roles usuarios WordPress

Dec 09, 2021 • 7 min read

0 comentarios

Todo lo que necesitas saber sobre los roles de usuario de WordPress y las capacidades para administrarlos

A medida que WordPress ha crecido en popularidad, aplicación y complejidad, todos hemos descubierto algo muy importante, hacer que todos sean administradores no es una estrategia ganadora. Afortunadamente, WordPress nos proporciona una herramienta muy poderosa llamada Funciones y capacidades de usuario que nos ayuda a brindar a las personas las capacidades que necesitan sin darles demasiado o muy poco. Esto nos ayuda a mantener nuestros sitios seguros.

En este artículo hablaremos de:

  • Qué son los roles de usuario de WordPress
  • Cuáles son los diferentes roles que vienen con WordPress
  • Cómo crear roles personalizados en WordPress para satisfacer tus necesidades específicas
  • Consideración de seguridad con roles de usuario

¿Qué son los roles de usuario de WordPress?

A medida que los sitios se vuelven más grandes y complejos, se necesitan más personas para administrarlos y mantenerlos.

Sí, los sitios todavía necesitan:

  • Autores para escribir contenido nuevo que mejore la vida de las personas.
  • Editores para corregir todos los errores en los contenidos de los autores.
  • Administradores para mantener todo actualizado y funcionando sin problemas
  • Colaboradores para ayudar a los editores a editar publicaciones
  • Suscriptores que pueden o no habernos pagado dinero, pero al menos se han registrado con nosotros y nos han proporcionado una dirección de correo electrónico. (eso tiene un valor)

Pero en la actualidad los sitios también necesitan:

  • Personal del almacén para iniciar sesión, imprimir etiquetas y enviar productos.
  • Personal de contabilidad para asegurarse de que cobramos todo el dinero que se nos debe.
  • Responsables de redes sociales que pueden ver lo que ocurre entre bastidores, pero no necesariamente cambiar las cosas.
  • Miembros de la comunidad que han pagado una suscripción premium para acceder a las cosas realmente buenas que los autores están escribiendo y los editores están editando
  • Y, por supuesto … miembros de la comunidad premium que pueden iniciar sesión y acceder a las cosas realmente REALMENTE buenas que guardamos para aquellos pocos especiales que ven nuestra visión y se suscriben en el nivel premium.

La lista de roles de usuario de WordPress necesarios es interminable. Cambia con cada sitio porque las necesidades de cada sitio son diferentes.

Los principales tipos de roles de usuario de WordPress y sus capacidades

Un rol de usuario de WordPress es una colección de “capacidades”. Una capacidad es un permiso para hacer algo. La instalación estándar de WordPress viene con alrededor de 40 capacidades, así como con 6 roles de usuario por defecto, ordenados por nivel de poder sobre esas capacidades:

Administrador:

El rol de administrador predeterminado (que no debe confundirse con la cuenta de administrador… que no deberías tener en tu sitio). Si tienes uno, párate y mira este vídeo (en inglés) tiene todas las capacidades estándar.

¿Qué puede hacer un administrador de WordPress?

En un sitio normal de WordPress, no hay nada que el rol de administrador no pueda hacer, como por ejemplo:

  • Crear o eliminar usuarios y administrar sus permisos
  • Personalizar el panel de WP
  • Actualizar el núcleo, los temas y los plugins de WP
  • Editar y administrar publicaciones y categorías
  • Subir archivos
  • Moderar comentarios 
  • …y mucho más.
¿Quién debería tener el rol de administrador?

La función de administrador debe reservarse para la persona responsable de los aspectos técnicos del sitio. Si no administras la seguridad del sitio, no actualizas los plugins y no manejas los problemas, probablemente no necesites ser administrador.

Por razones de seguridad, siempre creo una cuenta separada que utilizo en mis sitios como administrador. Mi cuenta normal, la que uso para publicar contenido y administrar usuarios, es un editor. Por lo tanto, tengo que tomar una decisión consciente de iniciar sesión para hacer cosas de administrador.

Todas mis cuentas de nivel de administrador tienen habilitada la autenticación de dos factores (ver más abajo) y tienen contraseñas muy seguras.

Las cosas se complican un poco más si está ejecutando un multisitio de WordPress, porque las capacidades de usuario de los administradores son limitadas para este tipo de sitios. Para esto, hay un rol de usuario adicional de WordPress en WordPress: el rol de super-admin.

Editor:

El editor gestiona las cosas. La cuenta con la que normalmente inicio sesión en mis sitios es un editor. Puedo hacer de todo, excepto administrar plugins, temas y otras cosas técnicas que requieren un pensamiento más meditado antes de hacerlo. Tener mi cuenta diaria como editor evita que deshabilite o elimine accidentalmente un plugin o tema.

¿Quién debería tener el puesto de editor?

Cualquiera que esté administrando cosas en tu sitio (contenido, usuarios, etc.) es un candidato para ser editor.

No te dejes engañar por el nombre de la función, el editor sigue siendo una función muy poderosa y, en las manos equivocadas, puede causar graves daños a tu sitio. Considera seriamente habilitar la autenticación de dos factores en los editores y aplicar contraseñas seguras para mantener estas cuentas seguras.

Autor:

El siguiente es el rol de autor. El rol de autor es un rol mucho más limitado. Básicamente, un autor puede: cargar archivos y crear, editar, publicar o eliminar sus propias publicaciones.

¿Quién debería tener el rol de autor?

La función de autor es ideal para los escritores invitados en un blog o para los autores habituales cuya única función es escribir y editar contenido.

Suscriptor:

Un suscriptor es un invitado que se ha registrado en tu sitio. No tienen otra capacidad que la de poder leer contenido y editar su información.

Algunos sitios tienen contenido que no es visible para los usuarios a menos que se registren. El suscriptor es un buen rol para usar para eso. Necesitará un plugin para poder ocultar el contenido de los usuarios que no tienen un rol determinado o superior, pero son fáciles de encontrar en el repositorio de plugins de WordPress.

Otros roles:

Muchos plugins que instales como WooCommerce agregarán nuevos roles y nuevas capacidades a WordPress automáticamente. Por ejemplo, cuando instalas WooCommerce, agregas el rol de “cliente”. Un cliente tiene ciertas capacidades que se ocupan principalmente de que puedas ver y cambiar sus propios datos, ver sus roles, etc. Las personas pasan al rol de cliente cuando compran algo y configuran una cuenta en tu sitio.

Cómo asignar roles de usuario de WordPress a los usuarios de tu sitio

WordPress no viene con un editor integrado de funciones y capacidades (más sobre eso a continuación). Sin embargo, puedes asignar diferentes roles a tus usuarios. Hay dos formas de hacerlo con una instalación estándar de WordPress.

  1. Manualmente

Para cada usuario de tu sitio, puedes añadirlo en el editor de usuarios y seleccionar el rol que deseas que tenga.


En la captura de pantalla anterior, seleccioné “Suscriptor” para el miembro de mi sitio “Bob Builder”. Puedes asignar y reasignar roles con la frecuencia que desees.

  1. Automáticamente

Con una cuenta con el rol de administrador, puedes ir al Panel de administración de WordPress y seleccionar Ajustes generales. Allí encontrarás un menú desplegable que te permite decidir qué rol se asignará automáticamente a los usuarios cuando se registren en tu sitio. Este valor predeterminado es “suscriptor”, pero puedes configurarlo en cualquier función que desees.

Cómo administrar y editar roles de usuario de WordPress y sus capacidades

Como dije, casi todas las capacidades están reservadas para el administrador, eso no significa que no puedas cambiar las cosas. En ocasiones, es posible que desees que tus colaboradores puedan moderar los comentarios, una capacidad normalmente reservada para los editores. WordPress es lo suficientemente flexible como para permitirte mover capacidades e incluso crear nuevos roles.

No hay una buena manera de ver qué roles y capacidades están configurados en WordPress ni crear nuevos. Si eres programador, por supuesto, puedes escribir código para verlos incluso escribir código que creará otros nuevos. Sin embargo, ¿dónde está la diversión en eso?

Como todo en WordPress, la forma más fácil de administrar roles y capacidades es instalar un plugin. Además, como todo en WordPress, hay muchos buenos plugins para elegir que te ayudarán a ver, administrar y crear roles y capacidades de usuario.

Debido a que existen tantos plugins, no puedo decirte cuál es el mejor. Sin embargo, puedo decirte cuál uso. Utilizo User Role Editor de Vladimir Garagulya desde hace un tiempo.

La principal razón por la que elegí este plugin en particular es que hace el trabajo que necesito. La segunda razón más importante por la que lo elegí fue porque es gratis. Cuando digo gratis, me refiero a que uso la versión gratuita. Vladimir tiene varias opciones para aquellos que desean las funciones avanzadas y este código bien vale la pena.

Cómo administrar los roles de usuario de WordPress con User Role Editor

Después de instalar User Role Editor, probablemente notarás que no agregó otro elemento de menú a la barra lateral izquierda. En su lugar, agrega un elemento de submenú al menú “Usuarios”, “User Role Editor”.

Haz clic en eso y obtendrás una lista completa de todas las capacidades actualmente en uso en tu sistema.

En el lado derecho de la lista hay una serie de botones que te permiten agregar nuevos roles y capacidades.

El diseño de la pantalla puede resultar un poco confuso al principio. Sin embargo, una vez que comienzas a hurgar y ves cómo están dispuestas las cosas, comienzas a verle el sentido.

Como puedes ver, si seleccionas el rol de administrador en el menú desplegable en la parte superior de la pantalla, te muestra todas las capacidades a las que tiene acceso el rol de administrador. (Pista: todos ellos)

El árbol de la izquierda muestra cómo se desglosan y organizan las capacidades. De esta manera, no tendrás que desplazarte por toda la lista para encontrar la que deseas activar o desactivar.

Para usar el ejemplo que usé anteriormente, si quiero que mis colaboradores puedan moderar comentarios, lo primero que hago es seleccionar colaborador de la lista de roles.

Una vez seleccionado, veo que casi todas las casillas de verificación desaparecen. En el árbol de la izquierda, cada categoría me da dos números, la cantidad de capacidades en esa categoría y la cantidad de capacidades que tiene este rol en esa categoría. En el caso de colaborador, la mayor parte del segundo número es 0.

Usando el árbol de la izquierda, podemos seleccionar “Publicaciones” para encontrar las capacidades de comentarios moderados.

Para otorgar a nuestros colaboradores la capacidad de moderar comentarios, simplemente marcamos la casilla y hacemos clic en “Actualizar” a la derecha.

Eso es todo al respecto. Ahora, cualquier persona que inicie sesión y sea un colaborador tendrá la capacidad de moderar los comentarios en las publicaciones.

Eso te da una idea de lo fácil que es administrar las funciones y capacidades de los usuarios existentes.

Cómo crear nuevas funciones y capacidades de usuario de WordPress con User Role Editor

¿Qué pasa con los nuevos roles y capacidades? ¿Son tan fáciles? Sí lo son.

A la derecha, haz clic en “Añadir perfil” y sigue las instrucciones.

Si tu nuevo rol es similar a un rol existente, incluso te brinda la posibilidad de clonar un rol existente para ahorrar tiempo. Luego, simplemente puedes cambiar las capacidades de tu nuevo rol para que se adapte a tus necesidades.

Las nuevas capacidades, por otro lado, son un poco más difíciles. Sí, puedes definirlos en la interfaz, pero a menos que haya un código escrito para usar las nuevas capacidades, no tendrán ningún efecto. Antes de comenzar a agregar capacidades, habla con tu programador.

¡Correo electrónico de inicio de sesión enviado!

Suscribirse a
más contenido increíble

Suscríbete para recibir nuestra newsletter mensual con contenido útil y ofertas de SiteGround.

¡Gracias!

Por favor, revisa tu correo electrónico para confirmar la suscripción.

Seguridad del rol de usuario de WordPress

Como has visto, es muy fácil agregar nuevos roles y personalizarlos para que se adapten a tus necesidades. Sin embargo, el hecho de que sea fácil no significa que debas agregar un montón de ellos, lo desees o no. Antes de comenzar, siéntate y decide por qué es necesario un nuevo rol. ¿Qué podrá hacer o no hacer este nuevo rol que sea diferente de los roles existentes? Cuantos más roles agregues, más tendrás que administrar.

Además, hay 2 cosas que puedes hacer para mejorar la seguridad de WordPress en términos de roles de usuario:

Aplicar el principio de privilegio mínimo

Una vez que hayas decidido agregar un nuevo rol a tu sistema, asegúrate de cumplir con el principio de privilegio mínimo. Al crear roles, menos es más. Solo da a tus nuevos roles las capacidades mínimas que necesitan para cumplir con su rol. Si estás configurando una función de contabilidad, no les des la capacidad de eliminar publicaciones. Quédate con el mínimo, siempre puedes agregar más tarde si es necesario.

Implementar la autenticación de dos factores (2FA)

Para cada nuevo rol que configures que tenga permisos significativos, asegúrate de configurar y aplicar la autenticación de dos factores para esos roles.

Si el rol de administrador es el único rol significativamente poderoso que tienes, entonces el plugin de seguridad de SiteGround: SiteGround Security es una excelente opción. Hace que configurar 2FA para el rol de administrador sea muy simple.

Si tienes otros roles que tienen un poder significativo o puedes ver la información de identificación personal (PII) de otros usuarios, asegúrate de que también se apliquen la 2FA. Hay varios plugins 2FA buenos (gratuitos) que pueden ayudarte a hacer eso.

Para concluir

WordPress tiene un sistema de funciones y capacidades de usuario avanzado que es lo suficientemente flexible como para satisfacer las necesidades de casi cualquier sitio. Sin embargo, como cualquier herramienta poderosa, puede dañar tu sitio. Puedes bloquear a los usuarios de las capacidades que necesitan para acceder al sitio o darles el poder de hacer cosas malas.

Antes de comenzar, párate, piensa y luego actúa. Esa es la estrategia ganadora para administrar los roles y capacidades de los usuarios en WordPress.

Cal Evans

Evangelista PHP

Una de las personas más admiradas de la comunidad PHP, que ha dedicado más de 16 años a construir la increíble comunidad PHP y asesorar a la próxima generación de desarrolladores. Nos sentimos extremadamente honrados de que él también sea un amigo muy especial de SiteGround.

Iniciar discusión

Ha llegado el momento de practicar