Hoy te hablaré sobre uno de los aspectos más importantes de la seguridad de tu WordPress: los roles y permisos de usuario.
Los roles en WordPress (también conocidos como perfiles de usuario) son un conjunto predefinido de permisos que definen lo que un usuario puede y no puede hacer en un sitio web creado con este gestor de contenidos.
Desde el administrador hasta el suscriptor, cada uno de los roles en WordPress tiene un conjunto específico de permisos y cosas que puede (o no puede) hacer.
Aquí quiero profundizar en cada uno de los roles por defecto que WordPress pone a tu disposición y explicarte cómo configurarlos para mantener tu sitio web lo más seguro posible en este sentido.
¡Vamos a ello!
A continuación te dejo un vídeo en el que te explico uno por uno cuáles son los tipos de roles o perfiles existentes en WordPress, cómo establecerlos y qué permisos conceden cada uno de ellos.
Si prefieres el formato escrito, pasa del vídeo y sigue leyendo.
Índice de contenidos
Cómo asignar roles en WordPress a los perfiles de usuario
Primero de todo, quiero aclararte que los roles o perfiles de usuario puedes asignarlos o bien cuando creas por primera vez nuevos usuarios en WordPress o bien cuando ya lo tienes creado y decides editarlo desde tu zona de usuarios.
Aclarado esto, para asignar roles y permisos en WordPress simplemente tienes que seguir estos sencillos pasos:
1. Accede a la sección de usuarios: Desde el panel de administración de WordPress, selecciona la opción de Usuarios en el menú principal.
2. Agrega un nuevo usuario: Si deseas agregar un nuevo usuario, selecciona la opción de «Añadir nuevo» y completa los detalles de usuario requeridos.
Si ya tienes un usuario existente al que deseas asignar o cambiar un rol, selecciona el usuario correspondiente en la lista de usuarios.
3. Asigna un rol: En el apartado de «Perfil», selecciona el rol que deseas asignar al usuario. Recuerda que cada rol tiene un conjunto específico de permisos, así que asegúrate de seleccionar el rol correcto para el usuario en cuestión en función de qué cosas quieres que pueda hacer y cuáles no.
4. Guarda los cambios: Una vez que hayas seleccionado el rol correspondiente, haz clic en el botón de «Actualizar usuario» para guardar los cambios.
Tan simple y sencillo como esto. No tiene más misterio dar un perfil de usuario y, por tanto, una serie de permisos concretos, a un usuario en tu WordPress.
Precisamente esto va a ser lo que te voy a enseñar a continuación: qué pueden y que no pueden los usuarios que cuenten con cada uno de los diferentes roles que WordPress pone a tu disposición.
Tipos de perfiles de usuario en WordPress y permisos
A continuación, te hago un rápido listado de cuáles son los 5 tipos de perfiles que existen por defecto al instalar WordPress.
Estos perfiles de usuario son los siguientes: administrador, editor, autor, colaborador y suscriptor.
Vamos a ver a continuación qué pueden y que no pueden hacer cada uno de estos roles o perfiles de usuario.
IMPORTANTE: Si te aparece en tu WordPress otro tipo de perfil de usuario que no esté en el listado anterior, este es un perfil de usuario que ha creado algún otro plugin que tienes instalado. Por ejemplo, Yoast SEO crea el perfil de SEO Manager y WooCommerce crea los perfiles de gestor de tienda y cliente.
Perfil de administrador
Como su nombre lo indica, este perfil de usuario tiene acceso completo a todas las funciones de WordPress, incluyendo la capacidad de crear y eliminar usuarios, instalar y configurar plugins y temas, y editar cualquier contenido en el sitio web.
Pero, lo más importante, es que es el único tipo de perfil de usuario que puede crear, cambiar el perfil de otro usuario (incluido otro usuario administrador) o borrar usuarios en tu WordPress.
Resumiéndolo en una sola frase: el rol de administrador es el único que puede hacer de todo.
Por tanto, este rol sólo deberías otorgártelo a ti y a personas o profesionales de confianza (como podría ser tu diseñador web WordPress) que necesiten de tener activas para poder trabajar todas las funcionalidades disponibles.
Rol de Editor
Este perfil es ideal para aquellos usuarios que necesitan gestionar todo el contenido del sitio web.
Los editores pueden crear y editar páginas y entradas, moderar comentarios y manejar otros contenidos en el sitio tanto propios como de otros usuarios.
Pero, a diferencia del administrador, no puede instalar plugins, cambiar el tema o gestionar usuarios en WordPress.
Perfil de Autor
Los autores únicamente tienen permiso para crear y publicar contenido propio en el sitio web.
Este perfil de usuario es útil para aquellos que desean contribuir con el contenido del sitio web pero no necesitan acceso a todas las funciones de administración y gestión del sitio web.
A diferencia del editor, no puede moderar comentarios ni editar contenidos de otros usuarios. Sin embargo, sí que puede subir contenidos a la biblioteca de medios (imágenes u otros) para crear y maquetar su propio contenido.
Rol de Colaborador
Los colaboradores pueden escribir contenido propio y enviarlo para su revisión, pero no pueden publicar contenido directamente en el sitio web. Tendría que ser otro usuario con un rol superior el que aprobase y publicase el contenido que haya creado.
Este tipo de perfil es ideal para aquellos usuarios que necesitan contribuir con contenido de forma esporádica (como por ejemplo, puede ser un autor invitado en tu blog).
Tampoco pueden subir contenidos a la biblioteca de medios de ningún tipo.
Rol de Suscriptor
Este es el perfil más básico en WordPress que se otorga por defecto a cualquier usuario que se registre desde la parte pública de la web.
Los suscriptores lo único que pueden hacer es iniciar sesión en el sitio y actualizar su perfil, pero no tienen permiso para crear o editar contenido.
Del mismo modo, pueden solicitar cambiar su contraseña desde la parte pública del sitio (pero únicamente la de su usuario registrado, no la de otro usuario).
Si tras esta breve explicación de cada uno de los roles WordPress por defecto tienes alguna duda más sobre qué puede o qué no puede hacer un tipo de perfil de usuario determinado, te dejo aquí el artículo oficial sobre roles y capacidades de los mismos.
Y, si aún así te siguen quedando dudas concretas sobre este tema, recuerda que tienes a tu disposición mi servicio de consultoría web para poder resolverlas en una sesión 1 a 1 conmigo.