Uno de los temas que mas confusion genera cuando empiezas a manejar un sitio WordPress, sobre todo si tienes un equipo o trabajas con clientes, es el sistema de roles y permisos. Quien puede publicar, quien puede solo redactar, quien instala plugins, quien tiene acceso al panel de administracion. Y la verdad es que entender los roles de usuario WordPress es clave para mantener tu sitio seguro y operativamente sano.
En este articulo te voy a explicar de manera clara cada uno de los roles que WordPress trae por defecto, que puede hacer cada uno, en que casos conviene usarlos, y como personalizar los permisos con plugins como User Role Editor cuando los roles estandar te quedan cortos. Vamos a verlo paso a paso.
Tabla de Contenidos
- 1 Que son los roles de usuario en WordPress
- 2 Los seis roles que vienen por defecto
- 3 Roles especiales en WooCommerce
- 4 Personalizar permisos con User Role Editor
- 5 Alternativas a User Role Editor
- 6 Buenas practicas con roles y permisos
- 7 Preguntas frecuentes
- 7.1 Cual es la diferencia entre autor y colaborador
- 7.2 Puedo crear un rol completamente nuevo en WordPress
- 7.3 Como cambio el rol de un usuario existente
- 7.4 Un usuario puede tener mas de un rol al mismo tiempo
- 7.5 Que pasa si elimino un rol que tiene usuarios asignados
- 7.6 Los suscriptores ven el panel de administracion
- 7.7 Como controlo quien puede instalar plugins
- 7.8 Hay roles especiales para WooCommerce
- 7.9 Como evito que un editor pueda borrar articulos
- 7.10 Es seguro usar plugins de gestion de roles
Que son los roles de usuario en WordPress
Un rol en WordPress es basicamente una etiqueta que se le asigna a cada usuario y que define que cosas puede hacer dentro del sitio. WordPress trabaja con un sistema de capabilities (capacidades) que estan agrupadas en roles. Cada rol incluye un conjunto especifico de capacidades: publicar articulos, editar paginas, instalar plugins, gestionar usuarios, moderar comentarios, etcetera.
Cuando creas un usuario nuevo en WordPress, le asignas un rol, y ese rol define automaticamente lo que ese usuario puede tocar. La gracia de este sistema es que no tienes que configurar permisos uno por uno: simplemente eliges el rol y WordPress aplica todo el conjunto de capacidades correspondiente.
Esto es especialmente util cuando tienes un equipo. No queres que tu redactor pueda instalar plugins (porque podria romper algo), pero si queres que pueda escribir y publicar articulos. No queres que tu cliente toque el codigo del tema, pero si que pueda actualizar su informacion. Los roles resuelven todo esto de forma ordenada.
Los seis roles que vienen por defecto
WordPress estandar (no multisite) trae cinco roles por defecto. Si activas WordPress Multisite, se agrega un sexto rol llamado superadmin. Vamos a verlos uno por uno, de mayor a menor poder.
Superadmin (solo en Multisite)
El superadmin existe solamente en instalaciones WordPress Multisite, que son redes de varios sitios bajo una misma instalacion. Este rol tiene control absoluto sobre toda la red: puede crear y eliminar sitios, gestionar usuarios a nivel global, instalar plugins y temas para todos los sitios, y administrar la red completa.
Es el rol mas poderoso de todos. Si manejas multisite (por ejemplo, una red de sitios para distintas sucursales o marcas), solo tu y quizas un socio tecnico de mucha confianza deberian tener este rol. Cualquier persona con superadmin puede tirar abajo toda la red en segundos.
Administrador (Administrator)
En una instalacion estandar, el administrador es el rol mas alto. Tiene acceso total al sitio: puede instalar y eliminar plugins, cambiar temas, gestionar usuarios, editar archivos del tema, publicar y borrar cualquier contenido, configurar opciones del sitio y, basicamente, hacer cualquier cosa que se pueda hacer en WordPress.
Este rol deberia tenerlo solo el dueno del sitio o el responsable tecnico principal. Si das acceso de administrador a alguien con poco conocimiento, te arriesgas a que instale un plugin malicioso, borre algo importante o configure mal el sitio. Por buena practica de seguridad, conviene tener pocos administradores y revisar periodicamente quien lo tiene.
Editor
El editor es el responsable del contenido. Puede crear, publicar, editar y borrar cualquier articulo y pagina, incluso los que crearon otros usuarios. Tambien puede gestionar categorias, etiquetas, moderar comentarios y subir archivos a la biblioteca de medios. Lo que no puede hacer: instalar plugins, cambiar temas, gestionar usuarios o tocar configuraciones del sitio.
Es el rol perfecto para alguien que coordina contenido en tu equipo: un jefe de redaccion, un community manager o un responsable de blog. Le das libertad total sobre el contenido sin darle acceso a las cosas tecnicas que podrian romper el sitio.
Autor (Author)
El autor puede crear, publicar y editar sus propios articulos. No puede tocar los articulos de otros usuarios, no puede crear paginas, y no puede gestionar categorias mas alla de elegir las que existen. Puede subir archivos a la biblioteca de medios y moderar los comentarios que dejan en sus propios articulos.
Es el rol tipico para redactores que ya tienen experiencia y confianza. Pueden publicar directamente, no necesitan que nadie revise sus articulos antes de salir al aire. Si tu equipo tiene varios redactores que escriben articulos del blog corporativo, este rol funciona muy bien.
Colaborador (Contributor)
El colaborador puede crear y editar sus propios articulos, pero no puede publicarlos. Cuando termina de escribir, su articulo queda en estado pendiente de revision, y un editor o administrador tiene que aprobarlo para que salga al aire. Tampoco puede subir archivos a la biblioteca de medios, lo cual es una limitacion importante.
Este rol es ideal para redactores externos, freelancers o colaboradores ocasionales en los que aun no confias plenamente. Pueden escribir, pero alguien con mas autoridad revisa antes de publicar. Es como tener un sistema de aprobacion editorial integrado en WordPress.
Suscriptor (Subscriber)
El suscriptor es el rol con menos privilegios. Basicamente solo puede gestionar su propio perfil (cambiar contrasena, actualizar email, ajustar configuracion personal) y, si el sitio lo permite, dejar comentarios. No puede crear contenido, no puede ver el panel de administracion mas alla de su perfil.
Se usa para registrar usuarios finales en sitios que tienen contenido protegido por login, para newsletters integradas con WordPress, o para foros y comunidades donde quieres identificar a los visitantes pero no darles ningun privilegio editorial.
Roles especiales en WooCommerce
Si usas WooCommerce, el plugin agrega dos roles extra que vale la pena conocer: cliente y gerente de tienda. Estos roles son especificos del ecommerce y conviene entenderlos bien si manejas una tienda online.
El rol cliente es muy parecido al suscriptor pero pensado para compradores. Puede ver su historial de pedidos, gestionar direcciones de envio y facturacion, actualizar su perfil. No tiene acceso al panel de administracion. Es el rol que WooCommerce asigna por defecto a los usuarios que se registran al hacer una compra.
El rol gerente de tienda (shop manager) es uno de los mas utiles. Puede gestionar productos, pedidos, cupones, clientes y reportes, sin tener acceso a la configuracion general del sitio ni a la instalacion de plugins. Es ideal para empleados que se encargan de la operacion diaria de la tienda sin tocar nada de la parte tecnica.
Personalizar permisos con User Role Editor
Los roles que vienen por defecto cubren la mayoria de casos, pero a veces necesitas algo mas especifico. Quizas queres un editor que no pueda borrar articulos, o un colaborador que si pueda subir imagenes, o crear un rol nuevo para una funcion particular. Para eso esta User Role Editor.
Que hace User Role Editor
User Role Editor es el plugin mas popular para gestionar roles personalizados en WordPress. Te permite ver todas las capacidades existentes, modificar los roles por defecto agregando o quitando permisos especificos, crear roles nuevos desde cero, y asignar capacidades muy granulares.
Por ejemplo, podes crear un rol llamado redactor senior que tenga todas las capacidades de autor pero sumando la posibilidad de editar articulos de otros autores. O podes crear un rol llamado moderador que solo pueda gestionar comentarios y nada mas. Las posibilidades son enormes.
Como usarlo de manera segura
El poder que te da User Role Editor tambien implica responsabilidad. Si te equivocas asignando capacidades, podes terminar dandole demasiado poder a alguien que no deberia tenerlo, o restringiendo a alguien que necesita esas capacidades para trabajar. La regla: antes de modificar nada, anota la configuracion actual.
El plugin tiene una funcion de exportar e importar roles, asi que aprovechala. Exporta primero, modifica despues, y si algo sale mal podes volver al estado anterior en segundos. Tambien conviene probar los cambios con un usuario de prueba antes de aplicarlos a usuarios reales del equipo.
Alternativas a User Role Editor
Aunque User Role Editor es el mas popular, hay otras opciones que vale la pena conocer segun tus necesidades especificas.
Members es otro plugin de gestion de roles que es muy potente, gratuito y con buena documentacion. Tiene una interfaz mas moderna y es bastante intuitivo. Funciona bien para sitios que combinan WordPress con LearnDash, MemberPress u otros plugins de membresia.
PublishPress Capabilities (antes Capability Manager Enhanced) es otra alternativa solida, especialmente buena para sitios con flujos editoriales complejos. Permite definir permisos por tipo de contenido personalizado (custom post types), lo cual es util si tu sitio maneja muchos tipos de contenido distintos.
Para necesidades muy basicas, podes incluso modificar roles directamente desde el archivo functions.php del tema o un plugin personalizado, usando las funciones add_role(), remove_role() y get_role(). Pero esto solo es recomendable si tenes experiencia con desarrollo WordPress.
Buenas practicas con roles y permisos
Cerramos con un par de reglas que conviene seguir siempre que gestiones roles y permisos en WordPress. Estas cosas parecen obvias pero, en mi experiencia, mucha gente las pasa por alto y termina con problemas.
Aplica el principio de menor privilegio. Dale a cada usuario el rol minimo necesario para hacer su trabajo. Si alguien solo necesita publicar articulos, no le des administrador. Si alguien solo necesita comprar, no le des suscriptor con permisos extra. Cuanto menos poder tenga cada usuario, menos puede romper accidentalmente y menos riesgo hay si su cuenta es comprometida.
Revisa periodicamente quien tiene acceso. Cada tres o seis meses, entra al listado de usuarios de WordPress y revisa quien tiene cada rol. Es comun encontrar que excolaboradores siguen teniendo cuentas activas, o que alguien que ya no necesita administrador lo sigue teniendo. Borrar o degradar esas cuentas es higiene basica.
Activa autenticacion en dos pasos para administradores y editores. Las cuentas con mas privilegios son el blanco favorito de los atacantes. Activar 2FA con plugins como Wordfence o Two Factor Authentication reduce muchisimo el riesgo de que alguien tome control de esas cuentas.
Documenta los roles personalizados. Si creas roles personalizados con User Role Editor o similar, deja documentado en algun lado que hace cada rol y por que lo creaste. Cuando vuelvas en seis meses o cuando otra persona herede el sitio, esa documentacion le va a salvar la vida.
Preguntas frecuentes
Cual es la diferencia entre autor y colaborador
La principal diferencia es que el autor puede publicar sus articulos directamente, mientras que el colaborador tiene que esperar a que un editor o administrador apruebe lo que escribio. Ademas, el colaborador no puede subir archivos a la biblioteca de medios, lo cual es una limitacion importante para articulos con imagenes.
Puedo crear un rol completamente nuevo en WordPress
Si, con plugins como User Role Editor, Members o PublishPress Capabilities podes crear roles nuevos desde cero, eligiendo exactamente que capacidades incluir. Tambien podes hacerlo programaticamente con la funcion add_role() de WordPress, pero requiere conocimiento de PHP.
Como cambio el rol de un usuario existente
Vas a Usuarios, todos los usuarios, eliges el usuario que queres modificar, y en el campo Rol seleccionas el nuevo rol que queres asignarle. Tambien podes cambiar el rol de varios usuarios a la vez usando la opcion de acciones en lote desde el listado de usuarios.
Un usuario puede tener mas de un rol al mismo tiempo
Por defecto WordPress no lo permite, cada usuario tiene un solo rol. Pero plugins como User Role Editor te permiten asignar multiples roles al mismo usuario, sumando las capacidades de todos esos roles. Es util para casos especificos pero conviene usarlo con cuidado para no perder el control de los permisos.
Que pasa si elimino un rol que tiene usuarios asignados
Esos usuarios quedan sin rol, lo cual basicamente significa que no pueden hacer nada en el sitio mas alla de ver paginas publicas. Antes de eliminar un rol siempre conviene reasignar a sus usuarios a otro rol o, si vas a usar el plugin User Role Editor, este suele permitirte hacer la reasignacion automaticamente al eliminar.
Los suscriptores ven el panel de administracion
Si, pueden ver una version muy limitada del panel que basicamente les permite gestionar su perfil. Si queres que ni siquiera vean eso, podes ocultarles el panel con plugins como Hide Admin Bar From Non-Admins o redirigirlos a una pagina del frontend al hacer login.
Como controlo quien puede instalar plugins
Por defecto, solo los administradores pueden instalar plugins. Si queres restringir aun mas, podes desactivar la instalacion de plugins desde el panel agregando define(‘DISALLOW_FILE_MODS’, true) al wp-config.php. Eso bloquea instalacion y actualizaciones desde la interfaz, requiriendo que sea via FTP o SSH.
Hay roles especiales para WooCommerce
Si, WooCommerce agrega dos roles propios: cliente (para compradores registrados) y gerente de tienda (para empleados que gestionan productos y pedidos sin tocar configuraciones tecnicas). Son utiles para separar funciones operativas de la tienda del resto de tareas administrativas del sitio.
Como evito que un editor pueda borrar articulos
Con plugins como User Role Editor podes modificar el rol editor quitandole la capacidad delete_posts o delete_others_posts. Asi el editor sigue pudiendo crear y editar pero ya no puede eliminar contenido, que es una proteccion util contra borrados accidentales o malintencionados.
Es seguro usar plugins de gestion de roles
Si, los principales como User Role Editor, Members y PublishPress Capabilities son confiables, llevan anos de desarrollo y tienen muchas instalaciones activas. Lo importante es descargarlos desde el repositorio oficial de WordPress, mantenerlos actualizados y, antes de hacer cambios grandes, probarlos en un entorno staging primero.
