Роли и права пользователей

15 комментариев

WordPress использует механизм Ролей пользователей, суть которого заключается в том, чтобы дать возможность контроля, что другие пользователи сайта могут или не могут делать в админке, например публиковать свои посты, создавать страницы, устанавливать плагины, темы, редактировать других пользователей и так далее.

У каждой роли есть свой набор прав, о которых мы поговорим чуть ниже, к примеру «Администраторы» — это группа пользователей, а switch_themes (возможность смены темы оформления) уже относится к правам этой группы.

И конечно не могу не порекомендовать свой видеокурс по созданию темы WordPress с нуля на основе готовой HTML-вёрстки, который поможет классно прокачать ваши навыки в WP.

Роли пользователей

В WordPress по умолчанию уже существует 6 групп (ролей) пользователей:

Super Admin — суперадминистратор, который имеет право управлять сетью сайтов.
Administrator — администратор.
Editor — редактор, может публиковать и редактировать посты других пользователей.
Author — автор, может публиковать и редактировать собственные посты.
Contributor — участник, может писать и отправлять свои посты на модерацию.
Subscriber — подписчик, всё, что он может — это редактировать свой профиль.

А если у вас стоит плагин для интернет-магазинов WooCommerce, то у вас будет ещё две дополнительные роли, о них я рассказываю в отдельном уроке.

Сразу после установки WordPress автоматически создается пользователь-администратор.

Также вы можете установить, какую роль нужно присваивать только что зарегистрированному пользователю. Это настраивается в «Настройки > Общие».

Изменить роль пользователя можно на странице его профиля или же на странице со всеми пользователями:

Меняем роль пользователя в админке сайта

Чуть дальше я покажу, как можно удалить эти роли, да и вообще, создать собственные.

Но сначала давайте чуть подробнее остановимся на стандартных ролях пользователей.

Администратор (administrator)

Вот так выглядит админка администраторов (рекомендую обратить внимание именно на меню слева).

Если мы не говорим о сети сайтов WordPress Мультисайт, то администраторы могут всё – устанавливать плагины и темы, редактировать весь контент и настройки, создавать и удалять пользователей, сбрасывать пароли и так далее. Полный список их прав в таблице ниже.

Редактор (editor)

Редакторы – это такие ребята, которые не имеют доступ к настройкам и плагинам сайта, зато имеют полный доступ к любому контенту и могут создавать и редакторивать как свои посты, так и чужие. А также модерировать комментарии и редактировать категории и метки.

Автор (author)

Авторы могут публиковать и редактировать только свои собственные посты типа «Записи». И удалять кстати тоже. То есть у них уже нет доступа к Страницам. И не могут создавать новые рубрики и метки.

Участник (contributor)

Что-то типо облегчённой версии роли автора. Могут писать и редактировать посты в виде черновиков, но при публикации посты должны пройти одобрение администраторами или редакторами. Кроме того, не могут изменить свои же, уже опубликованные посты и загружать медиафайлы.

Подписчик (subscriber)

Ну и последняя стандартная роль WordPress – подписчик, который не может ровным счётом ничего 😁 Ну окей, они могут изменять информацию в своём профиле и читать посты, на этом всё.

Супер-администратор

Вы наверное подумали: «Так, а где роль суперадмина?» Почему я не рассказал про неё в самом начале? А это даже и не совсем роль – это роль администратора с возможностью управления сетью WordPress Мультисайт.

У него появляется доступ в отдельную консоль для мультисайта.

консоль WordPress Мультисайт для суперадминистраторов

Таблица ролей и прав пользователей

Для того, чтобы вам было удобнее ориентироваться в огромном количестве прав пользователей, сделал для вас таблицу. Не забывайте кликать на ссылку-название определённого права, чтобы почитать про него подробнее, так как для некоторых прав существуют различные условия, когда они работают по-другому.

Права	Суперадмин	Админ	Редактор	Автор	Участник	Подписчик
install_plugins	Да	Да
update_plugins	Да	Да
activate_plugins	Да	Да
edit_plugins	Да	Да
delete_plugins	Да	Да
install_themes	Да	Да
switch_themes	Да	Да
edit_themes	Да	Да
edit_theme_options	Да	Да
update_themes	Да	Да
delete_themes	Да	Да
update_core	Да	Да
import / export	Да	Да
manage_options	Да	Да
edit_dashboard	Да	Да
create_users	Да	Да
edit_users	Да	Да
delete_users	Да	Да
list_users	Да	Да
promote_users	Да	Да
remove_users	Да	Да
moderate_comments	Да	Да	Да
manage_categories	Да	Да	Да
edit_pages	Да	Да	Да
edit_others_pages	Да	Да	Да
edit_published_pages	Да	Да	Да
publish_pages	Да	Да	Да
delete_pages	Да	Да	Да
delete_others_pages	Да	Да	Да
delete_published_pages	Да	Да	Да
delete_private_pages	Да	Да	Да
edit_private_pages	Да	Да	Да
read_private_pages	Да	Да	Да
edit_others_posts	Да	Да	Да
delete_others_posts	Да	Да	Да
delete_private_posts	Да	Да	Да
edit_private_posts	Да	Да	Да
read_private_posts	Да	Да	Да
edit_published_posts	Да	Да	Да	Да
publish_posts	Да	Да	Да	Да
delete_published_posts	Да	Да	Да	Да
edit_posts	Да	Да	Да	Да	Да
delete_posts	Да	Да	Да	Да	Да
unfiltered_html	Да	Да	Да
upload_files	Да	Да	Да	Да
read	Да	Да	Да	Да	Да	Да
manage_network	Да
manage_sites	Да
manage_network_users	Да
manage_network_themes	Да
manage_network_options	Да
upgrade_network	Да
setup_network	Да

Также напоминаю про свой видеокурс по натяжке готовой вёрстки на WordPress.

Примитивные и Мета-права

Сейчас пришло время рассказать вам о важном моменте, связанном с правами пользователя. Я также упоминал о нём, когда описывал функцию register_post_type().

Чтобы понять, как это работает, лучше всего обратиться к примеру.

Предположим, что у нас есть какое-то право, допустим это edit_posts. И мы например можем проверить функцией current_user_can(), может ли текущий пользователь в принципе редактировать посты или нет. Это примитивное право, под него попадают все возможные посты. Это можно проверить:

if( current_user_can( 'edit_posts' ) ) {
 
}

Но как вы знаете, у нас есть например роль Авторы, которые могут редактировать только свои посты. Как проверить, что они это могут делать? При помощи мета-права!

if( current_user_can( 'edit_post', $post->ID ) ) {
 
}

Мета-права создаются «на лету» динамически, например алгоритм такой, что WordPress чекает, может ли пользователь редактировать чужие посты примитивным правом edit_others_posts, если нет, то он проверяет, является ли пользователь автором проверяемого поста $post->ID. И вот так это и работает.

Права пользователей

switch_themes

С версии 2.0
Даёт доступ к странице админки Внешний вид > Темы, и возможность переключать их.

edit_themes

С версии 2.0
Даёт доступ к странице Внешний вид > Редактор, где можно изменять исходный код файлов тем.

edit_theme_options

С версии 3.0
Даёт доступ к настройкам тем, к меню, виджетам, произвольному фону, произвольной шапке и кастомайзеру (если эти настройки поддерживаются самой темой).

install_themes

С версии 2.8
Возможность устанавливать новые темы.

delete_themes

С версии 3.0
Возможность удалять темы.

update_themes

С версии 2.7
Позволяет обновлять темы WordPress сайта через админку.

activate_plugins

С версии 3.0
Доступ к странице в админке Плагины и возможность активировать их.

edit_plugins

С версии 2.0
Возможность редактировать исходный код плагинов в Плагины > Редактор.

install_plugins

С версии 2.7
Позволяет добавлять новые плагины в Плагины > Добавить новый.

edit_users

С версии 2.0
Даёт доступ ко странице Пользователи и позволяет изменять их информацию.

manage_options

С версии 2.0
Даёт возможность изменять настройки сайта: Общие, Чтение, Написание и т д.

moderate_comments

С версии 2.0
Позволяет модерировать комментарии на экране Комментарии в админке, для доступа к которой также понадобится право edit_posts.

manage_categories

С версии 2.0
Даёт возможность добавлять и редактировать рубрики в Записи > Рубрики.

manage_links

С версии 2.0
Возможнось добавлять и редактировать Ссылки в WordPress, который в последних версиях кстати отключены по умолчанию.

upload_files

С версии 2.0
Доступ к экранам Медиафайлы и Медиафайлы > Добавить новый, кроме того, даёт также и возможность загружать медиафайлы из постов.

import

С версии 2.0
Доступ к Инструменты > Экспорт и Инструменты > Импорт.

export

С версии 3.0
Возможность осуществлять экспорт контента Инструменты > Экспорт.

unfiltered_html

С версии 2.0
Позволяет пользователю публиковать любые HTML-теги (в том числе и <script>) в контенте записей, страниц, комментариев и виджетов.
Будьте осторожны, чтобы это право не попало в плохие или неумелые руки!
Внутри сети WordPress Мультисайт только у супер-админов есть право unfiltered_html.

А вообще кстати мы можем изменять список разрешённых HTML-тегов в постах и комментариях.

edit_posts

С версии 2.0
Добавляет доступ к страницам Записи, Записи > Добавить новую, Комментарии и Комментарии > Ожидающие модерации.

edit_others_posts

С версии 2.0
Возможность редактировать и удалять любой комментарий.
Возможность редактировать записи (черновики) других пользователей.

edit_published_posts

С версии 2.0
Пользователи смогут редактировать свои собственные опубликованные записи.
Для редактирования опубликованной записи других пользователей, понадобится также право edit_others_posts.
Также обратите внимание, что вы и вовсе не сможете получить доступа к экрану «Записи», если у вас нет права edit_posts.

publish_posts

С версии 2.0
Возможность публиковать свои посты (типа записи), иначе вы сможете только сохранять их как черновики.

delete_posts

С версии 2.1
Возможность удалять свои собственные записи.

delete_others_posts

С версии 2.1
Возможность удалять записи, созданные другими пользователями.

delete_published_posts

С версии 2.1
Возможность удалять опубликованные записи.

delete_private_posts

С версии 2.1
Возможность удалять записи, отмеченные как «Личное».

edit_private_posts

С версии 2.1
Возможность редактировать записи, отмеченные как «Личное».

read_private_posts

С версии 2.1
Возможность читать записи, отмеченные как «Личное».

edit_pages

С Версии 2.0
Даёт доступ к следующим экранам в админке Страницы и Страницы > Добавить новую.

publish_pages

С версии 2.1
Возможность публиковать тип записей страницы.

edit_others_pages

С версии 2.1
Возможность редактировать страницы, созданные другими пользователями.

edit_published_pages

С версии 2.1
Взможность редактировать уже опубликованные страницы.

delete_pages

С версии 2.1
Возможность удалять свои собственные страницы.

delete_others_pages

С версии 2.1
Возможность удалять страницы, созданные другими пользователями.

delete_published_pages

С версии 2.1
Возможность удалять опубликованные страницы.

edit_private_pages

С версии 2.1
Возможность редактировать страницы, отмеченные как «Личное».

read_private_pages

С версии 2.1
Возможность просматривать страницы, отмеченные, как «Личное».

delete_private_pages

С версии 2.1
Возможность удалять страницы, отмеченные как «Личное».

delete_users

С версии 2.1
Право удалять пользователей.

create_users

С версии 2.1
Позволяет создавать пользователей, однако без права promote_users у создаваемых пользователей всегда будет стандартная роль, указанная в Настройки > Общие.

list_users

С версии 3.0
Даёт доступ к странице админки «Пользователи»

remove_users

С версии 3.0
Даёт возможность удалять пользователей.

promote_users

С версии 3.0
Включает функцию «Изменить роль на…» в списке пользователей в админке, но обратите внимание, что для доступа к нему понадобится также право edit_users.
Также в мультисайт-установке добавляет функцию «Добавить существующего пользователя»

unfiltered_upload

С версии 2.3.

Право unfiltered_upload очень похоже на unfiltered_html. Если у пользователя присутствует это право, он(а) сможет загружать файлы, которые НЕ находятся в белом списке WordPress:

Изображения: jpg, jpeg, png, gif, ico
Документы: pdf, doc, docx, ppt, pptx, pps, ppsx, odt, xls, xlsx, psd
Аудио: mp3, m4a, ogg, wav
Видео: mp4, m4v, mov, wmv, avi, mpg, ogv, 3gp, 3g2

В итоге, если у пользователя нет данного разрешения, то попытки загрузить любые файлы, который не находятся в этом списке, приведут к ошибке «Извините, этот тип файла недопустим по соображениям безопасности»:

По умолчанию этого права нет ни у кого, но его можно включить, добавив в wp-config.php следующую строчку:

define( 'ALLOW_UNFILTERED_UPLOADS', true );

На обычной установке WordPress это право можно добавить для кого угодно, а на мультисайт-установке – только для супер-админов.

edit_dashboard

С версии 2.5
Даэт возможность настраивать метабоксы в Консоли WordPress.

customize

С версии 4.0
Даёт доступ к кастомайзеру.

delete_site

С версии 4.0
Позволяет пользователю удалить текущий сайт (для сети WordPress Мультисайт).

update_plugins

С версии 2.6
Позволяет устанавливать обновления на плагины.

delete_plugins

С версии 2.6
Позволяет удалять плагины.

update_core

С версии 3.0
Даёт право на обновление ядра WordPress

edit_comment

С версии 3.1

create_sites

С версии 3.1
Позволяет создать сайт внутри сети WordPress Мультисайт.

delete_sites

С версии 3.1
Позволяет удалить сайт внутри сети WordPress Мультисайт.

manage_network

С версии 3.0
Даёт доступ в консоль управления сетью WordPress Мультисайт.
Даёт пользователям возможность обновить сеть.

manage_sites

С версии 3.0
Даёт возможность добавлять, редактировать, удалять, архивировать, разархивировать, активировать, деактивировать и помечать как спам любой сайт сети мультисайт.

manage_network_users

С версии 3.0
Даёт возможность управлять пользователями сети WordPress Мультисайт.

manage_network_themes

С версии 3.0
Даёт возможность управлять темами сети WordPress Мультисайт.

manage_network_options

С версии 3.0
Даёт доступ к странице настроек сети WordPress Мультисайт.

manage_network_plugins

С версии 3.0
Даёт возможность управлять плагинами сети WordPress Мультисайт.

upload_plugins

С версии 4.0
Разрешает пользователю загружать плагины в виде zip-архива в меню Плагины > Добавить новый сети мультисайт

upload_themes

С версии 4.0
Разрешает пользователю загружать плагины в виде zip-архива в меню Темы > Добавить новую сети мультисайт

upgrade_network

С версии 4.8
Даёт доступ к пункту меню Консоль > Обновить сеть в установке WordPress Мультисайт.

setup_network

С версии 4.8
Возможность установки сети WordPress Мультисайт.

read

С версии 2.0
Доступ к следующим экранам админки – Консоль и Ваш профиль.

Примеры работы с ролями и правами пользователей

Проверка роли или права пользователя

Для того, чтобы в коде проверить, имеет ли пользователь сайта определённую роль или же только определённое право, мы можем воспользоваться одной из двух функций:

user_can() – проверяет пользователя, ID которого передан в параметрах.
current_user_can() – проверяет текущего пользователя.

Проверим, что текущий пользователь администратор:

if( current_user_can( 'administrator' ) ) {
	// выполняем какие-либо действия
}

Или:

if( user_can( get_current_user_id(), 'administrator' ) ) {
	// выполняем какие-либо действия
}

Таким же образом вместо названия роли пользователя мы можем передать и название определённого права. Например проверим, что пользователь может переключать темы:

if( current_user_can( 'switch_themes' ) ) {
	// выполняем какие-либо действия
}

И ещё кое-что, так как супер-администратор не является полноценной ролью, то его лучше проверять по-другому, функцией is_super_admin() или правом setup_network.

if( is_super_admin() ) { // или if( current_user_can( 'setup_network' ) ) {
	// в параметры также можем передать ID определённого пользователя
}

add_role() — создание собственной роли

Функция заносит данные в базу, поэтому лучше всего её использовать только один раз, например при активации плагина или темы.

/*
 * допустим я добавлю этот код в файл плагина и сделаю так, чтобы он запускался при активации этого самого плагина
 */
register_activation_hook( __FILE__, 'true_new_role_plugin_activate' );
 
function true_new_role_plugin_activate() {
	$new_role = add_role(
		'comm_moderator', // название роли
		__( 'Comment Moderator' ), // отображаемое название роли (модератор комментариев)
		array( // массив возможностей, true - разрешено, false - запрещено
			'read'         => true,  // ну это понятно
			'moderate_comments'=> true // разрешим модерировать комментарии
		)
	);
	if ( null !== $result ) { // смотрим результат
		// роль успешно создана
	} else { 
		// если null, то значит роль уже существует
	}
}

remove_role() — удаление ролей

Также, как и add_role(), функция изменяет содержимое базы данных — а значит не нужно просто тупо вставлять её в functions.php.

В примере удалим роль, созданную в прошлой главе:

remove_role('comm_moderator'); // в качестве параметра указываем название роли и всё, дело сделано

get_role() — получение информации о группе пользователей

В случае успеха возвращает объект WP_Role (который состоит преимущественно из возможностей роли), в случае неудачи — null.

$my_role = get_role( 'comm_moderator' ); // указываем роль, которая нам нужна
print_r( $my_role ); // так можно вывести содержимое объекта

add_cap() и remove_cap() — добавление и удаление прав

Благодаря этим функциям вы можете добавить или удалить права для пользователей определенной роли или даже для пользователей с определенными ID.

Эти функции также изменяют содержимое базы данных, поэтому в качестве примера мы повесим их на активацию / деактивацию темы.

function true_author_caps(){
	global $pagenow;
	$role = get_role( 'author' ); // к примеру возьмем роль автора
	// $role = new WP_User( $user_id ); таким образом мы можем взять конкретного пользователя
	if ( 'themes.php' == $pagenow && isset( $_GET['activated'] ) ){ // если тема была активирована
		$role->add_cap( 'edit_others_posts' ); // разрешаем авторам редактировать посты других авторов
	} else { // если тема деактивирована
		$role->remove_cap( 'edit_others_posts' ); 
	}
}
 
add_action( 'load-themes.php', 'true_author_caps' ); // вешаем функцию на хук

Миша

Впервые познакомился с WordPress в 2009 году. Организатор и спикер на конференциях WordCamp. Преподаватель в школе Нетология.

Пишите, если нужна помощь с сайтом или разработка с нуля.

Роли
Таблица ролей и прав
Примитивные и Мета-права
Права
Примеры

Комментарии — 15

Леонид 9 Сен 2015
Здравствуйте, как определенному пользователю дать возможность публиковать посты только в определенную рубрику?
- Миша 10 Сен 2015
  Здравствуйте!
  А каким образом вы хотите это реализовать? Сделать другие рубрики в админки недоступными для выбора или как-то ещё?
  - Максим 30 Дек 2015
    Совершенно верно, чтобы пользователи могли публиковать посты только в одну рубрику, остальные не выводились ему в админке.
    - Миша 31 Дек 2015
      Наверное лучше скрыть через CSS при помощи хука admin_head и функции current_user_can().
      - Максим 31 Дек 2015
        Спасибо, реализовал лучше вариант с хуком get_terms
Артем 13 Янв 2016
Приветствую, Михаил! Немного не в кассу, но спрошу.
Можно ли задать возможности определенной роли чтобы этим пользователям можно было только добавлять и редактировать одну конкретную кастомную запись?
- Миша 14 Янв 2016
  Приветствую!
  
  Да, конечно. Можно условие повесить внутри хука save_post, но думаю, что есть и более «чистое» решение.
  - Артем 14 Янв 2016
    Хм, ладно, подумаю... Спасибо
Николай 27 Янв 2021
Добрый день! Я уже всю голову сломал и весь гугл перешерстил, решения не нашел.
Мне нужно, чтобы при выборе определенной таксономии пользователю присваивалась вторая роль, помимо существующей.
То есть у меня есть таксономия "язык". Надо, чтоб когда пользователь выбирал "русский", ему добавлялась вторая роль "freelancer_ru" помимо уже присвоенной ему роли "freelancer".
Вот код, отвечающий за выбор таксономии:
<?php if(!empty($frc_remove_languages) && $frc_remove_languages === 'no'){?> <div class="wt-tabscontenttitle"> <h2><?php esc_html_e('Select Languages', 'workreap'); ?></h2> </div> <div class="wt-settingscontent"> <div class="wt-formtheme wt-userform"> <div class="form-group"> <select data-placeholder="<?php esc_attr_e('Languages', 'workreap'); ?>" name="settings[languages][]" multiple class="chosen-select"> <?php if( !empty( $languages ) ){ foreach( $languages as $key => $item ){ $selected = ''; if( has_term( $item->term_id, 'languages', $post_id ) ){ $selected = 'selected'; } ?> <option <?php echo esc_attr($selected);?> value="<?php echo intval( $item->term_id );?>"><?php echo esc_html( $item->name );?></option> <?php }}?> </select> </div> </div> </div> <?php }?>
Куда-то туда мне надо вставить правило типа
<?php if( $languages = he ){ $db_user_role = 'freelancers_he'; }{?>
но я не знаю, как это правильно сделать.
- Миша 28 Янв 2021
  Добрый день!
  
  Это можно сделать так:
  $user = new WP_User( $user_id ); $user->add_role( 'freelancer_ru' );
  - Николай 28 Янв 2021
    Спасибо, вы меня спасаете! И тупой вопрос: этот код вставляется в function.php или как-то еще?
  - Миша 29 Янв 2021
    А он вставляется там, где что-то происходит после того, как пользователь выбирает таксономию
Олег 18 Сен 2021
Миша привет! Подскажи пожалуйста. Можно ли как то ролям подписчик, запретить редактировать Имя и Фамилию? Так же имеется плагин WPForo и HivePress там свой профиль с такими же полями.
Вот и вопрос если на уровне ролей запретить , подцепит ли это правило другие плагины? Спасибо.
- Миша 22 Сен 2021
  Привет!
  
  Думаю, что конечно можно, но готового кода у меня к сожалению нет
Алексей 19 Дек 2022
Длинный и сложный вопрос. На сайте реализованы профили пользователей через Profile Builder.
Есть потребность в том, чтобы пользователь с ролью "Брокер" мог залогиниться в админку сайта.
Сейчас (при роли "Подписчик") пользователь при логине "в админку" попадает в "профиль на фротненде".
Путём перебора было найдено, что "в админку WP" могут логиниться пользователи с ролью "Редактор" и выше.
При этом. если клонировать роль "Редактор" и сделать её "Брокер"-ом, то пользователь в админку сайта уже не может логиниться.
Если же клонировать роль "Администратор", то пользователь с таким клоном может залогиниться в админку.

Вопрос: куда хоть копать, чтобы понять, как мне дать минимальные права нужной роли для логина в админку сайта?

Чтобы оставить комментарий, пожалуйста, зарегистрируйтесь или войдите.