WordPress用户角色权限设置详解与最佳实践

WordPress内置了完善的用户角色与权限管理系统，允许网站管理员精确控制不同用户对网站功能的访问权限。这一机制使网站最高权限管理者能够更高效地管理网站并提升整体安全性。本教程将深入解析每个WordPress用户角色的具体功能，帮助您科学合理地设置用户角色与权限。

什么是WordPress用户角色和权限？

在WordPress中，角色代表着具备特定能力的用户群体，而权限则指代这些能力。WordPress系统预设了6种角色和70多种功能权限，且不同角色会逐级继承下级角色的能力。此外，系统还提供了多种方法来扩展或自定义用户角色与功能。

为什么要管理WordPress用户角色和权限？

合理分配用户角色与权限具有多方面重要意义：

1. 强化网站安全性
通过限制用户权限，确保参与内容编辑的用户无法更改主题、安装或删除插件、执行更新或审核评论。每个用户角色都应仅具备完成其工作所需的必要功能权限。

2. 精细化团队协作
利用不同用户角色，您可以对每个用户可访问的选项进行精细控制。这有助于建立高效协作团队，限制特定用户只能执行特定操作，如媒体上传、内容发布或未经授权的更改。

3. 简化工作流程
由于用户只能执行特定任务，他们不会因无关功能而分心或产生困惑，从而提高工作效率。

4. 插件兼容性
某些插件（如安全插件或电子商务插件）会根据用户权限限制可执行操作。例如，特定用户角色可能无法访问设置界面。

5. 内容访问控制
您可以根据用户角色限制内容访问权限，包括菜单链接、小工具、文章等。

查看WordPress用户角色和权限

WordPress系统内置了70多种功能权限，分为两类：

1. 基础功能（Primitive）
这些功能被分配给预设角色，不同预设用户角色会自动获得对应的功能权限。

2. 元功能（Meta）
这些功能基于WordPress执行检查的原始功能，提供更灵活的权限控制。

WordPress系统预设了5个角色，在多站点安装中还会额外显示一个超级管理员角色，总计6种用户角色：

1. 订阅者
2. 贡献者
3. 作者
4. 编辑
5. 管理员
6. 超级管理员（仅限多站点）

其中，管理员是每个WordPress网站必须具备的角色，通常在安装WordPress时自动创建（除非是多站点安装，此时会创建超级管理员）。通过安装WooCommerce、LifterLMS等插件，您可以添加更多自定义文章类型，如学生、教师、供应商、商城运营人员、客户等。

每个角色都拥有一套特定的权限（即有权访问的功能）。下面将从最低级别到最高级别逐一介绍每个用户角色：

1. 订阅者
订阅者可以创建用户个人资料、访问个人内容、发表评论而无需重复输入信息、更改密码以及接收通知。但订阅者无法创建内容，仅能访问功能有限的仪表盘。这一角色适合需要登录才能查看内容或发表评论的会员网站。

2. 贡献者
贡献者拥有与订阅者相同的权限，可以编辑或删除文章以及读取可重复使用的区块。但他们无法上传媒体或发布文章，只能从现有类别中选择并添加标签。贡献者可以查看待处理的评论，但不能进行审核。这一角色适合新人和客座作家。

3. 作者
作者拥有与贡献者相同的权限，但可以上传媒体、发布、编辑或删除自己的文章。他们还可以创建可重复使用的区块并编辑或删除自己的区块。作者可以完全控制自己的内容，既方便又安全。

4. 编辑
编辑者拥有与作者相同的权限，但可以编辑和发布其他用户的文章。他们可以完全访问网站的内容部分，编辑或发布页面（包括私人页面和其他人创建的文章）。编辑者可以管理类别和审核评论，但无法访问网站设置、主题或插件。

5. 管理员
管理员拥有对后端完全的访问权限，是标准WordPress安装中权限最高的用户角色。他们可以创建和编辑页面和文章、调整WordPress设置、安装主题和插件、编辑代码、控制用户权限等。管理员可以导入和导出内容、管理网站选项和编辑仪表盘，甚至可以更改其他管理员的用户角色（包括删除他们）。这一角色通常保留给站点所有者或管理员。

6. 超级管理员
超级管理员仅适用于多站点网络，是权限最高的WordPress角色。多站点是一个控制网络上多个网站的WordPress网站，超级管理员可以同时管理多个WordPress网站，包括它们的管理员。超级管理员具有与管理员相同的权限，但可以控制整个网络。他们可以创建、编辑和删除网络上的网站，将一些管理员任务转移到超级管理员，如上传、安装或删除插件或主题，以及修改用户信息。超级管理员可以控制网络上的哪些站点可以访问哪些主题和插件，并可以同时跨网络执行更新。超级管理员安装插件和主题，网络上每个WordPress网站的管理员都可以控制激活它们。多站点有一个额外的管理面板，只有超级管理员才能访问，包括网络管理员菜单，显示网络上的站点、用户、主题和插件。

分配用户角色

分配用户角色时，请遵循最小权限原则（PLoP），即仅授予用户执行任务所需的权限，确保他们无法访问不应访问的功能。分配用户角色的能力非常符合这一原则，因为您可以根据每个人的工作描述来分配它们。您可以拥有高级员工、初级员工、实习生、客座作者等，每个人都有其工作所需的特定访问权限。

这样不仅可以更好地控制WordPress网站，防止用户进行未经授权的更改，还可以防止用户意外更改设置或执行您没有准备好的更新。如果您运行一个由一组内容创建者组成的网站，则该网站应该有一个管理员来管理网站，有一个编辑器来帮助管理作者，其他用户作为作者。这允许他们上传媒体，如果您发布包含大量图像的文章，这是一个不错的选择。新的作家和客人应该是贡献者，这为您提供了最佳的控制平衡。

手动添加新用户

管理员可以为网站添加新用户。在仪表板菜单中，转到”用户” > “添加用户”。填写用户信息，选择一种语言（如果您没有使用默认语言），生成密码，选中向他们发送电子邮件通知的复选框，然后从下拉框中选择用户的角色。准备好后，单击”添加用户”。用户将在您为他们输入的地址收到一封电子邮件，该电子邮件将包含登录信息。注：由于国内的服务器托管商可能禁用了WordPress默认使用的邮件发送端口，您可能需要为您的WordPress配置STMP邮局。

更改用户权限

管理员还可以更改当前用户的权限。转到WordPress仪表板中的”用户” > “所有用户”。您将看到一个用户列表，此列表的工作方式与任何文章类型相同。在这里，您可以编辑、删除、查看、执行批量操作、添加新用户等。将鼠标悬停在您要编辑的用户上，然后在出现的菜单项中单击”编辑”。滚动直到您看到名为”显示名称”的部分。您将看到一个标记为”角色”的下拉框。该框将显示该用户的当前级别。选择此框以将其打开。选择要分配给该用户的用户级别。您通过第三方插件在网站上安装的每个角色都可供选择，因此您的选择可能与我的不同。滚动到页面底部并点击”更新用户”。

用户注册和默认用户角色

有时您希望用户能够注册为网站用户。这对电子商务、学习平台、会员网站等很有帮助。您可以允许用户注册并为其设置默认用户角色。在仪表板菜单中，转到”设置” > “常规”。选中标记为”任何人都可以注册”的框。在此下方是一个下拉框，您可以在其中选择将分配给所有新用户的默认角色。订阅者是默认设置，但您可以将其设置为您想要的任何角色，例如学生、会员等。不建议将默认设置设置为权限级别在订阅者以上的任何角色（或您网站的等效角色），因为您不希望向不认识的任何人提供对网站的访问权限。注册现在是登录页面上的一个选项。一旦访问者点击注册，他们将看到登录表单，他们可以在其中输入用户名和电子邮件。一旦他们点击注册，确认将发送到他们输入的电子邮件。他们将使用默认用户角色注册。如果您希望用户注册，您可以考虑在您的菜单或您的网站上放置一个链接作为号召性用语，以告知您的访问者这是一个选项。

使用插件编辑WordPress用户角色和权限

某些用户角色具有的某些能力存在一些问题。例如，贡献者不能上传图片，作者可以删除他们的所有内容。如果我们希望对网站的用户角色及权限进行调整，可以使用插件微调用户的功能。以下是一些推荐的插件：

1. Members
Members提供了编辑角色功能和创建新角色的工具。您也可以删除角色，可以为用户分配多个角色，内容限制允许您指定哪些角色可以访问内容。角色显示网站上的每个角色。您可以编辑、删除、克隆和查看具有每个角色的用户。创建新成员提供了一个编辑器，您可以在其中为每个任务选择每个功能。它包括您已安装的插件，例如示例中的Yoast。侧边栏包含两个小工具，您可以在其中显示登录表单和用户列表。您可以控制显示的表单和信息。价格：免费 | 查看更多

2. Ultimate Member
Ultimate Member提供了许多前端表单和配置文件的自定义选项。使用拖放构建器进行设计并添加条件逻辑和条件导航菜单。自定义用户角色并创建用户目录。您可以根据用户角色限制内容。创建会员网站并在侧栏中显示会员搜索。创建新用户角色为您提供了详细选项，包括管理和一般权限、配置文件访问、主页选项、登录、注销和删除选项。功能列表非常庞大，选择您希望用户角色包括的功能。拖放式表单构建器包含多个可帮助您入门的表单。价格：免费 | 更多信息

3. User Role Editor
User Role Editor提供单个仪表板来自定义和创建新角色和功能。所有选项都用复选框选中，您可以为每个用户分配能力，也可以为每个用户分配多个角色。编辑器可以轻松编辑任何角色的功能。通过单击选择所需的选项。通过从头开始创建角色或复制另一个角色来添加角色。添加任何角色都可以使用的新功能。价格：免费 | 更多信息

4. PublishPress Capabilities
PublishPress Capabilities支持创建自定义用户角色并通过从列表中选择每个角色来选择它们的功能。您可以完全控制每个权限。您还可以控制分类法。从头开始创建新角色、克隆角色或编辑当前角色。选择您希望每个角色拥有的能力。选择编辑、删除、阅读、其他 WordPress 核心和附加功能。附加功能提供了大量选项。您可以添加功能，将它们设置为特定于类型、特定于分类法等。只需输入名称即可添加新角色，然后您可以编辑该角色的能力。价格：免费 | 更多信息

5. Advanced Access Manager
高级访问管理器让您可以管理任何角色对您的内容的访问，这包括个人用户和访问者。您还可以定义对页面、文章、类别、自定义文章类型和自定义分类法的默认访问权限。访问设置界面提供用户和操作列表。管理、编辑、克隆或删除任何角色。选择用户角色、个人用户、未登录的访问者和默认访问权限。您可以单独调整每个用户的能力。为任何角色创建新功能。它包括一个用于侧边栏的自定义登录小部件。价格：免费 | 更多信息

其他WordPress角色和权限插件
这里还有一些可备选的插件：WPFront User Role Editor、View Admin As

使用代码编辑WordPress用户角色和权限

即使这六个角色具有预定义的功能，您也可以使用代码手动添加或删除这些功能。如果您或者团队有人对PHP熟悉，使用代码来定义用户角色及权限。但，建议大多数WordPress用户使用插件来实现。使用代码控制WordPress角色和权限可以比插件更干净、更轻量，且不必担心插件更新问题。

添加、删除和克隆角色
与自定义当前角色相比，创建新角色有时更有益。可以使用 add_role() 和 remove_role() 函数创建和删除角色。例如，此代码添加了一个名为 投稿客串人（Guest Contributor ）的角色以及以下功能：add_role( ‘guest_contributor’, ‘Guest Contributor’, array( ‘read’ => true, ‘edit_posts’ => true, ‘delete_posts’ => true, ) );此代码删除贡献者角色：remove_role( ‘contributor’ );要克隆当前用户角色，请使用以下代码：add_role( ‘clone’, ‘Clone’, get_role( ‘user_role_name’ )->capabilities );将“clone”替换为您希望新用户角色具有的名称。将“user_role_name”替换为您要克隆的角色。这为您提供了一个与另一个角色的能力相匹配的新角色。然后您可以修改新角色的能力。

添加或删除角色能力
您可以使用 WP_Role 类对象的 add_cap() 和 remove_cap() 方法自定义现有角色功能。此代码使编辑器能够激活插件：// Get the editor role object.$role = get_role( ‘editor’ );// Add ability to activate plugins.$role->add_cap( ‘activate_plugins’ );此代码删除了从作者用户角色中删除文章的功能：// Get the author role object.$role = get_role( ‘author’ );// Remove deleting posts capability.$role->remove_cap( ‘delete_posts’ );添加或删除特定用户功能您还可以使用 WP_User 类对象的 add_cap() 和 remove_cap() 方法为特定用户自定义功能。例如，此代码使用户能够切换主题并删除管理类别的功能：// Get the user object by user ID. You can also get user object by slug, email address, or login name.$user = get_user_by( ‘id’, 1 );// Add ability to switch themes.$user->add_cap( ‘switch_themes’ );// Remove manage categories capability.$user->remove_cap( ‘manage_categories’ );设置WordPress用户角色和权限的提示以下是一些设置WordPress用户角色和权限的提示。1. 将默认用户角色设置得尽可能低级别。默认设置为订阅者。不建议更改它，除非它未能完全满足您特定网站的需求，例如自定义文章类型。即便如此，还是建议使用尽可能低级别的角色。2. 根据他们需要的访问级别为每个用户选择角色。为用户提供尽可能低的级别。这减少了具有更高级别访问权限的用户数量，从而简化了他们的工作并提高了安全性。这也可以防止用户进行未经授权的更改，例如删除内容、自定义代码、更改主题、添加或删除插件等。给用户一个较低的角色并根据需要增加它比给他们一个更高的角色并因为错误或更糟的事情而后悔要安全得多。只给你完全信任的人更高的角色。3. 拥有尽可能少的管理员。可以访问主题、插件和其他设置的人越少越好。理想情况下，一个WordPress网站应该有一个管理员。此外，有一些编辑，其余的被分配为作者或贡献者。作者角色非常适合与您一起工作了足够长的时间以信任他们的工作的人。贡献者角色是新内容创作者的绝佳选择。4. 对于单人网站，为自己创建一个编辑角色。创建编辑角色可以将管理任务与日常博客角色分开。管理员用户名不会在站点上可见，这有助于防止黑客攻击。即使编辑角色被黑客入侵，管理员角色仍然安全。5. 使用代码或插件微调用户角色。标准用户权限对大多数网站都有帮助，但您可能需要自定义角色或创建新角色。例如，您可能希望某人有权访问上传媒体，但不能发布或删除其内容。这可以通过代码来完成，但插件使这尽可能简单。我们在文章中介绍的插件提供了最佳选择。建议大家认真查看每一个，看看哪些功能最适合您的需求。仅当您熟悉PHP时才使用代码。代码确实具有将代码精简为您想要的确切功能的优势。这使得代码更轻。此外，不必担心更新插件、更改插件的功能或不再支持插件。小结WordPress用户角色和权限是您网站设置的重要组成部分。它们使您可以更好地控制谁可以访问哪些功能。这有助于管理网站团队并开启发展团队的可能性，以便其他人可以执行某些操作、创建内容等。由于用户只能访问某些功能，因此用户角色有助于简化每个用户的工作。这些限制还可以提高您网站的安全性，因为它限制了每个用户的权限。可以使用插件或代码自定义WordPress用户角色和权限，让您可以更好地控制每个用户。用户角色易于理解和使用。充分了解 WordPress 用户角色，然后仔细选择这些角色将有助于您的网站更加高效和安全。如果您的WordPress网站有多个用户，则应设置WordPress用户角色。