Les 5 rôles utilisateurs WordPress
WordPress propose par défaut cinq rôles utilisateurs, chacun avec des permissions spécifiques qui définissent ce que l’utilisateur peut ou ne peut pas faire sur le site.
1. Administrateur : Le contrôle total
Le rôle :
Chef d’orchestre du site avec accès illimité
Permissions clés :
- Accès complet au tableau de bord WordPress
- Gestion des utilisateurs (création, modification, suppression, attribution de rôles)
- Installation, activation et suppression de thèmes et plugins
- Modification de tous les réglages du site
- Accès à l’éditeur de fichiers (code source)
- Création, modification et suppression de tous les contenus
Cas d’usage typiques :
- Propriétaire du site
- Développeur principal
- Responsable IT de l’organisation
⚠️ Attention sécurité : Le rôle d’administrateur doit être attribué avec la plus grande prudence. Je recommande de limiter le nombre d’administrateurs à 2-3 maximum par site. Chaque compte administrateur supplémentaire représente un point d’entrée potentiel pour les attaques.
2. Éditeur : Le maître du contenu
Le rôle :
Responsable éditorial avec contrôle sur tout le contenu
Permissions clés :
- Créer, modifier, publier et supprimer tous les articles et pages (y compris ceux des autres utilisateurs)
- Gérer les catégories et étiquettes
- Modérer les commentaires
- Accéder à la bibliothèque de médias
Limitations :
- Aucun accès à la gestion des utilisateurs
- Impossible d’installer ou de configurer des plugins et thèmes
- Pas d’accès aux réglages globaux du site
Cas d’usage typiques :
- Rédacteur en chef
- Responsable communication
- Gestionnaire de contenu
Mon conseil : L’éditeur est le rôle idéal pour les personnes responsables de la stratégie de contenu qui n’ont pas besoin d’accéder aux aspects techniques du site.
4. Contributeur : Le rédacteur supervisé
Le rôle :
Rédacteur sans droit de publication directe
Permissions clés :
- Rédiger et modifier ses propres articles
- Soumettre des articles pour relecture
Limitations :
- Impossible de publier (les articles doivent être approuvés par un éditeur ou administrateur)
- Aucun droit de téléversement de médias
- Impossible de modifier un article après sa publication
- Aucun accès aux contenus des autres
Cas d’usage typiques :
- Rédacteur occasionnel
- Collaborateur externe
- Stagiaire en rédaction
Usage recommandé : Idéal pour les nouveaux contributeurs ou les rédacteurs externes dont le travail nécessite une validation avant publication.
5. Abonné : Le membre minimal
Le rôle :
Utilisateur avec profil minimal
Permissions clés :
- Gérer son profil personnel
- Se connecter au site
- Publier des commentaires (selon la configuration du site)
Limitations :
- Aucun accès à la création de contenu
- Aucun accès au back-office (sauf sa page de profil)
- Lecture seule du site
Cas d’usage typiques :
- Membres d’une communauté
- Clients d’un site e-commerce
- Étudiants sur une plateforme d’apprentissage
Note : Sur de nombreux sites, ce rôle n’est nécessaire que si vous souhaitez restreindre l’accès à certains contenus aux utilisateurs connectés.
Tableau comparatif des permissions
| Rôle | Publier contenu | Modifier contenus tiers | Gérer utilisateurs | Plugins / Thèmes | Réglages site |
|---|---|---|---|---|---|
| Administrateur | ✅ | ✅ | ✅ | ✅ | ✅ |
| Éditeur | ✅ | ✅ | ❌ | ❌ | ❌ |
| Auteur | ✅ (ses contenus) | ❌ | ❌ | ❌ | ❌ |
| Contributeur | ⚠️ (soumission) | ❌ | ❌ | ❌ | ❌ |
| Abonné | ❌ | ❌ | ❌ | ❌ | ❌ |
Bonnes pratiques de gestion des rôles
1. Le principe du moindre privilège
Règle d’or : Attribuez toujours le rôle minimum nécessaire pour accomplir les tâches requises.
Ne cédez pas à la facilité de donner à tout le monde des droits d’administrateur « au cas où ». Chaque permission supplémentaire accordée est une porte d’entrée potentielle pour les erreurs humaines ou les failles de sécurité.
2. Recommandations pratiques
Pour les administrateurs :
- Maximum 2-3 administrateurs par site
- Utilisez des mots de passe forts et uniques
- Activez l’authentification à deux facteurs (2FA)
- Surveillez régulièrement l’activité des comptes administrateurs
Pour l’équipe éditoriale :
- Éditeur pour les responsables de contenu
- Auteur pour les contributeurs réguliers de confiance
- Contributeur pour les collaborateurs occasionnels ou nouveaux
Maintenance régulière :
- Révisez les rôles attribués tous les 3-6 mois
- Désactivez immédiatement les comptes des utilisateurs qui quittent l’organisation
- Supprimez les comptes inactifs depuis plus de 6 mois
- Documentez qui a accès à quoi et pourquoi
3. Cas d’usage avancés : rôles personnalisés
Pour des besoins spécifiques, WordPress permet de créer des rôles personnalisés avec des permissions sur mesure. Par exemple :
- Gestionnaire de produits (e-commerce) : peut gérer les produits mais pas les autres contenus
- Modérateur : peut uniquement modérer les commentaires
- Gestionnaire de médias : peut gérer la bibliothèque média sans accéder au contenu
Ces rôles personnalisés peuvent être créés via des plugins comme User Role Editor ou Members, ou directement via du code PHP.
Sécurité : erreurs courantes à éviter
❌ Erreur 1 : Trop d’administrateurs
Chaque administrateur supplémentaire multiplie les risques. Si un compte est compromis, l’attaquant a un accès total.
❌ Erreur 2 : Négliger les comptes inactifs
Les anciens comptes d’employés ou de collaborateurs représentent des vulnérabilités. Automatisez leur désactivation.
❌ Erreur 3 : Utiliser « admin » comme nom d’utilisateur
C’est le premier nom d’utilisateur testé lors des attaques par force brute. Utilisez toujours des noms d’utilisateur uniques.
❌ Erreur 4 : Partager des comptes
Chaque personne doit avoir son propre compte. Cela permet la traçabilité et facilite la révocation d’accès.
❌ Erreur 5 : Ne pas former les utilisateurs
Assurez-vous que chaque utilisateur comprend son rôle et ses responsabilités. Une erreur de manipulation peut avoir des conséquences importantes.
Outils recommandés pour la gestion des rôles
Pour auditer les permissions :
- User Role Editor : Interface visuelle pour gérer et créer des rôles
- PublishPress Capabilities : Gestion avancée des capacités
- Simple History : Log de toutes les actions des utilisateurs
Pour la sécurité :
- Wordfence ou Sucuri : Monitoring de sécurité
- Two Factor Authentication : Authentification à deux facteurs
- Limit Login Attempts : Protection contre les attaques par force brute
Conclusion
La gestion des rôles utilisateurs WordPress n’est pas qu’une question technique – c’est un élément stratégique de la gouvernance de votre site. Une attribution réfléchie des rôles protège votre site, responsabilise votre équipe et facilite la collaboration.
Chez Polaris Association, où je gère l’infrastructure IT, nous appliquons rigoureusement ces principes sur tous nos projets WordPress. Cette approche nous a permis de maintenir une sécurité optimale tout en facilitant la collaboration avec nos multiples partenaires et contributeurs.
Mes trois conseils finaux :
- Démarrez toujours avec le rôle le plus restrictif
- Augmentez les permissions uniquement quand c’est nécessaire
- Révisez régulièrement qui a accès à quoi
Besoin d’aide pour sécuriser votre site WordPress ?
Contactez-moi pour discuter de votre projet et mettre en place une gestion des utilisateurs adaptée à votre organisation.
Ressources complémentaires