Trabajar con roles y habilidades de usuario de WordPress

Hay algunas cosas que necesita comprender sobre los roles y capacidades de los usuarios para ser un administrador eficiente de un sitio de WordPress: cosas como un usuario, cómo hace uno nuevo y qué haría. Hay mucho valor en cubrir estas cosas, pero nuestro objetivo hoy es obtener una comprensión sólida de cómo toda la gestión y los roles de los usuarios de WordPress funcionan conceptualmente y cubren algunos de los modos de modificación más importantes. Los elementos básicos de un usuario de WordPress cada cuenta que se puede conectar a un sitio de WordPress es un “usuario” y cada usuario de WordPress tiene un “rol”.
Cada cuenta que puede conectarse a un sitio de WordPress es un “usuario”. Es decir, cada “autenticación”, un par de un nombre de paro, es una unidad de acreditación en WordPress. Estas cuentas de usuario son los autores de publicaciones, páginas, medios de comunicación, etc. Como administrador de un sitio de WordPress, puede crear nuevos usuarios como quieras, yendo al “usuario> Agregar nuevo” a la barra de administración lateral. En general, debe crear un nuevo usuario para cada persona que desee conectarse con su sitio. Es posible que haya hecho algo sobre el sistema de autorización de WordPress: cada WordPress tiene un “rol”. Debe seleccionarlo en la página donde crea una nueva cuenta.
WordPress -User -deflated User Roles en el cuadro, WordPress viene con los siguientes roles:
Super Administrador: Este es un papel exclusivo para varios sitios. Es, como su nombre indica, una versión más fuerte de un administrador. Un super administrador no solo puede cambiar y controlar un solo sitio de WordPress como administrador, sino que puede cambiar quién tiene acceso a ciertos sitios en una red. Una cosa de fantasía para llamar a este papel sería “Keymaster multisitio”. Pero puedo ver por qué fueron con “super administrador” en lugar de administrador: este es el papel que probablemente use para conectarse a su propio sitio de WordPress. Esto es lo que WordPress está por defecto para el primer usuario en un sitio y es el papel más fuerte en el Arsenal. Si un “administrador” no puede hacerlo inmediatamente en un sitio de WordPress, no puede ser realizado por nadie. Instale complementos, cambie los temas, haga usuarios, publique, etc.: Todo bajo el control del administrador.
Editor: Este es el próximo papel más fuerte. Puede hacer todo el trabajo y los medios necesarios: la creación y la edición que puede imaginar, pero no puede hacer un nuevo usuario, ni agregar un nuevo complemento o hacer cualquier cosa que cambie la forma en que funciona el sitio.
Autor: Otro paso de un editor, el papel del autor solo puede cambiar sus propias publicaciones y medios de comunicación. No pueden hacer cambios en los otros usuarios en el sitio.
Colaborador: los colaboradores pueden editar sus propias publicaciones, eliminar las publicaciones no publicadas que han hecho y leer el sitio. Eso es todo. Ni siquiera pueden publicar sus propias publicaciones.
Suscriptor: El papel del suscriptor está destinado a esto: una persona que desea tener una cuenta en su sitio web de WordPress, pero que no quiere hacer nada más que leer su sitio como alguien puede. Este rol es lo que más verá otorgado a los “miembros” de un sitio miembro de WordPress, porque no ofrece otros derechos del sitio que los que los miembros del miembro ofrecen esos usos. La seguridad de un usuario de WordPress para la seguridad, usted, usted Desea dar a las personas el menor acceso posible para permitirles hacer lo que necesitan.
Aunque no nos enfocamos hoy, vale la pena señalar un principio de seguridad general en todas partes: desea dar a las personas el menor acceso posible para permitirles hacer lo que necesitan. Esto es tan cierto en su sitio web de WordPress, como para el arsenal nuclear de un país. (Y desea mucho más sobre este tema, consulte nuestro curso de seguridad, Seguridad de WordPress con confianza). El usuario que utiliza más comúnmente en su sitio de WordPress generalmente no debe ser administrador. Por lo tanto, conocerá a personas que ofrecen consejos que no se sigan con frecuencia que el usuario que utiliza más comúnmente en su sitio de WordPress: para realizar ediciones, publicar publicaciones, comentarios, etc. – En general, no debería ser un administrador. El papel de “administrador” es el más fuerte con el que llega un sitio de WordPress (único, sin red); Ofrecer tanta energía a un usuario que solo tiene que publicar y editar elementos y otros medios es un error de seguridad inútil.
Para las tareas normales de publicación de WordPress, el papel del editor es más que adecuado; Y, de manera realista, si usted es el único escritor en el sitio, el papel del autor puede ser adecuado para usted. En cualquier caso, debe iniciar sesión en un usuario administrador, que tiene usted mismo, solo cuando tiene que hacer cosas que el otro rol no puede hacer: crear nuevos usuarios, instalar o desinstalar complementos, cambiar temas, etc. Esto significa que un compromiso de la cuenta de WordPress más utilizado, dice que lo deja fuera de una falta de atención conectada a un café, no permita que alguien haga estragos completos en su sitio. Debe dejar cuentas antiguas con más acceso de lo que necesitan Este Dia. Del mismo modo, no debe dar cuentas a las personas, de ningún tipo, sin ninguna consideración. Y no debe dejar cuentas antiguas con más acceso del que necesitan hoy. Digamos que alguien solía escribir para su sitio, pero no lo hagas más: hazlo suscriptor. Su cuenta todavía existe, por lo que sus publicaciones permanecen disponibles y atribuidas correctamente, pero no pueden hacer nada que no deberían poder hacer en su sitio (nuevamente, simplemente revisamos toda la teoría de la seguridad aquí, pero wpswc lo cubre mucho más en profundidad. 🤓)
Cómo se entrelazan las habilidades y roles
Hasta ahora, hemos establecido que los diversos roles de usuario tienen diferentes capacidades en un sitio de WordPress.De hecho, este es el corazón del sistema de control de acceso de WordPress: un usuario es un miembro del grupo de usuarios a quienes se ha asignado un cierto rol, y ese papel en sí está asociado con una variedad de capacidades en el sitio.Para comprender mejor esto, me encantaba el diagrama gigantesco en la página de roles y capacidades del códice, que es una captura de pantalla a la derecha.Desafortunadamente, esto ha desaparecido y la nueva versión del manual es menos agradable visualmente (aunque como útil).A medida que avanzamos en los roles que enumeramos anteriormente, su papel tendrá cada vez menos capacidades específicas disponibles en WordPress.
Este mapeo de la capacidad llamado concreto en los roles del usuario es una de las características más potentes y útiles del sistema de control de acceso de WordPress. Cuando necesita empoderar (o desactivar) a un usuario o un conjunto de usuarios con capacidades específicas, puede hacerlo fácilmente cambiando el papel del usuario. Del mismo modo, a veces todos necesitarán un conjunto de usuarios para tener nuevas capacidades. Tal vez sus editores trabajen como moderadores para comentarios y también le gustaría que tengan la oportunidad de eliminar a los usuarios de su sitio (tal vez tenga algunos trolls reales que le gustaría eliminar de la mezcla). Luego puede editar solo el editor para Dale ese poder y solo ese poder, llamado remove_users. Gracias al sistema de roles y capacidades, puede hacer esto, sin tener que preocuparse por tener 20 editores en su sitio.
Una vez que comprenda los elementos básicos de cómo los usuarios de WordPress acceden al sistema de acceso, puede hacer un cambio como el que acabo de mencionar (dar a los editores la capacidad de “eliminar a los usuarios”) de varias maneras. La primera forma es usar uno en una miseria de complementos. El editor de roles de usuario es el más común, pero no dude en buscar si le gusta los demás. Todos estos complementos prácticamente le brindan una forma conveniente y visual de editar las cosas que los usuarios podrán hacer en su sitio.

También le permiten crear roles completamente nuevos: es posible que necesite crear usuarios que sean simples y simplemente tipos de “moderador de comentarios”. Solo puede crear ese rol y asegurarse de restringir las funciones que necesita en unos pocos clics simples. Estos complementos son excelentes para la mayoría de los usuarios de WordPress, que no tienen que asumir un rendimiento modesto. Siendo realistas, para la mayoría de los sitios, el costo general de un pequeño complemento como este no es el mayor bloqueo, por lo que el beneficio adicional de un complemento dedicado para hacer solo los cambios deseados no vale la pena sudar. Usted es un tipo de desarrollador o ese rendimiento es Demasiado para soportar, es bastante fácil de lograr con algunas líneas PHP. Cambiar las capacidades de un rol de usuario de WordPress con PHP en PHP, un rol de WordPress es un objeto que usa y modifica. En PHP, un rol de WordPress es un objeto que usa y modifica. Puede acceder a él de una de dos maneras: directamente accediendo a una variable global: $ wp_roles-o por una función de acceso llamada get_role. El segundo me gustan más de dos razones:
No me gustan las variables globales.

Creo que la versión get_role hace que el código lea mejor.

En ambos casos, continuaremos con nuestro ejemplo de permitir que nuestros editores eliminen_users. Esto se ve así, si usa get_role: function wps_editor_can_remove_users () {$ editor = get_rol (‘editor’); $ editor-> add_cap (‘remove_users’); } o, si prefiere acceder a una variable global: function wps_editor_can_remove_users () {global $ wp_roles; $ wp_roles-> add_cap (‘editor’, ‘remove_users’); } En el primer ejemplo, hacerse cargo de un rol (‘editor’) se encarga del parámetro ‘Editor’ en la llamada del método add_cap, que me gusta; De todos modos funciona. Estos métodos se pueden llamar directamente en su complemento o en funciones.php de su base: los cambios se almacenan en la base de datos, por lo que se pueden llamar en cualquier tiempo o pueden conectarse a la acción init. Tanto add_cap como remove_cap son métodos de objetos, y no solo funciones que llama. Vale la pena que esté muy claro que tanto add_cap como eliminar_cap (su opuesto) son métodos de objetos, y no solo funciones que llame. Es decir, no puede llamar a add_cap (‘editor’, ‘remove_user’): primero debe obtener un objeto wp_role, ya sea usando get_role o accediendo al objeto global $ wp_roles. Creación de nuevos roles de usuario de WordPress, a través del programa mencioné que los complementos le permitirán crear nuevos roles, además de cambiar las capacidades de los roles existentes. Para hacer esto en su propio PHP, use la función add_rol. Se necesitan tres parámetros: un nombre similar a un caracol para el rol, digamos ‘comment_moderator’
Un nombre que se muestra para el rol ‘comentario moderador’ o __ (‘comentario moderador’, ‘plugin-lug’) si le preocupa la internacionalización de la serie de capacidades que desea tener ese tipo de usuario
En total, se ve así: registro_activation_hook (__file__, ‘wps_add_roles_on_activation’); Función wps_add_roles_on_activation () {add_role (‘comment_moderator’, __ (‘moderator comment’, ‘plugin-lug’), array (‘reed’ => true, ‘edit_posts’ => true, ‘edit_other’ => true, ‘moderate_comments ‘=> verdadero)); } En aras de Concise, este rol recibe solo cuatro capacidades. Los moderadores de los comentarios pueden moderar los comentarios y hacer cambios y publicaciones menores (probablemente en respuesta a los comentarios). Pueden cambiar sus propias publicaciones, publicaciones de otras personas y publicaciones que se han publicado. Esto es todo lo que este papel puede hacer, nada más. Una vez más, debido a que los nuevos roles se almacenan en la base de datos y se recargan por WordPress cuando sea necesario, puede, y en general, debe crearlos incluso cuando su complemento (o tema si lo construye en un tema, que no debería ”
t) está activado. No rompe nada si los ha acoplado a la acción init, pero es modestamente menos eficiente. Es posible cambiar las capacidades de un usuario en particular ignorando el sistema de roles de WordPress y otorgar capacidades específicas del usuario es posible, pero rara vez es la mejor solución. Hasta ahora, hemos discutido el uso de capacidades de WordPress ofrecidas y mantenidas por los roles de los usuarios. Esto es lo que recomendaría hacer para cambiar, controlar y modificar el acceso en casi todos los casos. Es un sistema más fuerte y más flexible que tratar de controlar manualmente las cosas que cada usuario hace en su sitio. Dicho esto, a veces es posible que deba tratar solo con un usuario en particular que necesita más o menos poderes y sabe que nunca querrá empoderar (o deshabilitar) a otro usuario de manera similar en cualquier otro momento del historial del sitio. Si no es cierto, realice algunos pasos adicionales para crear un rol, que solo este usuario recibe. Si realmente desea cambiar las capacidades de un usuario en particular, puede hacerlo con los métodos ADD_CAP y eliminar_CAP en el propio usuario. Esto muestra algo como: add_action (‘init’, ‘wps_david_cant_edit’); función wps_david_cant_edit () {$ user_id = 7; // La identificación del usuario $ user = new WP_USER ($ user_id); $ user-> remove_cap (‘edit_posts’);