Los usuarios y roles en WordPress se gobiernan con el principio del mínimo privilegio: cada persona con exactamente los permisos que su función real necesita y ni uno más, el administrador reservado para casi nadie, los editores editando, los autores publicando lo suyo, la jerarquía de roles usada como se diseñó, contra la práctica peruana típica, todos administradores porque era más fácil, el sitio con cinco llaves maestras circulando, cada una un punto de compromiso total esperando su descuido. Esta guía ordena el sistema completo: quién debe ser admin y por qué casi nadie, los roles asignados por función real, la auditoría de usuarios heredados que todo sitio con historia necesita, y el acceso del cliente bien diseñado, la zona verde de esta serie con los permisos que empoderan sin exponer.
Tabla de Contenidos
¿Por qué el mínimo privilegio importa tanto?
Porque cada permiso de más es superficie de ataque: la cuenta comprometida daña hasta donde sus permisos llegan, el autor hackeado afecta sus posts, el administrador hackeado entrega el sitio entero, la matemática simple que vuelve cada admin innecesario un riesgo total gratuito, las contraseñas débiles, el phishing, los descuidos humanos multiplicados por el nivel de acceso, y el daño accidental sigue la misma regla, el colaborador bien intencionado con permisos de más rompiendo lo que no debía poder tocar, el plugin desactivado por error, el ajuste cambiado, los accidentes que el rol correcto vuelve imposibles. El principio viene de la seguridad seria: el mínimo privilegio como estándar de toda la industria aplicado al WordPress de cada día, la pieza de gestión del checklist de hardening de esta serie, con el marco del pilar en los costos anuales y el servicio en diseño web donde los accesos bien diseñados son parte de la entrega.
Los roles nativos y su asignación por función real
La jerarquía de WordPress se usa como existe: el suscriptor que solo gestiona su perfil, el rol de membresías y comentaristas registrados, el colaborador que redacta sin publicar, el escritor en revisión cuyos textos aprueba un editor, el flujo editorial con control, el autor que publica y gestiona lo suyo, el blogger de confianza con su territorio acotado, el editor que gobierna todo el contenido, la mano derecha editorial que publica, corrige y ordena sin tocar la configuración, y el administrador que puede todo, los plugins, los temas, los usuarios, los ajustes, el rol que instala y rompe, reservado para quien administra de verdad el sitio. La asignación se hace por la función y no por el cargo: el gerente que solo revisa contenido es editor aunque sea el dueño de la empresa, la cuenta diaria del propio dueño técnico puede ser editor con el admin guardado para las sesiones de administración, la práctica de separación que los seguros conocen, y el redactor externo es colaborador hasta ganar confianza, los niveles subidos con la relación, jamás otorgados de entrada por comodidad.
La auditoría de heredados y la gestión continua
El sitio con historia carga usuarios que nadie recuerda: la auditoría de esta serie aplicada, la lista completa revisada, cada cuenta identificada, quién es, sigue trabajando aquí, necesita lo que tiene, los ex colaboradores eliminados o desactivados, el diseñador del proyecto de hace tres años que sigue siendo admin, el clásico que las señales de hackeo de esta serie buscan y que la auditoría preventiva limpia antes, las cuentas genéricas repartidas cerradas, el usuario diseño que usaban cuatro personas reemplazado por cuentas personales, la trazabilidad de quién hizo qué que las cuentas compartidas destruyen. La gestión continua evita re-acumular: el alta de usuarios con su rol mínimo documentado, la baja inmediata cuando alguien sale del proyecto, el repaso trimestral de la lista en la rutina de esta serie, los quince minutos que mantienen el censo limpio, y la regla de los administradores contados, los admins listados con nombre y razón, cada uno justificando su llave maestra, el número que en el sitio típico bien gobernado se cuenta con una mano y sobra espacio, [DATO-KOM: el estándar de cuentas y roles que KOM configura en sus entregas, la política del manual].
Los roles de la tienda: WooCommerce y sus permisos propios
El e-commerce suma roles a la jerarquía: el gestor de tienda de WooCommerce que administra productos, pedidos y cupones sin tocar el resto del sitio, el rol del encargado de ventas que la tienda peruana típica necesita y no conoce, el cliente como rol automático de los compradores con su cuenta, y la asignación por función sigue igual, el que procesa pedidos con su gestor de tienda, jamás con el admin que la costumbre regala.
Los permisos de la tienda merecen el cuidado doble: los roles que ven pedidos ven datos de clientes, la responsabilidad del marco de protección de datos en cada cuenta con acceso, la razón extra para el censo limpio y las bajas inmediatas. La tienda con roles bien repartidos opera segura: cada quien con su mostrador y la caja con sus llaves contadas.
El acceso del cliente bien diseñado: la zona verde con permisos
La entrega profesional diseña los accesos del dueño: el cliente con su cuenta de administrador propia porque el sitio es suyo, la propiedad de esta serie con sus llaves completas entregadas, y la cuenta de uso diario sugerida aparte, el editor para la operación cotidiana, los textos, los precios, las fotos de la zona verde editados sin exponer la configuración, la separación que protege al dueño de sus propios accidentes, el admin guardado para cuando de verdad se necesita. El equipo del cliente se estructura igual: la recepcionista que actualiza horarios como editor, el vendedor que sube productos con el rol de la tienda, el contador que mira reportes con su acceso acotado, cada función con su rol exacto, la matriz simple que la capacitación de entrega deja documentada, y los proveedores externos con accesos temporales, el soporte puntual con su cuenta creada para la tarea y eliminada al terminar, jamás la contraseña del admin compartida por chat, la higiene de accesos que separa la operación seria de la que regala llaves, el cierre natural del principio que esta guía instala, cada quien con lo suyo y el sitio con sus llaves contadas.
Preguntas frecuentes
¿Cuántos administradores debe tener un sitio?
Los que justifiquen la llave maestra con nombre y razón: el dueño, el responsable técnico real, el proveedor de mantenimiento activo, la cuenta típica de dos o tres en el sitio bien gobernado, y cada admin extra exige su porqué. La prueba práctica: si alguien con admin nunca instala plugins ni toca configuración, su función real es editor y su rol debería decirlo.
¿Qué hago con el proveedor anterior que sigue teniendo acceso?
La baja ordenada inmediata: su cuenta eliminada o desactivada, las contraseñas compartidas que conocía rotadas, los accesos del hosting y servicios revisados, la limpieza de relación terminada que la auditoría de esta guía incluye. La cortesía no exige llaves: el ex proveedor que necesite algo puntual recibe acceso temporal creado para esa tarea, el estándar que protege a ambos.
¿Los roles personalizados valen la pena?
Donde los nativos no calzan: los plugins de gestión de roles que afinan permisos para el caso especial, el rol de tienda que gestiona productos sin tocar páginas, los ajustes finos del sitio complejo, y la simplicidad primero, los cinco nativos cubren a la mayoría, el rol personalizado como excepción documentada. La regla de esta serie aplica: la complejidad solo donde su retorno la justifique.
¿KOM configura los accesos así en sus entregas?
Es parte del estándar: las cuentas del cliente con sus roles diseñados, la matriz documentada en la capacitación, la auditoría de heredados en los sitios adoptados, dentro de los proyectos cotizados en el cotizador online con los precios públicos de siempre. El sitio se entrega con sus llaves contadas: la propiedad completa del dueño con la higiene que la protege.
Tu siguiente paso: abre tu lista de usuarios y cuenta tus administradores, cada uno con su nombre y su porqué, la auditoría de quince minutos que casi siempre encuentra llaves de más. La configuración completa se cotiza en el cotizador online: cada permiso innecesario es riesgo gratuito, y el principio del mínimo privilegio es la pieza de seguridad que no cuesta nada y protege todo.
