WordPress ma 5 wbudowanych ról użytkowników z różnymi uprawnieniami. Od Administratora z pełną kontrolą po Subskrybenta który może tylko czytać. Możesz też tworzyć własne role. Kluczowe dla bezpieczeństwa i workflow.
Krótka odpowiedź
Role WordPress: Administrator (wszystko), Editor (zarządza treścią), Author (własne posty), Contributor (pisze, nie publikuje), Subscriber (czyta). Custom roles przez wtyczkę Members lub User Role Editor.
Dawaj minimalne potrzebne uprawnienia - zasada least privilege.
Usługi KC Mobile
Sprawdź naszą ofertę
Potrzebujesz pomocy specjalisty? Skorzystaj z naszych usług i rozwiń swój biznes online.
Jakie role uzytkownikow ma WordPress?
WordPress ma piec wbudowanych rol i kazda z nich to gotowy zestaw uprawnien dopasowany do innego zadania w zespole. Im wyzej w hierarchii, tym wiecej moze uzytkownik – i tym wieksze ryzyko, gdy konto wpadnie w niepowolane rece.
Hierarchia wyglada tak: Administrator > Redaktor (Editor) > Autor (Author) > Wspolpracownik (Contributor) > Subskrybent (Subscriber). W instalacji wielowitrynowej (Multisite) nad wszystkim stoi jeszcze Super Administrator zarzadzajacy cala siecia stron.
| Rola | Glowne uprawnienia | Czego NIE moze |
|---|---|---|
| Administrator | Wszystko: wtyczki, motywy, uzytkownicy, ustawienia, kod | Brak ograniczen (poza Multisite) |
| Redaktor (Editor) | Publikuje i edytuje wszystkie wpisy i strony, moderuje komentarze, zarzadza kategoriami | Instalowac wtyczek, zmieniac ustawien, zarzadzac uzytkownikami |
| Autor (Author) | Tworzy, publikuje i usuwa WLASNE wpisy, wgrywa media | Edytowac cudzych wpisow, zarzadzac stronami |
| Wspolpracownik (Contributor) | Pisze i edytuje wlasne wpisy jako szkice | Publikowac, wgrywac plikow do mediow |
| Subskrybent (Subscriber) | Czyta tresci, zarzadza wlasnym profilem | Cokolwiek edytowac w tresci strony |
Najwazniejszy wniosek praktyczny: granica miedzy Autorem a Wspolpracownikiem to prawo do publikacji, a granica miedzy Redaktorem a Administratorem to dostep do warstwy technicznej (wtyczki, motywy, kod). To wlasnie te dwie granice decyduja o bezpieczenstwie witryny.
Wolisz, żebyśmy zrobili to za Ciebie?
Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.
- Wdrożenie krok po kroku przez doświadczony zespół
- Konkretny timeline + cena dopasowana do projektu
- 18+ lat doświadczenia
Wolisz zlecić to nam? Strony internetowe od 3 000 zł – wycena w 24h →
Czym sa capabilities i jak roznia sie od rol?
Rola to tylko etykieta – realne uprawnienia siedza w capabilities, czyli pojedynczych pozwoleniach typu edit_posts czy install_plugins. Kazda rola to po prostu zapisany w bazie zestaw wlaczonych capabilities, dlatego mozna je dodawac i odbierac niezaleznie od nazwy roli.
Dzieki temu da sie zbudowac role na miare: wziac Redaktora i odebrac mu manage_categories albo dac Autorowi prawo do edycji cudzych wpisow bez wpuszczania go do ustawien. To granularne podejscie jest sercem kazdej powaznej kontroli dostepu.
| Capability | Co odblokowuje | Domyslnie ma |
|---|---|---|
| edit_posts | Tworzenie i edycja wlasnych wpisow | Wspolpracownik i wyzej |
| publish_posts | Publikacja wpisow | Autor i wyzej |
| edit_others_posts | Edycja cudzych wpisow | Redaktor i wyzej |
| upload_files | Wgrywanie plikow do biblioteki mediow | Autor i wyzej |
| manage_options | Dostep do ustawien witryny | Tylko Administrator |
| install_plugins | Instalacja wtyczek | Tylko Administrator |
| edit_theme_options | Customizer, menu, widgety | Tylko Administrator |
W kodzie sprawdzasz uprawnienie funkcja current_user_can, nie nazwa roli – bo nazwa moze byc niestandardowa, a capability jest konkretem:
if ( current_user_can( 'edit_posts' ) ) {
// uzytkownik moze edytowac wpisy
}To wazna roznica wobec wiekszosci poradnikow, ktore koncza na opisie piec rol. Capabilities to poziom, na ktorym faktycznie projektuje sie dostep – role sa tylko skrotem myslowym.
Jak stworzyc wlasna role uzytkownika?
Wlasne role tworzy sie wtedy, gdy zaden z piec domyslnych zestawow nie pasuje do realnego zadania. Klasyczny przyklad to specjalista od marketingu, ktory ma publikowac wpisy i zarzadzac kategoriami, ale nie ma dotykac wtyczek ani ustawien.
Najprostsza droga to wtyczka. Dwie sprawdzone opcje:
- Members (od StellarWP/Justin Tadlock) – czytelny edytor rol, uprawnienia do tresci, shortcode do ukrywania fragmentow przed wybranymi rolami.
- User Role Editor – wtyczka z setkami tysiecy aktywnych instalacji, dziala tez w Multisite, pozwala zaznaczyc dowolne capabilities checkboxami.
Proces w Members wyglada tak: w menu Members > Add New Role nadajesz nazwe (np. Marketing Manager), zaznaczasz potrzebne capabilities i zapisujesz. Od tej chwili nowa rola pojawia sie na liscie przy dodawaniu uzytkownika.
Dla developera czystszym rozwiazaniem jest kod w motywie potomnym lub wtyczce, bo role zapisuja sie w bazie raz i nie zaleza od aktywnej wtyczki:
add_role( 'marketing_manager', 'Marketing Manager', array(
'read' => true,
'edit_posts' => true,
'publish_posts' => true,
'upload_files' => true,
'manage_categories' => true,
) );Funkcje add_role wystarczy uruchomic jeden raz (np. przy aktywacji wtyczki), a nie przy kazdym ladowaniu strony – inaczej niepotrzebnie obciazasz baze.
Jak role wplywaja na bezpieczenstwo witryny?
Najwiekszym ryzykiem w WordPressie nie jest brak roli, tylko jej nadmiar – konto Administratora rozdawane kazdemu, kto cokolwiek robi przy stronie. Zasada najmniejszych uprawnien (least privilege) mowi prosto: kazdy dostaje dokladnie tyle, ile potrzebuje do swojego zadania, i ani jednej capability wiecej.
Dlaczego to ma znaczenie? Przejete konto Administratora oznacza pelna kontrole nad witryna – instalacje zlosliwego kodu, podmiane tresci, dostep do danych uzytkownikow. Przejete konto Autora to w najgorszym razie kilka wpisow do usuniecia. Roznica w skutkach jest ogromna.
Praktyczna checklista higieny rol:
- Jedno konto Administratora na wlasciciela – nie wspoldzielone, nie nazwane admin.
- Do codziennej pracy uzywaj konta o nizszych uprawnieniach (Redaktor/Autor), nawet jesli jestes wlascicielem.
- Agencji lub freelancerowi dawaj Redaktora do tresci, Administratora tylko na czas konkretnej pracy technicznej.
- Regularnie przegladaj liste w Uzytkownicy i usuwaj nieaktywne konta.
- Wlacz uwierzytelnianie dwuskladnikowe (2FA) przynajmniej dla rol z dostepem do wp-admin.
Perspektywa KC Mobile: w naszych wdrozeniach najczesciej widzimy, ze klient ma piec, szesc kont z rola Administratora – byly programista, dwie agencje, ktore kiedys cos robily, i konto testowe. Przy przejmowaniu opieki nad witryna pierwsze, co robimy, to audyt kont i sprowadzenie liczby Administratorow do absolutnego minimum. To jeden z najtanszych sposobow na realne podniesienie bezpieczenstwa, a wymaga wylacznie kilkunastu minut przy panelu.
Jakie role dodaje WooCommerce?
Po instalacji WooCommerce WordPress zyskuje dwie dodatkowe role dopasowane do sklepu: Customer (Klient) i Shop Manager (Kierownik sklepu). To rozszerzenie standardowego systemu o uprawnienia zwiazane z zamowieniami i produktami.
| Rola WooCommerce | Do czego sluzy | Zakres |
|---|---|---|
| Customer (Klient) | Konto kupujacego | Podglad wlasnych zamowien, edycja danych, brak dostepu do wp-admin |
| Shop Manager (Kierownik) | Obsluga sklepu | Zarzadza produktami, zamowieniami, kuponami, raportami; bez ustawien WordPressa |
Shop Manager to w praktyce odpowiednik Redaktora dla sklepu – moze prowadzic caly biznes operacyjnie (dodawac produkty, realizowac zamowienia, wystawiac kupony), ale nie ma uprawnien do instalacji wtyczek czy zmiany ustawien WordPressa. Customer dostaje minimalny dostep wystarczajacy do obslugi wlasnego konta.
Gdy sklep rosnie, czesto trzeba dolozyc role posrednie – np. magazyniera, ktory widzi i zmienia status zamowien, ale nie dotyka cen ani danych klientow. Wtedy wracamy do capabilities i wtyczki typu User Role Editor, ktora pozwala wyciac Shop Managerowi czesc uprawnien albo zbudowac role od zera. Przy bardziej rozbudowanych sklepach taka kontrola dostepu to element, ktory planujemy juz na etapie budowy strony internetowej, a nie dorabiamy po fakcie.
Potrzebujesz pomocy ekspertow?
Wdrozenie tego, o czym piszemy w artykule, wymaga doswiadczenia i czasu. Jesli wolisz, by zajeli sie tym specjalisci, sprawdz nasza oferte WordPress lub oferte sklepow internetowych.
Mozesz tez napisac do nas bezposrednio – umow bezplatna konsultacje, a my przeanalizujemy Twoja sytuacje i zaproponujemy najlepsze rozwiazanie.
Wspomniane narzędzia
Potrzebujesz pomocy z WordPress?
Tworzymy i naprawiamy strony na WordPress. Optymalizacja prędkości, bezpieczeństwo, aktualizacje. 18+ lat doświadczenia.
Najczęściej zadawane pytania
Czy mozna ukryc panel wp-admin dla niektorych rol?
Jaka role nadac agencji lub freelancerowi?
Jak sprawdzic, jaka role ma uzytkownik?
Czy zmiana roli usuwa wczesniejsze wpisy uzytkownika?
Ktora wtyczka do zarzadzania rolami jest lepsza: Members czy User Role Editor?
Potrzebujesz pomocy?
Wolisz, żebyśmy zrobili to za Ciebie?
Oszczędź czas i uniknij błędów. Zostaw kontakt – wdrożymy to rozwiązanie profesjonalnie.
- Wdrożenie krok po kroku przez doświadczony zespół
- Konkretny timeline + cena dopasowana do projektu
- 18+ lat doświadczenia
Wolisz zlecić to nam? Strony internetowe od 3 000 zł – wycena w 24h →