WordPress gestisce i permessi attraverso un sistema di ruoli che determina cosa ogni utente può fare all’interno del sito. WordPress permette di gestire 5 ruoli che permettono di controllare cosa può fare ogni utente all’interno del sito. Capire come funzionano ti permette di assegnare le responsabilità giuste alle persone giuste, senza rischiare modifiche accidentali o problemi di sicurezza.
I 5 ruoli di default
Di defaul è possibile assegnare 5 ruoli:
- Amministratore
- Editore
- Autore
- Collaboratore
- Sottoscrittore
Esistono anche dei ruoli extra che vengono aggiunti con l’installazione di plugin specifici. Uno dei più famosi è WooCommerce, il plugin che permette di trasformare un sito vetrina in un e-commerce, che aggiunge i ruoli:
- Shop Manager
- Customer
Ora vediamo nello specifico i vari ruoli e quello che possono fare:
Ruolo amministratore (Admin)
L’amministratore è tipicamente chi ha creato il sito e ne detiene le credenziali d’accesso originali. È il ruolo con il massimo livello di controllo: può intervenire su ogni aspetto di WordPress, dalla creazione e modifica di pagine e articoli alla gestione completa dei contenuti multimediali.
A differenza degli altri ruoli, l’amministratore è l’unico che può eseguire operazioni tecniche critiche come aggiornare il core di WordPress, cambiare o aggiornare il tema, installare nuovi plugin o rimuovere quelli esistenti. Queste operazioni influenzano il funzionamento dell’intero sito, motivo per cui sono riservate a questo ruolo.
La gestione degli utenti è un’altra esclusiva dell’amministratore: può creare nuove utenze, assegnare i ruoli appropriati, modificare i profili esistenti e, quando necessario, eliminare gli account. Questo include la possibilità di nominare altri amministratori, delegando di fatto lo stesso livello di potere.
Qui sta il punto delicato: ogni amministratore ha pari autorità sugli altri. Non esiste una gerarchia interna, quindi un amministratore appena nominato potrebbe tecnicamente eliminare l’account di chi lo ha creato, senza che il sistema richieda conferme particolari. Per questo motivo è fondamentale assegnare questo ruolo solo a persone di assoluta fiducia e limitarne il numero al minimo indispensabile.
Ruolo editore (Editor)
L’editor è il responsabile dei contenuti del sito, con pieni poteri sulla parte editoriale ma senza accesso alle funzionalità tecniche. Non può installare plugin, modificare il tema o intervenire sulle impostazioni di WordPress: queste operazioni restano riservate all’amministratore.
Sul fronte dei contenuti, invece, ha carta bianca. Può pubblicare, modificare e cancellare qualsiasi articolo o pagina, anche quelli scritti da altri utenti. Gestisce categorie e tag, carica file nella libreria media e modera i commenti. È la figura ideale per chi coordina un team di autori o gestisce la linea editoriale di un blog, potendo revisionare e organizzare tutto il materiale senza bisogno di coinvolgere l’amministratore per ogni intervento.
In sostanza, se l’amministratore è il proprietario del sito, l’editor è il direttore della redazione.
Ruolo autore (Author)
L’autore ha un raggio d’azione più circoscritto rispetto all’editor: può creare, modificare e pubblicare solo i propri articoli, senza possibilità di intervenire sui contenuti altrui o sulle pagine del sito.
È il ruolo pensato per chi scrive regolarmente sul blog ma non ha responsabilità editoriali sugli altri contenuti. L’autore mantiene autonomia completa sui propri pezzi, dalla stesura alla pubblicazione, e può caricare immagini e file da inserire negli articoli. Non deve attendere approvazioni per andare online, ma non può nemmeno modificare o cancellare ciò che hanno scritto i colleghi.
Ruolo collaboratore (Contributor)
Il collaboratore può scrivere e modificare i propri articoli, ma non ha il permesso di pubblicarli. Ogni contenuto che crea resta in bozza fino a quando un editor o un amministratore non lo approva e lo manda online.
È un ruolo pensato per chi contribuisce occasionalmente o non ha ancora guadagnato piena fiducia editoriale. Oltre al blocco sulla pubblicazione, il collaboratore non può nemmeno caricare file nella libreria media: se servono immagini, dovrà essere qualcun altro a inserirle.
Questa combinazione di limitazioni lo rende particolarmente adatto ai guest blogger o ai collaboratori esterni, che possono proporre contenuti mantenendo il controllo finale nelle mani della redazione.
Ruolo sottoscrittore (Subscriber)
Il sottoscrittore è il ruolo con meno permessi in assoluto. Non può creare contenuti né accedere al backend di WordPress: l’unica area disponibile è la pagina del proprio profilo, dove può aggiornare i dati personali e la password.
È il ruolo assegnato automaticamente a chi si registra sul sito, tipicamente per commentare gli articoli o accedere a contenuti riservati agli iscritti. Di fatto, il sottoscrittore è un lettore con un account: può interagire con il sito nei modi previsti dal frontend, ma nulla di più.
Come scegliere il ruolo giusto
La regola d’oro è assegnare sempre il minimo livello di permessi necessario. Se qualcuno deve solo scrivere articoli per te, non ha bisogno di essere amministratore. Questo principio, chiamato “least privilege”, riduce i rischi: meno persone hanno accesso alle funzioni critiche, meno probabilità ci sono di errori o compromissioni.
Per un blog con più autori, la struttura tipica prevede te come amministratore, un editor fidato che revisiona i contenuti, e autori o collaboratori per chi scrive. Per un sito aziendale dove aggiorni solo tu i contenuti, probabilmente non hai bisogno di altri ruoli oltre al tuo.
Come creare nuovi utenti e modificarne i ruoli
Le stai leggendo questo articolo probabilmente sarai l’amministratore del sito. Sei l’unico che può aggiungere nuovi utenti e modificarne i ruoli (ovviamente a parte gli utenti esterni che si registrano al tuo sito e che avranno i ruoli di Sottoscrittore o di Customer nel caso di WooCommerce).
Per aggiungere un nuovo utente e assegnargli un ruolo, devi cliccare su Utenti nella barra a sinistra di WordPress e poi su Aggiungi Utente.
Plugin per personalizzare i ruoli
I ruoli predefiniti non sempre bastano. Immagina di volere un ruolo che possa gestire WooCommerce ma non installare plugin, oppure un editor che possa modificare i menu ma non cancellare pagine.
Per queste esigenze esistono plugin come User Role Editor o Members, che ti permettono di creare ruoli personalizzati e modificare le capacità di quelli esistenti. Puoi anche farlo via codice usando le funzioni add_role() e add_cap(), ma i plugin offrono un’interfaccia più immediata.
Considerazioni sulla sicurezza
Gli account amministratore sono bersagli appetibili per gli attacchi. Limita il loro numero al minimo indispensabile e usa password robuste. Se collabori con freelance o agenzie, crea account temporanei con i permessi necessari e disattivali quando il lavoro è finito.
Considera anche che alcuni plugin aggiungono le proprie capacità ai ruoli esistenti. WooCommerce, per esempio, crea i ruoli “Cliente” e “Shop Manager”. Quando installi plugin che gestiscono dati sensibili, verifica sempre quali permessi assegnano e a chi.
Il sistema dei ruoli di WordPress è semplice ma flessibile. Usato con criterio, ti permette di delegare senza perdere il controllo del tuo sito.
