您现在的位置是：首页 > WordPress教程WordPress教程

WordPress权限设置：别让"管理员"变成"背锅侠"！手把手教你锁好后台

WP集市 2025-08-21 【WordPress教程】 1164人已围观

WordPress权限设置：别让"管理员"变成"背锅侠"！手把手教你锁好后台

咱今儿聊个正经事：WordPress后台权限。别觉得这玩意儿不重要，多少网站出问题，就是权限没设好闹的。你想啊，公司里好几个人用后台：编辑发文章、美工传图片、运营改个菜单……要都给"管理员"权限，回头谁删了个插件、改了个主题设置，你都不知道找谁哭去。今儿咱就掰开揉碎了说，怎么把权限设得明明白白，让每个人"各管一摊，别瞎伸手"。

先骂醒你：默认角色坑在哪？

WordPress自带几个角色：超级管理员（多站点用）、管理员、编辑、作者、贡献者、订阅者。听着挺全？但实际用起来，坑得很！

就说"编辑"角色吧，默认能删所有文章，包括别人写的。你团队要是有俩编辑，一个手抖删了另一个的爆款文，你说糟心不糟心？还有"管理员"，那权限叫一个大：删插件、改主题、看数据库……要是给了不懂技术的人，他可能"好心"帮你更新个插件，结果兼容性问题，网站直接白屏。

说白了，默认角色就像饭店的"万能钥匙"，要么啥都能开，要么啥都开不了，根本不适合团队协作。咱得自己动手，把"钥匙"配得刚刚好。

动手！两种方法：代码党 vs 插件党

1. 懂点代码？自定义角色走起（简单不复杂）

别一看见代码就跑！咱用add_role()函数，跟搭积木似的，缺啥补啥。比如你想弄个"内容编辑"角色，只能写文章、传图片，不能瞎改设置，这么写：

// 扔到子主题functions.php里，别直接改核心文件！
function custom_content_editor_role() {
  add_role(
    'content_editor', // 角色名，随便起，别重复
    '内容编辑', // 显示名称，中文也行
    array(
      'read' => true, // 必须给，不然进不了后台
      'edit_posts' => true, // 能写文章
      'edit_published_posts' => true, // 能改自己发的文章
      'upload_files' => true, // 能传图片
      // 下面这些千万别给！
      'delete_posts' => false, // 不能删文章（包括自己的，保险点）
      'install_plugins' => false, // 装插件？想都别想
      'edit_theme_options' => false, // 改主题设置？门儿都没有
      'manage_options' => false, // 看设置页面？不行！
    )
  );
}
add_action('init', 'custom_content_editor_role');

代码里的注释看明白没？true就是"允许"，false就是"禁止"。核心思想：够用就行，别瞎给权限。比如编辑只需要写文章，那"安装插件"肯定不能给，不然他可能瞎装个流氓插件，把网站搞崩。

（PS：想改现有角色？用get_role()。比如把默认"编辑"的删文章权限关了：$editor = get_role('editor'); $editor->remove_cap('delete_posts'); 简单吧？）