuración técnica del sitio.

Cuándo usarlo

El rol de Editor es ideal para el editor principal del blog o la persona responsable del control de calidad del contenido del sitio. Esta persona revisa las entradas escritas por autores y colaboradores, las aprueba para su publicación, corrige errores y garantiza la coherencia del contenido. En un sitio corporativo, el responsable de marketing o de comunicación es un candidato típico para el rol de editor, porque necesita control sobre el contenido pero no sobre los aspectos técnicos del sitio.

Autor

Capacidades

Un Autor puede crear, modificar y publicar sus propias entradas sin la aprobación de un editor o administrador. Los autores pueden subir archivos multimedia, modificar y eliminar sus propias entradas publicadas, pero no pueden modificar ni eliminar las entradas de otros usuarios. Los autores no pueden crear páginas, solo entradas, no pueden gestionar categorías y etiquetas a nivel del sitio, pero sí pueden añadir categorías y etiquetas existentes a sus propias entradas. No tienen acceso a los comentarios salvo a los de sus propias entradas.

Cuándo usarlo

El rol de Autor es adecuado para redactores de confianza que aportan contenido con regularidad y en quienes confías para publicar contenido de calidad sin revisión previa. Los periodistas, los blogueros con experiencia o los empleados de marketing que escriben y publican contenido de forma independiente son candidatos típicos. La diferencia clave entre autor y colaborador es que los autores pueden publicar entradas por sí mismos, mientras que los colaboradores deben esperar la aprobación. Por tanto, asigna el rol de Autor solo a personas cuyo contenido no requiera una revisión periódica.

Colaborador

Capacidades

Un Colaborador puede escribir y modificar sus propias entradas, pero no puede publicarlas. En su lugar, el colaborador envía la entrada para su revisión y el editor o administrador la aprueba y publica. Los colaboradores no pueden subir archivos multimedia, lo que significa que no pueden añadir imágenes a las entradas. Una vez publicada una entrada, el colaborador ya no puede modificarla, porque la entrada publicada pasa a ser responsabilidad del editor. Estas limitaciones hacen que el rol de colaborador sea seguro para redactores externos o para aquellos en quienes no confías plenamente.

Cuándo usarlo

El rol de Colaborador es ideal para redactores invitados, autores freelance o nuevos miembros del equipo cuyo contenido requiere revisión antes de publicarse. En los blogs que aceptan entradas de invitados, una cuenta de colaborador permite a los autores externos escribir directamente en WordPress sin el riesgo de publicar algo inapropiado. La restricción de subida de archivos previene un posible abuso para subir contenido malicioso. Si los colaboradores necesitan añadir imágenes a las entradas, lo hace el editor o el administrador tras revisar el contenido.

Suscriptor

Capacidades

Un Suscriptor tiene el nivel de acceso más bajo y solo puede gestionar su propio perfil y leer el contenido que requiere inicio de sesión. Los suscriptores no pueden crear, modificar ni eliminar ningún contenido del sitio. La única diferencia entre un suscriptor y un visitante no registrado es que el suscriptor tiene una cuenta de usuario que puede usar para comentar sin volver a introducir sus datos personales y para acceder a contenido restringido a usuarios registrados.

Cuándo usarlo

El rol de Suscriptor se utiliza en sitios que requieren registro para acceder a determinado contenido, para comentar o para acceder a una comunidad cerrada. Los sitios de membresía usan el suscriptor como rol base para los usuarios registrados, con la opción de actualizar a niveles de acceso premium. Los foros y comunidades utilizan el suscriptor para los usuarios que participan en debates. WordPress establece de forma predeterminada el rol de suscriptor para los nuevos usuarios registrados, lo cual es una opción segura porque un suscriptor no puede causar daños en el sitio.

Roles de usuario personalizados

Por qué crear roles personalizados

Los roles predeterminados no cubren todos los escenarios de uso. Por ejemplo, puede que quieras un rol que pueda publicar entradas pero no eliminarlas, o un rol que tenga acceso a los pedidos de WooCommerce pero no a la configuración de la tienda. Los roles personalizados resuelven estas necesidades específicas creando roles con conjuntos de capacidades definidos con precisión que se ajustan a tu flujo de trabajo.

Plugins de gestión de roles

User Role Editor es el plugin más popular para gestionar roles de WordPress, con más de 700.000 instalaciones activas. Proporciona una interfaz visual para crear nuevos roles, añadir o eliminar capacidades de los roles existentes y asignar varios roles a un mismo usuario. Members, del equipo de MemberPress, ofrece una funcionalidad similar centrada en el control de acceso al contenido por roles. PublishPress Capabilities es otra opción con una interfaz limpia para la gestión de capacidades. Todos estos plugins permiten crear roles personalizados sin escribir código.

Ejemplos de roles personalizados

SEO Manager es un rol personalizado con acceso a la configuración de SEO en Yoast o Rank Math, pero que no puede modificar el contenido de las entradas. Comment Moderator puede gestionar comentarios, pero no tiene acceso a las entradas ni a las páginas. WooCommerce Product Manager puede añadir y modificar productos, pero no tiene acceso a los pedidos ni a los datos financieros. Designer puede cambiar el aspecto del sitio y subir archivos multimedia, pero no puede instalar plugins ni modificar cuentas de usuario. Estos roles personalizados permiten un control de acceso preciso que se ajusta a la estructura de tu equipo.

Crear roles con código

Para los desarrolladores, WordPress proporciona una API para crear roles personalizados mediante código. La función add_role recibe el nombre del rol, el nombre visible y un array de capacidades. Puedes usar las funciones add_cap y remove_cap para añadir o eliminar capacidades concretas de los roles existentes. Estos cambios solo deberían activarse una vez, normalmente al activar el plugin o el tema, y no en cada carga de página, porque se almacenan en la base de datos. El sistema de capacidades de WordPress es flexible y permite crear permisos detallados para cada acción del sitio.

Recomendaciones de seguridad

Principio de mínimo privilegio

Asigna siempre a los usuarios el rol más bajo que les permita realizar su trabajo. Esto se conoce como el principio de mínimo privilegio y es uno de los fundamentos de la seguridad informática. Si un usuario solo escribe entradas, dale el rol de Autor o Colaborador, no de Editor o Administrador. Si un usuario solo necesita leer contenido, el de Suscriptor es suficiente. La revisión de roles debe realizarse periódicamente para eliminar cuentas innecesarias y bajar el rol de los usuarios que ya no desempeñan las mismas funciones.

Medidas de seguridad adicionales

Además de una asignación de roles adecuada, implementa la autenticación de dos factores, especialmente para las cuentas de administrador y editor. Usa contraseñas seguras para todas las cuentas y exige cambios de contraseña periódicos. Desactiva el registro de usuarios si tu sitio no lo necesita, porque el registro abierto puede aprovecharse para spam o ataques. Supervisa la actividad de los usuarios con plugins como WP Activity Log, que registra todas las acciones del sitio y te permite identificar actividades sospechosas.

Conclusión

El sistema de usuarios de WordPress, con roles y capacidades, ofrece un control de acceso flexible esencial para sitios con varios usuarios. Administrador para el propietario del sitio, Editor para el editor de contenido, Autor para redactores de confianza, Colaborador para colaboradores externos y Suscriptor para visitantes registrados cubren la mayoría de los escenarios. Para necesidades específicas, los roles personalizados ofrecen un control de permisos preciso. En BeoHosting, nuestros paquetes de hosting WordPress admiten cuentas de usuario ilimitadas con un entorno rápido y seguro que protege todas las cuentas de tu sitio.