Rôles d'utilisateur WordPress : le guide ultime

Au fur et à mesure que votre site Web se développe, l'idée de partager un seul compte administrateur devient plus difficile à maintenir. Les grands sites ont généralement une équipe de collaborateurs, qui peut inclure des rédacteurs de contenu, des gestionnaires de tarification et d'inventaire des produits, des planificateurs d'événements et, oui, des super administrateurs qui peuvent tout faire.

Avec autant de cuisiniers dans la cuisine, il est important de définir des rôles d'utilisateur. Chaque personne doit avoir un compte adapté à ses fonctions sur le site et ne lui permettant d'accéder qu'aux pièces nécessaires à son travail. Les rôles d'utilisateur protègent à la fois la sécurité et l'intégrité de votre site.

WordPress est livré avec plusieurs rôles d'utilisateur par défaut que les équipes peuvent utiliser, ce qui facilite la prise en main des comptes. Mais vous pouvez aller encore plus loin et créer des rôles d'utilisateur personnalisés selon vos besoins. Examinons toutes les options.

Rôles d'utilisateur WordPress par défaut

Toute personne possédant un compte sur votre site WordPress se voit attribuer un rôle d'utilisateur. Un rôle est un groupe d'autorisations qui permettent d'accéder à certaines fonctionnalités, tout en masquant d'autres fonctionnalités plus avancées.

WordPress a six rôles d'utilisateur par défaut qui sont disponibles lors de la configuration de votre site :

1. Abonné. Si vous autorisez les visiteurs à créer leur propre compte, ce rôle leur sera attribué par défaut. Les abonnés ne peuvent apporter des modifications qu'à leur propre profil. Vous utiliserez généralement ce rôle si vous exigez que les visiteurs aient un compte pour laisser un commentaire ou accéder à un contenu spécial.
2. Donateur. Un contributeur peut créer de nouveaux articles, mais ne peut pas les publier. Leurs messages doivent être révisés et publiés par une personne disposant de plus grandes autorisations. Ils n'ont pas non plus accès à la médiathèque et ne peuvent pas ajouter d'images ou de fichiers à leurs publications. Ce rôle est particulièrement utile pour travailler avec des contributeurs pour la première fois sur votre site ou des auteurs qui ajoutent rarement du contenu.
3. Auteur. Un auteur peut créer, modifier et publier ses propres articles, ainsi que les modifier ou même les supprimer après publication. Ils peuvent ajouter des médias à leurs publications et modifier les commentaires sur leur propre contenu. Cependant, ils ne peuvent pas approuver ou travailler avec le contenu soumis par d'autres utilisateurs. C'est un excellent moyen de donner à votre équipe de contributeurs réguliers un accès pour publier leur propre contenu, sans avoir à attendre qu'un administrateur le fasse pour eux.
4. Éditeur. Les éditeurs ont encore plus de contrôle sur le contenu du site. Ils peuvent créer leurs propres messages, mais aussi publier, modifier ou supprimer des messages créés par d'autres utilisateurs. Ils peuvent modérer, modifier ou supprimer tous les commentaires, et ils peuvent créer de nouvelles catégories et balises selon les besoins. Ce rôle est idéal pour un membre senior de votre équipe qui supervise votre messagerie et les informations destinées au public.
5. Admin. Sur un site Web autonome, il s'agit du rôle le plus puissant. Un administrateur peut contrôler tout le contenu, mais a également accès aux installations de thèmes, aux personnalisations de plugins et à tous les paramètres. L'administrateur peut créer ou modifier des rôles d'utilisateur, ajouter de nouvelles fonctionnalités au site et apporter un certain nombre de modifications au code. Il s'agit d'un rôle technique destiné au propriétaire et au développeur du site Web.
6. Super administrateur. Dans une configuration multi-sites, le super administrateur dispose de pouvoirs supplémentaires, notamment la modification des paramètres qui s'appliquent à tous les sites du réseau.

WordPress exige que chaque site ait au moins un administrateur (ou super administrateur) configuré à tout moment. Tous les autres rôles sont facultatifs et peuvent être attribués aux membres de votre équipe s'ils s'appliquent.

Création de rôles utilisateur étendus

Les besoins de votre équipe peuvent ne pas correspondre parfaitement à l'un des rôles standard. Des rôles d'utilisateur supplémentaires peuvent être ajoutés avec des ensembles personnalisés d'autorisations en fonction de votre flux de travail unique. Il existe plusieurs façons d'y parvenir :

Option 1 : Utiliser des plug-ins qui incluent des rôles d'utilisateur spécifiques

Certains plugins bien établis sont livrés avec des rôles d'utilisateur supplémentaires inclus, pour prendre en charge les fonctionnalités qu'ils offrent.

Par exemple, WooCommerce, la plate-forme de commerce électronique incontournable pour WordPress, ajoute deux nouveaux rôles d'utilisateur à votre site. Un client a un accès similaire au rôle d'abonné par défaut, mais peut voir ses achats passés, vérifier l'état des commandes en cours et apporter des modifications à ses informations enregistrées. Un responsable de boutique dispose d'autorisations similaires au rôle d'éditeur par défaut, mais peut également créer et modifier des produits, mettre à jour l'inventaire et afficher des rapports.

Les plugins d'adhésion incluent souvent de nouveaux rôles d'utilisateur. Par exemple, bbPress, un plug-in de forum d'utilisateurs, ajoute des rôles tels que Modérateur , Participant et Spectateur , et vous permet même d'attribuer aux utilisateurs un rôle Bloqué pour les supprimer efficacement du forum.

Pour utiliser ces rôles, vous n'avez rien d'autre à faire que d'installer le plugin.

Option 2 : Utilisez des plugins pour créer vos propres rôles

Si vous travaillez sur une fonctionnalité personnalisée pour votre site, vous devrez peut-être configurer vos propres rôles d'utilisateur entièrement personnalisés. Un plugin est le moyen le plus simple de le faire.

Le plugin User Role Editor est une option puissante et polyvalente. Avec lui, un administrateur peut :

• Modifiez les autorisations pour l'un des rôles d'utilisateur WordPress par défaut. Par exemple, vous pouvez autoriser les contributeurs à ajouter des médias à leurs publications ou autoriser les auteurs à créer des pages ainsi que des publications.
• Ajoutez un nouveau rôle d'utilisateur et attribuez-lui des autorisations. Un nouveau rôle peut commencer comme une copie de n'importe quel rôle existant, ou vous pouvez commencer à partir de zéro.
• Supprimez les rôles d'utilisateur que vous avez créés.
• Restaurez les rôles d'utilisateur par défaut de WordPress à leur état d'installation d'usine. Vous pouvez restaurer un rôle d'utilisateur particulier ou tous à la fois.

Le plugin vous donne le contrôle sur un large éventail d'autorisations avec un simple ensemble de cases à cocher. Tout ce que vous avez à faire est de sélectionner les tâches spécifiques auxquelles vous souhaitez que le nouveau rôle accède, et vous êtes prêt à partir.

Si vous souhaitez être plus avancé, vous pouvez autoriser les rôles d'utilisateur par défaut ou nouveaux à afficher uniquement certains widgets ou éléments de menu, accéder à des formulaires ou travailler avec des types de publication personnalisés.

Option 3 : Ajouter un code PHP personnalisé

Si vous êtes développeur, vous pouvez créer de nouveaux rôles d'utilisateur personnalisés en modifiant le fichier functions.php de votre thème. Il est assez simple d'ajouter un nouveau rôle à l'aide de la fonction add_role de WordPress ou d'ajouter de nouvelles fonctionnalités à un rôle d'utilisateur existant avec le paramètre add_cap. Trouvez un exemple d'extrait de code pour vous aider à recommencer sur le blog SpeckyBoy.

Ajouter un nouvel utilisateur avec un rôle spécifique

Vos rôles sont-ils configurés et prêts à fonctionner ? Il est maintenant temps d'ajouter de nouveaux utilisateurs et de leur attribuer des rôles afin qu'ils puissent se connecter avec les bonnes autorisations.

Les plugins qui ajoutent de nouveaux rôles d'utilisateur, comme WooCommerce, permettent généralement aux visiteurs de créer leurs propres comptes au niveau d'accès le plus basique. Mais si vous devez attribuer différents rôles, vous pouvez le faire en accédant à Utilisateurs → Ajouter nouveau dans le tableau de bord WordPress. Notez que seul un administrateur ou un super administrateur peut attribuer des rôles.

Vous devrez définir :

• Un nom d'utilisateur
• Une adresse e-mail
• Un mot de passe fort
• Un rôle d'utilisateur à partir d'une liste déroulante d'options

Cochez la case pour envoyer à l'utilisateur une notification concernant son nouveau compte et cliquez sur Ajouter un nouvel utilisateur .

Pour modifier le rôle d'un utilisateur existant, accédez à Utilisateurs dans le tableau de bord WordPress et sélectionnez celui que vous souhaitez modifier. Choisissez un nouveau rôle dans la liste déroulante des options sous Rôle . Cliquez ensuite sur Enregistrer .

Lorsque l'utilisateur nouveau ou existant se connecte à votre site Web, il pourra désormais voir les nouvelles options attribuées à son rôle, et rien d'autre.

Suppression en toute sécurité d'un utilisateur ou d'un rôle d'utilisateur

Si vous ne souhaitez plus prendre en charge un rôle d'utilisateur personnalisé que vous avez créé, vous pouvez le supprimer de votre site en :

• Désactivation d'un plugin avec ses propres rôles d'utilisateur. WooCommerce, par exemple, conservera les comptes des clients, mais supprimera le rôle « client ». Ces comptes seront réaffectés au niveau d'autorisation le plus bas (par exemple, le rôle d'abonné).
• Suppression manuelle des rôles créés avec le plug-in User Role Editor. Notez toutefois que vous ne pouvez pas supprimer un rôle si des utilisateurs lui sont attribués. Réattribuez d'abord manuellement tous les utilisateurs existants à de nouveaux rôles.
• Suppression du code PHP qui a été ajouté pour créer un nouveau rôle. Les utilisateurs existants affectés à ce rôle seront réaffectés au niveau d'accès le plus bas (par exemple, le rôle d'abonné).

Vous pouvez également supprimer des utilisateurs individuels qui ne nécessitent plus aucun type d'accès. Mais il est important de comprendre que lorsqu'un utilisateur individuel est supprimé, son contenu (messages, pages et autres types de messages personnalisés) est également supprimé, à moins que vous ne réattribuiez d'abord son contenu à un nouvel utilisateur .

Pour supprimer un utilisateur en toute sécurité :

1. Trouvez l'utilisateur en accédant à Utilisateurs dans le tableau de bord WordPress.
2. Survolez le nom d'utilisateur et cliquez sur l'option Supprimer qui apparaît.
3. Sélectionnez un nouvel utilisateur sous Attribuer tout le contenu à . Cela conservera le contenu existant sur votre site.

Vous pouvez maintenant utiliser le bouton Confirmer la suppression pour supprimer l'utilisateur en toute sécurité sans supprimer son contenu.

Maintenir la sécurité avec les rôles d'utilisateur

La sécurisation de votre site commence par l'attribution des bons rôles d'utilisateur aux bonnes personnes. Suivez ces bonnes pratiques :

• N'accordez à chaque utilisateur que les autorisations nécessaires pour faire son travail. Chaque nouveau compte introduit un point faible potentiel dans votre sécurité. Il est toujours préférable de fournir trop peu d'autorisations que trop.
• N'accordez l'accès administrateur qu'à une ou deux personnes qui en ont vraiment besoin. Un accès administrateur complet est rarement requis par quiconque autre que le développeur et le propriétaire d'un site.
• Supprimez les utilisateurs et les rôles d'utilisateur obsolètes. Passez en revue les rôles du site de temps en temps pour vous assurer qu'ils sont toujours pertinents, précis et utilisés. Si des sous-traitants ou d'autres membres de l'équipe ont déménagé, assurez-vous de supprimer leurs comptes, mais n'oubliez pas de préserver leur ancien contenu en le réattribuant d'abord à un autre utilisateur.
• Suivez les actions sur votre site. Envisagez d'utiliser un journal d'activité WordPress pour enregistrer qui s'est connecté, quand et quelles actions ils ont effectuées.
• Effectuez toujours des sauvegardes régulières de votre site. Si vous avez une faille de sécurité ou si quelque chose ne va pas, vous pouvez rapidement réparer les dégâts. Les sauvegardes en temps réel qui sauvegardent votre site après chaque modification, comme Jetpack Backup, signifient que vous ne perdrez jamais aucun type de données. Peu importe qui fait une erreur, l'impact sur votre site sera minime.

Que votre site soit tout nouveau ou qu'il fonctionne depuis un certain temps, assurez-vous qu'il fonctionne bien pour toute votre équipe en créant les bons rôles d'utilisateur et en les attribuant aux bonnes personnes. Avec les autorisations appropriées en place, vous pouvez être sûr que votre site est à la fois sécurisé et prêt à servir votre public.