Guida ai ruoli utente di WordPress

Perché i ruoli utente sono importanti

Il sistema utenti di WordPress si basa sul principio di ruoli e capacità, in cui ogni ruolo ha un insieme definito di permessi che determinano ciò che un utente può e non può fare sul sito. Un'assegnazione corretta dei ruoli è fondamentale per la sicurezza del sito, perché se ogni utente avesse accesso da amministratore, un solo account compromesso potrebbe portare al controllo completo del sito. Scopri di più su come proteggere il tuo sito dagli hacker. Inoltre previene gli errori accidentali, perché un utente che non può accedere alle impostazioni non può modificarle per sbaglio.

WordPress include cinque ruoli predefiniti, ciascuno con uno specifico insieme di capacità. Comprendere questi ruoli è essenziale per ogni amministratore di sito, soprattutto sui siti con più utenti, come blog multi-autore, siti aziendali con team che inseriscono contenuti o piattaforme ecommerce con dipendenti che gestiscono gli ordini.

Amministratore

Capacità

L'amministratore ha il controllo completo del sito WordPress senza alcuna restrizione. Questo ruolo comprende la possibilità di installare ed eliminare plugin e temi, aggiungere ed eliminare utenti inclusi altri amministratori, accedere a tutte le impostazioni del sito, gestire tutti i contenuti inclusi articoli e pagine di tutti gli utenti, accedere all'editor del codice per la modifica diretta dei file di temi e plugin, gestire i commenti e la moderazione, ed esportare e importare i dati del sito.

Quando usarlo

Il ruolo Amministratore dovrebbe essere assegnato solo ai proprietari del sito e alle persone tecniche responsabili della gestione completa del sito. Limita al minimo il numero di amministratori, perché ogni account amministratore è un potenziale punto d'ingresso al sito. Su un tipico sito aziendale, uno o due amministratori sono sufficienti. Non usare mai l'account amministratore per la scrittura quotidiana dei contenuti. Consulta la nostra guida per l'ottimizzazione del sito WordPress, perché è più sicuro usare un account con privilegi inferiori per le attività di routine. Se hai bisogno di accedere alle funzioni di amministratore, accedi all'account admin solo quando necessario.

Editore

Capacità

L'Editore ha il controllo su tutti i contenuti del sito ma nessun accesso alle impostazioni tecniche. Gli editori possono creare, modificare, pubblicare ed eliminare qualsiasi articolo e pagina inclusi quelli scritti da altri utenti, gestire categorie e tag, moderare i commenti e approvarli per la pubblicazione, gestire i link e caricare file multimediali. L'editore non può installare plugin, cambiare il tema, aggiungere utenti o accedere alle impostazioni tecniche del sito.

Quando usarlo

Il ruolo Editore è ideale per il responsabile principale del blog o per la persona incaricata del controllo qualità dei contenuti sul sito. Questa persona revisiona gli articoli scritti da autori e collaboratori, li approva per la pubblicazione, corregge gli errori e garantisce la coerenza dei contenuti. Su un sito aziendale, il responsabile marketing o comunicazione è il candidato tipico per il ruolo di editore, perché ha bisogno del controllo sui contenuti ma non sugli aspetti tecnici del sito.

Autore

Capacità

Un Autore può creare, modificare e pubblicare i propri articoli senza l'approvazione di un editore o amministratore. Gli autori possono caricare file multimediali, modificare ed eliminare i propri articoli pubblicati ma non possono modificare o eliminare gli articoli di altri utenti. Gli autori non possono creare pagine, solo articoli, non possono gestire categorie e tag a livello di sito ma possono aggiungere categorie e tag esistenti ai propri articoli. Non hanno accesso ai commenti tranne quelli sui propri articoli.

Quando usarlo

Il ruolo Autore è adatto a scrittori fidati che contribuiscono regolarmente con contenuti e a cui affidi la pubblicazione di contenuti di qualità senza revisione preventiva. Giornalisti, blogger esperti o dipendenti del marketing che scrivono e pubblicano contenuti in autonomia sono i candidati tipici. La differenza fondamentale tra autore e collaboratore è che gli autori possono pubblicare gli articoli da soli, mentre i collaboratori devono attendere l'approvazione. Quindi assegna il ruolo Autore solo alle persone i cui contenuti non richiedono una revisione regolare.

Collaboratore

Capacità

Un Collaboratore può scrivere e modificare i propri articoli ma non può pubblicarli. Invece, il collaboratore invia l'articolo per la revisione e l'editore o l'amministratore lo approva e lo pubblica. I collaboratori non possono caricare file multimediali, il che significa che non possono aggiungere immagini agli articoli. Dopo la pubblicazione di un articolo, il collaboratore non può più modificarlo, perché l'articolo pubblicato diventa responsabilità dell'editore. Queste limitazioni rendono il ruolo di collaboratore sicuro per scrittori esterni o per coloro di cui non ti fidi completamente.

Quando usarlo

Il ruolo Collaboratore è ideale per scrittori ospiti, autori freelance o nuovi membri del team i cui contenuti richiedono una revisione prima della pubblicazione. Sui blog che accettano guest post, un account collaboratore consente agli autori esterni di scrivere direttamente in WordPress senza il rischio di pubblicare qualcosa di inappropriato. La limitazione sul caricamento di file previene potenziali abusi per il caricamento di contenuti dannosi. Se i collaboratori devono aggiungere immagini agli articoli, lo fa l'editore o l'amministratore dopo la revisione dei contenuti.

Iscritto

Capacità

Un Iscritto ha il livello di accesso più basso e può solo gestire il proprio profilo e leggere i contenuti che richiedono il login. Gli iscritti non possono creare, modificare o eliminare alcun contenuto sul sito. L'unica differenza tra un iscritto e un visitatore non registrato è che l'iscritto ha un account utente che può usare per commentare senza reinserire i dati personali e per accedere ai contenuti riservati agli utenti registrati.

Quando usarlo

Il ruolo Iscritto si usa sui siti che richiedono la registrazione per accedere a determinati contenuti, per commentare o per accedere a una community chiusa. I siti di membership usano l'iscritto come ruolo di base per gli utenti registrati con la possibilità di passare a livelli di accesso premium. Forum e community usano l'iscritto per gli utenti che partecipano alle discussioni. WordPress imposta per default il ruolo dei nuovi utenti registrati su iscritto, che è un'opzione sicura perché un iscritto non può causare danni al sito.

Ruoli utente personalizzati

Perché creare ruoli personalizzati

I ruoli predefiniti non coprono tutti gli scenari d'uso. Ad esempio, potresti volere un ruolo che possa pubblicare articoli ma non eliminarli, o un ruolo che abbia accesso agli ordini WooCommerce ma non alle impostazioni del negozio. I ruoli personalizzati risolvono queste esigenze specifiche creando ruoli con insiemi di capacità definiti con precisione e adatti al tuo flusso di lavoro.

Plugin per la gestione dei ruoli

User Role Editor è il plugin più popolare per la gestione dei ruoli di WordPress, con oltre 700.000 installazioni attive. Offre un'interfaccia visiva per creare nuovi ruoli, aggiungere o rimuovere capacità dai ruoli esistenti e assegnare più ruoli a un singolo utente. Members del team di MemberPress offre funzionalità simili con un focus sul controllo dell'accesso ai contenuti per ruolo. PublishPress Capabilities è un'altra opzione con un'interfaccia pulita per la gestione delle capacità. Tutti questi plugin consentono di creare ruoli personalizzati senza scrivere codice.

Esempi di ruoli personalizzati

SEO Manager è un ruolo personalizzato con accesso alle impostazioni SEO in Yoast o Rank Math ma non può modificare il contenuto degli articoli. Comment Moderator può gestire i commenti ma non ha accesso ad articoli o pagine. WooCommerce Product Manager può aggiungere e modificare prodotti ma non ha accesso agli ordini o ai dati finanziari. Designer può modificare l'aspetto del sito e caricare file multimediali ma non può installare plugin o modificare gli account utente. Questi ruoli personalizzati consentono un controllo preciso dell'accesso, adatto alla struttura del tuo team.

Creare ruoli con il codice

Per gli sviluppatori, WordPress fornisce un'API per creare ruoli personalizzati tramite codice. La funzione add_role accetta il nome del ruolo, il nome visualizzato e un array di capacità. Puoi usare le funzioni add_cap e remove_cap per aggiungere o rimuovere singole capacità dai ruoli esistenti. Queste modifiche dovrebbero essere attivate solo una volta, tipicamente all'attivazione del plugin o del tema, non a ogni caricamento di pagina, perché vengono memorizzate nel database. Il sistema di capacità di WordPress è flessibile e consente di creare permessi granulari per ogni azione sul sito.

Raccomandazioni di sicurezza

Principio del privilegio minimo

Assegna sempre agli utenti il ruolo più basso che consente loro di svolgere il proprio lavoro. Questo è noto come principio del privilegio minimo ed è uno dei fondamenti della sicurezza informatica. Se un utente scrive solo articoli, dagli il ruolo Autore o Collaboratore, non Editore o Amministratore. Se un utente deve solo leggere i contenuti, Iscritto è sufficiente. La revisione dei ruoli dovrebbe essere effettuata periodicamente per rimuovere gli account non necessari e abbassare i ruoli degli utenti che non svolgono più le stesse funzioni.

Misure di sicurezza aggiuntive

Oltre alla corretta assegnazione dei ruoli, implementa l'autenticazione a due fattori, soprattutto per gli account amministratore ed editore. Usa password complesse per tutti gli account e richiedi modifiche periodiche delle password. Disabilita la registrazione degli utenti se non necessaria per il tuo sito, perché la registrazione aperta può essere sfruttata per spam o attacchi. Tieni traccia dell'attività degli utenti con plugin come WP Activity Log, che registra tutte le azioni sul sito e ti consente di identificare attività sospette.

Conclusione

Il sistema utenti di WordPress con ruoli e capacità offre un controllo degli accessi flessibile ed essenziale per i siti con più utenti. Amministratore per il proprietario del sito, Editore per il responsabile dei contenuti, Autore per gli scrittori fidati, Collaboratore per i collaboratori esterni e Iscritto per i visitatori registrati coprono la maggior parte degli scenari. Per esigenze specifiche, i ruoli personalizzati offrono un controllo preciso dei permessi. Su BeoHosting, i nostri pacchetti di hosting WordPress supportano un numero illimitato di account utente con un ambiente veloce e sicuro che protegge tutti gli account del tuo sito.