I ruoli WordPress e i permessi degli stessi nella piattaforma danno la possibilità di controllare ciò che gli altri utenti possono o non possono fare sul tuo sito. Puoi usarli per gestire le azioni degli utenti come scrivere e modificare i post, creare nuove pagine, moderare i commenti, installare plugin, aggiungere nuovi utenti e molto altro ancora.
La comprensione dei ruoli e dei permessi degli utenti è essenziale per gestire qualsiasi sito WordPress. Per esempio, se stai costruendo un sito per un cliente, non vorresti che modificasse o cambiasse il tema installato. Allo stesso modo, non è saggio lasciare che gli autori di un blog installino o rimuovano i plugin.
Imparare a gestire i ruoli degli utenti di WordPress in modo intelligente ti aiuterà a snellire il tuo flusso di lavoro, a mantenere il sito sicuro e mantenere il massimo controllo.
In questa ampia guida, imparerai a conoscere i ruoli WordPress degli utenti, le varie funzionalità che la piattaforma fornisce, come modificare i ruoli utente esistenti, come gestire gli utenti su più siti e come creare nuovi ruoli con un nuovo set di funzionalità.
Quali sono i ruoli WordPress e le loro capacità
I ruoli WordPress e le capacità sono il pane quotidiano della gestione degli accessi degli utenti. Per capire quali sono i ruoli degli utenti in WordPress, devi prima sapere quali sono le capacità. Le capacità (capability in inglese) definiscono qualsiasi azione che un utente (o meglio un ruolo) può intraprendere in WordPress.
Ecco alcuni esempi di capacità disponibili in WordPress e come sono referenziate nel codice, cioè come ci si riferisce a queste capacità quando si scrive codice:
- Leggere i messaggi (
read) - Scrivere e modificare i messaggi (
edit_posts) - Pubblicare i messaggi (
publish_posts) - Installare i plugin (
install_plugins) - Eliminare temi (
delete_themes) - Creare utenti (
create_users) - Moderare contenuti (
moderate_comments)
La maggior parte delle capacità sono auto-esplicative, il loro nome dice già a cosa servono. Sappi, però, che WordPress ha più di 70 capacità hardcoded, cioè scritte nel suo core, nel motore.
Tre cose fondamentali da sapere sui ruoli
- I Ruoli WordPress sono, di fatto, degli gruppi di capacità che puoi assegnare ad ogni utente, gli utenti con lo stesso ruolo avranno le medesime capacità
- Ogni utente di WordPress deve avere un ruolo
- Un utente può intraprendere solo le azioni che il suo ruolo gli garantisce
| Capacità | Super Admin | Admin | Editor | Autore | Contr. | Subs. |
|---|---|---|---|---|---|---|
| Read Posts | X | X | X | X | X | X |
| Post Comments | X | X | X | X | X | X |
| Creare bozze | X | X | X | X | X | |
| Pubblicare i propri post | X | X | X | X | ||
| Upload media | X | X | X | X | ||
| Creare pagine | X | X | X | |||
| Moderare contenuti | X | X | X | |||
| Gestire temi | X | X | ||||
| Gestire utenti | X | X | ||||
| Creare una rete | X |
Nella tabella qui sopra sono indicate alcune capacità e quali ruoli, tra quelli standard, possono usufruirne. Tutti possono leggere i post, ma solo i contributor o ruoli superiori possono crearne. Gli editor possono gestire i contenuti, ma solo gli admin e i super admin possono gestire i temi.
Più capacità ha un ruolo, più in alto si trova in una ipotetica scala di responsabilità e gestione.
WordPress usa molte delle capacità native (chiamate in precedenza hardcoded) per definire i suoi ruoli utente di default. Per esempio, concede agli Amministratori (admin) e agli Editori (editor) la publish_page capability, ma non la assegna agli Abbonati (subscribers) e ai Collaboratori (contributor).
Ogni utente ha come minimo un nome utente, una password, un indirizzo e-mail e un ruolo WordPress.
Capacità speciale: upload non filtrato
L’upload non filtrato è una capacità speciale che non è assegnata ad alcun ruolo utente per default, inclusi l’Amministratore o il Super Admin. Permette ad un utente di caricare file con qualsiasi estensione (es. SVG o PSD), non solo quelli elencati in whitelist da WordPress.
Per abilitare questa funzione, devi aggiungere il seguente frammento di codice al tuo file wp-config.php. Definisci la costante qui sotto prima della linea che ti chiede di smettere di modificare il file.
define( 'ALLOW_UNFILTERED_UPLOADS', true );Per maggiori informazioni sull’uso degli SVG, puoi consultare l’articolo apposito e anche un video YouTube pubblicato per l’occorrenza.
Dopo aver definito la costante nel file wp-config.php, puoi assegnare a qualsiasi utente la funzionalità di upload non filtrato.
Capacità primitive vs meta-capacità
Ci sono principalmente due tipi di capacità in WordPress:
- Le capacità primitive: Queste capacità sono concesse a ruoli particolari. Gli utenti con questi ruoli ereditano automaticamente le capacità primitive.
- Le meta-capacità: Queste capacità non sono concesse ad alcun ruolo di default. WordPress controlla un certo oggetto nel suo codice e nel suo database, come post, pagina, utente o qualsiasi tassonomia, e se la logica è verificata, “mappa” una meta-capacità ad una o più capacità primitive.
Per esempio, WordPress concede agli Autori la capacità edit_posts per i loro post in modo che siano in grado di modificarli. Tuttavia, questa capacità non permette loro di modificare i post degli altri utenti. Questo è il momento in cui le meta-capacità tornano utili.
Alcuni altri esempi di capacità meta sono read_post, delete_post, remove_user e read_post. Li esamineremo più a fondo nella sezione delle capacità personalizzate qui sotto.
I sei ruoli WordPress predefiniti
WordPress include sei ruoli utente predefiniti. Il primo utente di un’installazione WordPress ottiene il ruolo di amministratore di default.
Da quando WordPress ha iniziato come piattaforma di blogging prima di svilupparsi in un vero e proprio CMS, definisce la maggior parte dei suoi ruoli utente per pubblicare contenuti sul web. Gli altri ruoli utente predefiniti sono Editor, Autore (author), Collaboratore (contributor) e Abbonato (subscriber).
Immagina i ruoli utente di WordPress come una serie di scatole impilate che rappresentano varie capacità. La scatola più grande ha le maggiori capacità, la seconda più grande ne ha meno, e quella più piccola ne ha il numero minore.
Non dovresti considerare un ruolo come superiore ad un altro. Piuttosto, pensa ai ruoli come a stabilire le responsabilità di un utente all’interno del sito. Vediamo ora nel dettaglio tutti i ruoli uno per uno.
Administrator (admin)
WordPress assegna al primo utente di qualsiasi installazione su un singolo sito il ruolo di Amministratore. Si trova in cima a tutti gli altri ruoli utente e ha accesso a tutte le funzionalità definite da WordPress. Gli utenti con il ruolo di Amministratore possono eseguire azioni come:
Poiché un Amministratore è quello tra i ruoli WordPress più potente, dovresti assegnarlo solo a persone di cui ti fidi. Idealmente, ci dovrebbe essere un solo amministratore per sito e dovrebbe essere assegnato a chi gestisce tecnicamente il sito, ossia il webmaster.
Redattori / editori (editor)
Un Editore si occupa della gestione dei contenuti di un sito WordPress. Può creare, modificare, pubblicare o cancellare i post e le pagine, anche quelle create da altri utenti. Alcune delle loro capacità includono:
- Cancellare i post e le pagine pubblicate
- Moderare i commenti
- Gestire i link e le categorie
- Modificare i post e le pagine degli altri utenti
Gli editori non possono intraprendere azioni di amministrazione del sito come l’installazione di plugin e temi. La loro responsabilità principale è quella di supervisionare il lavoro di altri autori e collaboratori o di essere un team di essere l’unico creatore di contenuti del sito.
Suggerimento: se stai gestendo un sito WordPress da solo, puoi creare un utente alternativo per te stesso con il ruolo di editore. In questo modo puoi tenere separati i tuoi compiti di amministratore e quelli di editore. Il tuo account di amministratore è al sicuro dagli hacker anche se il tuo account di editore viene compromesso. Un ulteriore livello di sicurezza per il tuo sito.
Autore
Come suggerisce il nome, ogni utente con un ruolo di Autore può creare, modificare e pubblicare post. Può anche caricare file multimediali e cancellare i propri post, ma non può creare pagine o modificare i post di qualcun altro.
Gli autori possono aggiungere tag ai loro post e assegnare i loro post alle categorie esistenti, ma non possono creare nuove categorie. Come con gli editor, non hanno accesso a nessun compito amministrativo come impostazioni, plugin e temi.
Nota: Un autore può cancellare i suoi post anche dopo che sono stati pubblicati. Se stai assegnando a qualcuno il ruolo di Autore, assicurati che ti vada bene che abbia il completo controllo dei suoi post, inclusa la loro cancellazione.
Collaboratore (contributor)
Il ruolo di Collaboratore è una versione ridotta del ruolo di autore. Un utente con il ruolo di collaboratore può creare i propri post, cancellare le bozze dei suoi post, ma non può pubblicare i post.
Può salvare le bozze dei suoi post o inviarle a un Editore o a un Amministratore per la revisione e la pubblicazione. Una volta pubblicato il post, un Collaboratore non può cancellarlo, al contrario degli Autori che possono cancellare anche i loro post dopo la pubblicazione.
Il ruolo di Collaboratore è ideale per i nuovi autori e per i collaboratori ospiti.
Abbonato (subscriber)
Il ruolo di Abbonato si trova al livello più basso della classifica delle capacità. Un utente con un ruolo di Abbonato può gestire il proprio profilo e ha accesso alla lettura di tutti i post del sito. Questo è tutto!
Di solito, tutti hanno accesso ai contenuti letti su un sito WordPress. Tuttavia, nei siti di abbonamento o di affiliazione, solo gli utenti registrati possono visualizzare i contenuti. Un utente con un ruolo di Abbonato può leggere i post in questi casi.
Il vantaggio nella gestione dei ruoli
Il sistema di ruoli e capacità è la spina dorsale della gestione degli utenti WordPress. Ecco alcuni dei suoi numerosi vantaggi:
- I ruoli utente ti aiutano a gestire tutti gli utenti del tuo sito in modo più efficiente. Anche se hai decine di utenti sul tuo sito che lavorano da diverse parti del mondo, puoi supervisionarli facilmente concedendo i ruoli giusti a ciascuno di loro.
- Limitando gli utenti a capacità specifiche, ti aiuta a mantenere il tuo sito più sicuro. Per esempio, gli autori non possono cancellare i post altrui, i redattori (editor) non possono modificare i temi o installare plugin, e gli abbonati possono accedere solo ai propri profili.
- I plugin di WordPress possono verificare se un utente ha determinate capacità e, in base a ciò, eseguire una certa azione. Per esempio, un plugin di sicurezza può mostrare il suo pannello delle opzioni solo all’amministratore, ma mostra comunque gli avvisi di sicurezza a tutti gli utenti.
- Puoi modificare i ruoli degli utenti per delegare alcune delle tue responsabilità di ruolo ad altri utenti per liberare il tuo tempo. Diciamo che il tuo sito sta attirando un sacco di commenti. In questi casi, puoi permettere ad un autore di fiducia di accettare commenti di moderazione. Manterrai comunque il massimo potere come amministratore, ma potrai condividere alcune delle tue responsabilità a seconda delle necessità.
- Puoi usare i controlli di capacità per mostrare i post privati e le pagine che solo alcuni ruoli utente possono visualizzare. Questo costituisce la base dei siti di appartenenza.
- Puoi mostrare o nascondere elementi frontend sul tuo sito (ad esempio voci di menu, widget) a seconda del ruolo dell’utente.
- Puoi creare custom post type con funzionalità personalizzate e concedere o negare tali funzionalità per ogni ruolo utente. Allo stesso modo, puoi anche definire capacità personalizzate per permettere solo ad alcuni ruoli di avere accesso alle impostazioni del tuo plugin o del tuo tema.
Come gestire i ruoli WordPress in modo efficiente
Conoscere tutti i ruoli WordPress e le capacità degli utenti è essenziale, ma devi anche capire come gestirli in modo efficiente sul tuo sito. Anche se non ci sono due siti WordPress esattamente uguali, ci sono alcune regole di base che puoi seguire per utilizzare al meglio i ruoli e le capacità degli utenti di WordPress.
Assegna solo l’essenziale a ogni utente
Assegna ad ogni utente del tuo sito solo il livello di accesso di cui ha bisogno. È sempre meglio dare meno permessi che troppi. Assicurare i ruoli degli utenti di WordPress è fondamentale per mantenere il tuo sito e i suoi contenuti al sicuro.
Limita il numero di admin ed editor
Come regola generale, ogni sito dovrebbe avere un solo Amministratore e dovrebbe apportare solo modifiche fondamentali al sito. WordPress raccomanda di aderire al “principio dei privilegi minimi”, che suggerisce di dare all’utente solo i privilegi essenziali per svolgere il lavoro desiderato.
Per esempio, è meglio usare un utente di livello Editor per gestire i contenuti del sito, piuttosto che usare un Amministratore. Assegna il ruolo di Autore ai creatori di contenuti di cui ti puoi fidare, in quanto possono pubblicare e cancellare i loro post. I ruoli di Collaboratore sono più adatti ai nuovi creatori di contenuti e ai post degli ospiti.
Personalizza i ruoli in base alle necessità
I ruoli utente di default di WordPress sono utili, ma potrebbero non essere adatti ad ogni caso d’uso. Per esempio, dando ai tuoi Autori la possibilità di moderare i commenti.
Fortunatamente, WordPress ci garantisce la possibilità di personalizzare i ruoli utente o di creare nuovi ruoli secondo le nostre esigenze. Puoi farlo semplicemente attraverso l’uso di plugin.
I migliori plugin per la gestione delle capacità dei ruoli
Saper modificare i ruoli e le capacità degli utenti con il codice è fantastico, ma non è per tutti e neppure dovrebbe esserlo. Ci sono così tante cose che possono andare male se non sei sicuro di quello che stai facendo. Tuttavia, sapere come funzionano i ruoli e le capacità in WordPress aiuta immensamente anche se stai usando un plugin.
User Role Editor di Vladimir Guragulia
User Role Editor è il plugin più popolare per la gestione dei ruoli e delle capacità del repository di WordPress. Viene fornito con una semplice interfaccia che permette a chiunque di modificare i ruoli e le capacità degli utenti con un solo click.
Dopo aver installato e attivato il plugin, puoi andare su Utenti > User Role Editor nella tua dashboard di amministrazione per accedere alla sua interfaccia primaria.
Ecco una panoramica dettagliata delle sezioni del pannello contrassegnate qui sopra:
- Seleziona il ruolo che vuoi personalizzare dal menu a tendina. Elencherà non solo i ruoli predefiniti ma tutti i ruoli custom presenti nel tuo database. Puoi anche scegliere di mostrare le capacità in forma leggibile dall’uomo piuttosto che con le loro costanti (utili per scrivere codice). Un’altra opzione ti permette di vedere le capacità che non sono più supportate nell’ultima versione di WordPress.
- User Role Editor raggruppa tutte le capacità in categorie distinte a sinistra. La categoria Core include tutte le capacità incorporate. Da quando ho installato WPForms su questo sito, puoi trovare anche le funzionalità per i suoi form. Anche il plugin User Role Editor aggiunge il proprio set di funzionalità personalizzate.
- Sulla destra, troverai tutte le funzionalità elencate. Come ho selezionato il gruppo All, posso vedere tutte le funzionalità. Tuttavia, puoi filtrarle cliccando su un gruppo a sinistra. Puoi anche spuntare l’opzione Solo Concessi in alto per nascondere tutte le capacità che non sono usate da nessun ruolo utente.
- Puoi anche aggiungere un ruolo, rinominare un ruolo, aggiungere una capacità e cancellare un ruolo. In fondo, troverai un’opzione aggiuntiva per nascondere la barra di amministrazione per il ruolo utente.
Per personalizzare qualsiasi ruolo utente, basta selezionare o deselezionare le funzionalità desiderate e fare clic sul pulsante Aggiorna per salvare le modifiche.
Clicca sul pulsante Aggiungi ruolo per creare un nuovo ruolo. Puoi creare un ruolo da zero o duplicare un ruolo esistente usando l’opzione Fai copia del menu a tendina.
Puoi anche rinominare il Nome di visualizzazione del ruolo cliccando sul pulsante Rinomina ruolo. Tuttavia, non puoi cambiare il suo Role ID (o Role Name). Una soluzione è duplicare il ruolo di cui vuoi cambiare l’ID e poi cancellare il ruolo originale.
Puoi aggiungere nuove capacità cliccando sul pulsante Aggiungi capacità.
Cliccando sul pulsante Elimina Ruoli puoi cancellare i ruoli personalizzati che non hai assegnato a nessun utente.
Nota: L’Editor ruoli WordPress non ti permette di eliminare i ruoli o le capacità incorporate in WordPress. Inoltre non ti permette di cancellare alcun ruolo personalizzato se è assegnato a un qualsiasi utente, o qualsiasi capacità personalizzata se è assegnato a qualsiasi ruolo non amministratore.
Per assegnare a un utente più ruoli, devi andare nel pannello Utenti nella tua dashboard, e poi cliccare sul link Capacità che vedrai sotto al nome dopo averci passato il mouse sopra.
Se vai in Impostazioni > User Role Editor nella tua dashboard di amministrazione, troverai anche opzioni aggiuntive per il plugin.
Mentre la versione gratuita di User Role Editor è più che sufficiente per la maggior parte dei casi, la versione premium include ancora più funzionalità, incluso il supporto per la gestione dei ruoli e delle capacità nelle impostazioni di WordPress Multisito.
Members di MemberPress
Members è un plugin per WordPress focalizzato sui ruoli e le capacità degli utenti e sulle funzionalità di WordPress. Lanciato originariamente come un semplice plugin per la gestione dei ruoli utente e delle capacità, da allora è stato orientato verso funzioni di membership.
Dopo aver installato e attivato il plugin, puoi visualizzare tutti i ruoli disponibili dal pannello principale su Members > Ruoli nella tua dashboard.
Members ti permette di cancellare tutti i ruoli, inclusi i ruoli incorporati in WordPress, ad eccezione dell’Amministratore e del Ruolo di default. Puoi anche modificare e clonare i ruoli, così come elencare tutti gli utenti assegnati ad un ruolo specifico.
All’interno del pannello Modifica Ruolo, puoi concedere o negare esplicitamente le capacità ad un particolare ruolo spuntando e deselezionando le relative caselle di controllo. Puoi anche aggiungere una capacità personalizzata al ruolo da qui.
Cliccando sul link Aggiungi nuovo ruolo si accede ad una schermata simile dove è possibile creare un nuovo ruolo dandogli un nome di visualizzazione, un id, e il suo insieme di funzionalità.
Proprio come con User Role Editor, puoi usare Members per assegnare agli utenti ruoli multipli. Puoi anche impostare i permessi di contenuto per limitare i contenuti agli utenti con solo un certo ruolo.
Puoi impostare il tuo sito e il feed in modo che sia privato. Inoltre, puoi limitare l’accesso all’API REST di WordPress agli estranei facendo rispettare l’autenticazione.
Members si distingue dagli altri plugin per la gestione di ruoli e capacità con i suoi incredibili add-on. Ti aiutano ad aggiungere moltissime funzionalità aggiuntive al sito, come la privacy degli utenti e la gestione dei dati personali (GDPR), aggiungono funzionalità relative ai tag e alla categoria, stabiliscono la gerarchia dei ruoli e altro ancora.
Puoi integrare senza problemi il plugin Members con molti popolari plugin di WordPress. Per esempio, puoi usarlo per creare e gestire capacità personalizzate per il plugin Advance Custom Fields (ACF). Alcuni altri plugin con cui si integra sono Easy Digital Downloads, GiveWP e WooCommerce.
I componenti aggiuntivi su Members focalizzati sull’iscrizione (Pagamenti, Abbonamenti, Email Marketing e Protezione avanzata dei contenuti) sono disponibili solo nella sua versione premium.
Conclusioni
Nonostante questa voglia essere una guida approfondita, credo che scendere in ulteriori dettagli per ogni singolo plugin disponibile sia eccessivo.
Ti ricordo che ho un canale YouTube in cui parlo di WordPress e di Web Design, ho pubblicato anche dei video corsi su Udemy. Per ottenere degli sconti sui corsi, basterà iscriversi alla newsletter!
