Roles de usuario y permisos en WordPress

Siempre digo lo mismo, el sistema de roles de usuario de WordPress es muy potente, pero está oculto. De forma nativa, sin instalar plugins, no existe una forma fácil de modificar los permisos o crear un nuevo rol, aunque hay algunos plugins que realizan esos cambios mediante funciones en el código.

En el panel de administración de nuestro WordPress podemos crear, editar y borrar usuarios de WordPress. Sin embargo, no podemos ver todas las capacidades de cada rol ni modificar roles y capacidades de estos usuarios.

Ahora bien, aunque desde el panel de administración no podemos de manera nativa configurar los roles, con la ayuda de ciertos plugins podemos solucionar esto.

Y esto es precisamente de lo que vamos a hablar en este post, de los permisos, roles y capacidades del sistema de gestión de usuarios en WordPress.

¡Suscríbete al boletín!

No te enviaremos spam, lo prometemos. Enviamos a nuestros suscriptores contenido sobre WordPress, hosting, marketing digital y programación.

Enviar

Este campo es obligatorio.

+ Información básica sobre protección de datos

• Responsable:

  RAIOLA NETWORK, S.I. C.I.F.: B27453489 Avda de Magoi, 66, Semisótano, Dcha., 27002 Lugo (Lugo) Telefono: +34 982776081 e-mail: info@raiolanetworks.es

• Finalidad:

  Atender solicitudes de información, ejecución de la contratación de servicios y remisión de comunicaciones comerciales.

• LEGITIMACIÓN:

  Consentimiento del interesado y contratación de productos y/o servicios del Responsable

• Destinatario

  No se ceden datos a terceros, salvo obligación legal. Personas físicas o jurídicas directamente relacionadas con el Responsable Encargados de Tratamiento adheridos al Privacy Shield

• DERECHOS:

  Acceder, rectificar y suprimir los datos, portabilidad de los datos, limitación u oposición a su tratamiento, derecho a no ser objeto de decisiones automatizadas, así como a obtener información clara y transparente sobre el tratamiento de sus datos.

• INFORMACIÓN ADICIONAL:

  Se puede consultar la política de privacidad de forma más detallada aquí.

Has leído y aceptas la política de privacidad *

¡Te has suscrito a nuestro newsletter!

Para poder crear un nuevo rol de usuario desde el panel de administración de WordPress necesitamos utilizar un plugin.

Aunque hay muchos plugins para crear un nuevo rol de usuario de WordPress, personalmente prefiero el plugin Members, un plugin gratuito de los mismos desarrolladores que MemberPress.

El plugin Members para WordPress permite realizar las siguientes acciones:

• Gestión completa de roles de usuario, desde crear hasta borrar o asignar roles.
• Posibilidad de asignar varios roles de usuario diferentes a un mismo usuario en WordPress.
• Edición de capabilities o capacidades desde una interfaz muy potente e intuitiva que nos deja incluso crear nuevos permisos si fuese necesario.
• Posibilidad de clonar roles de usuario para modificarlos posteriormente con las capabilities y permisos que necesitemos.

Adicionalmente, sin llegar a usar MemberPress, el plugin Members nos permite realizar algunas acciones más mediante sus «Extensiones»:

• Capacidad de bloquear el acceso al wp-admin y a la barra de administración de WordPress basándonos en los roles de usuario.
• Capacidad de separar las capabilities o capacidades de creación de contenidos de los contenidos de edición de contenidos, para añadir una capa más de personalización a los roles de usuario. También existe otra opción para hacer lo mismo con las categorías y etiquetas.
• Permite cambiar la clasificación de roles actuales «diferentes» en un sistema de roles por niveles, con lo cual a cada usuario se le puede asignar un rol basado en un nivel de permisos.
• Permite cambiar el sistema de roles actual de WordPress por un sistema jerárquico.
• Permite crear y administrar capabilities específicas para ACF (Advanced Custom Fields).
• Permite crear y administrar capabilities específicas para EDD (Easy Digital Downloads).
• Permite crear y administrar capabilities específicas para WooCommerce.

Aunque hay muchos otros plugins para realizar este tipo de gestiones sobre los roles de usuario de WordPress, a mí me encanta el plugin Members, incluso en proyectos donde no utilizo MemberPress para crear una membresía.

De forma predeterminada, WordPress trae una serie de roles de usuario y sus correspondientes capacidades asignadas.

Como he dicho ya varias veces en este post, después los diferentes plugins «troncales» van declarando roles personalizados para poder configurar capabilities específicas para los diferentes tipos de usuarios.

Crear nuevos roles en WordPress es realmente fácil y, además, podemos usar como base roles predeterminados como los que vamos a explicar a continuación.

• Administrador o administrator: De manera nativa tiene sobre 152-158 capabilities asignadas. Creo que este rol no necesita ninguna explicación, es el rol con más capabilities y con mayor responsabilidad dentro de la gestión del sitio web.
• Autor o author: De manera predeterminada suele tener 11 capabilities asignadas. Se suele utilizar para usuarios que pueden publicar, moderar y gestionar contenido de manera íntegra, aunque con limitaciones en cuanto a la administración técnica del sitio web.
• Editor: Es como el autor, pero diferente, ya que está orientado a moderar contenido de otros usuarios. Tiene más capabilities que el autor (31 capabilities), pero es un rol con otra orientación.
• Colaborador o contributor: Es un rol de autor, pero mucho más limitado. Tiene solo 3 capabilities asignadas. Este rol se suele utilizar para los autores invitados en la mayoría de las ocasiones.
• Suscriptor o suscriber: Es el rol por defecto de WordPress al que entran los usuarios registrados, ya que es el más limitado. El suscriptor solo tiene 1 capability asignada, la de «Leer». Este es el rol que se suele clonar.

Estos son los roles por defecto de WordPress, pero cuando instalamos un plugin se añaden otros, como por ejemplo los de WooCommerce:

• Gestor de tienda: Es un rol intermedio que tiene capacidades para gestionar la tienda online en el trabajo diario, pero no para realizar ajustes técnicos.
• Cliente: Es el rol asignado a los clientes. Realmente es el mismo que «Suscriptor», pero cambiando el nombre, ya que tiene exactamente la misma capability asignada.

Como he dicho antes, el sistema de permisos y roles de WordPress es muy potente, pero en el dashboard un administrador no puede realizar los cambios directamente en los roles de usuario sin usar un plugin.

Cuando instalamos WordPress, el sistema de permisos tiene 152-158 opciones, aunque estas opciones aumentan al instalar nuevos plugins que declaren nuevos roles de usuario y nuevos permisos en WordPress.

Aunque puedas pensar que el usuario administrador de WordPress es el rol que tiene todas las capacidades activadas, lo cierto es que no suele ser así, ya que hay algunas que están siempre desactivadas porque son para casos muy especiales.

Con el sistema de roles de usuario gestionado por un plugin como Members, podemos crear un nuevo rol de usuario en el sitio web WordPress y posteriormente personalizar sus «poderes» de usuario para usarlo exactamente como lo necesitamos.

En la interfaz del plugin Members, las capabilities van agrupándose en secciones para poder administrarlas fácilmente.

Lo normal es que cada rol de usuario tenga ciertas capacidades heredadas y también puede tener ciertos «poderes» específicos.

El sistema de usuarios de WordPress no es el más potente, pero con las capabilities no tiene nada que envidiarle al de un sistema más avanzado.

Por otro lado, como he dicho, el simple hecho de instalar un plugin «troncal» en WordPress, como puede ser WooCommerce, amplía las capabilities que podemos gestionar desde la interfaz del plugin Members:

Incluso si queremos añadir una nueva capacidad para los roles de usuario de WordPress es posible, pero para utilizarla debemos programar o configurar algún plugin para que la utilice.

Además, no solo podemos permitir cosas, sino que también podemos denegar cosas específicamente.

En este sentido el sistema de roles y capabilities funciona como cualquiera, un bloqueo siempre tiene mayor peso que un «permitir» en caso de superponerse en casos puntuales.

Esta suele ser una de las necesidades más comunes dentro de la gestión de roles de WordPress.

Lo normal es que, cuando necesitemos modificar los roles de usuario en WordPress, sea porque queremos sacarle capabilities a cierto rol o necesitamos crear un rol y añadir o sacar capacidades de un rol existente.

Con el plugin Members para WordPress podemos crear un rol nuevo clonando un rol, también podemos modificar ese rol clonado o uno existente para adaptarlos a nuestras necesidades.

Como no puedo explicarte exactamente esto con imágenes, voy a hacer dos cosas. La primera es dejarte este vídeo de mi canal de YouTube:

La segunda es dejarte la documentación oficial sobre roles y capabilities de WordPress: https://wordpress.org/support/article/roles-and-capabilities/

Modificar los roles de usuario en WordPress es fácil, lo difícil es saber exactamente qué tocar. Por esta razón recomiendo no tocar el rol de administrador e ir con bastante cuidado al tocar los otros roles de usuario.

Si no tenemos cuidado o hacemos estas modificaciones en un sitio web en producción, un usuario puede ver información «no permitida» para su rol de usuario.

Como punto final, vamos a hablar concretamente del rol de administrador de WordPress, es decir, el rol que por defecto tienen los administradores en WordPress.

Como he dicho antes, aunque se puede pensar que los administradores de un sitio web WordPress tienen capacidades totales de usuario de WordPress, la verdad es que es un rol de usuario (cuando se instalan plugins) cuyas capacidades dependen de la configuración general.

WordPress no dispone de un tipo de usuario llamado «Super admin», aunque sí distingue el email de administrador específicamente. Toda la administración del sitio web recae sobre el rol de los administradores y sus capacidades.

Yo nunca he necesitado modificar el rol administrador de un sitio web, ya que viene bastante ajustado de forma nativa. De todas maneras, no te recomiendo tocar o modificar el rol de administrador de WordPress y sus capacidades, ya que al ser el «administrador» puede traerte problemas en el sitio web.

Hemos llegado a la parte final del post, y aquí simplemente te voy a comentar una cosa por la que me suelen preguntar.

Si queremos privatizar o bloquear contenidos en WordPress en función del rol de los usuarios, debemos utilizar un plugin de membresías como MemberPress o Paid Membership Pro.

La configuración de este tipo de plugins de membresías suele ser más compleja que la modificación de roles.

Aunque existen otras formas de gestionar el acceso a los contenidos y el bloqueo de usuarios, el sistema de roles de WordPress es de los métodos más robustos y sólidos que existen. MemberPress es totalmente compatible con el uso de roles y capabilities, aunque también es compatible con otros métodos.