WordPressには、管理者・編集者・投稿者など、「ユーザー権限(ロール)」があります。これは、投稿を作成する・プラグインを追加するといった、操作できる範囲を定めたものです。
権限設定は、セキュリティを守りつつ、複数人での効率的なサイト運営を実現するうえで欠かせない要素です。リスクを減らしてサイト運用するためにも権限を適切に設定していきたいところです。
この記事ではWordPress標準で用意されているユーザー権限の種類と、運用における選び方のポイントについてまとめていきます。
WordPressのユーザー権限とは?
WordPressには、サイト運営を安全かつ効率的に行うために「ユーザーロール(役割)」と「ケイパビリティ(権限)」という仕組みが用意されています。
- ユーザーロール(Role)
利用者が担う「役割」を指し、管理者・編集者・投稿者など複数の種類があり、管理画面などでは「権限グループ」とも表記されています。 - ケイパビリティ(Capability)
各ロールが持つ「具体的な操作権限」です。たとえば「記事を公開する」「他人の記事を編集する」「プラグインをインストールする」といった内容があります。
この仕組みによって、たとえば「外部ライターは記事を書くだけ」「編集者は校正と公開まで」「管理者は全体設定も行う」といった役割分担ができます。
必要な作業だけできる状態を用意し、必要以上に強い権限を与えないといった適切な役割を設定することで、操作ミスや悪意ある改ざん、情報漏洩などといったリスクを防ぐことができます。
また権限グループの割り当ては役割分担の他、そのユーザーの責任範囲として考えていきましょう。
WordPress標準の権限の種類と内容
WordPressには、初期状態で6種類の権限グループが用意されています(通常のシングルサイトは5種類、マルチサイトでは「特権管理者」が追加)。
ユーザーは割り当てられた権限グループで許可されていることのみ実行できます。それぞれの権限範囲を理解しておくことで、適切なユーザー管理ができます。
WordPressサイトを作成した時に登録される最初のユーザーは、管理者として登録されます。管理者権限を持つユーザーが一人しかいない場合、変更はできません。
自分一人で運用していたり管理者としてログインできる場合でも、ユーザー権限を分けておくと操作ミスを減らせたり作業がスムーズに行いやすいこともあります。
【WordPress 標準ユーザー権限まとめ】
| 権限 | 投稿の作成 | 投稿の公開 | 他ユーザー投稿の編集 | 固定ページ編集 | メディアアップロード | プラグイン・テーマ管理 | ユーザー管理 |
|---|---|---|---|---|---|---|---|
| 管理者(Administrator) | ○ | ○ | ○ | ○ | ○ | ○ | ○ |
| 編集者(Editor) | ○ | ○ | ○ | ○ | ○ | × | × |
| 投稿者(Author) | ○(自分のみ) | ○(自分のみ) | × | × | ○ | × | × |
| 寄稿者(Contributor) | ○(下書きのみ) | × | × | × | × | × | × |
| 購読者(Subscriber) | × | × | × | × | × | × | ×(プロフィール編集のみ) |
| 特権管理者(Super Admin/マルチサイト) | ○(各サイト単位) | ○(各サイト単位) | ○(各サイト単位) | ○(各サイト単位) | ○ | ○(ネットワーク全体に影響) | ○(ネットワーク全体に影響) |
管理者(Administrator)
管理者はサイト全体の最高権限を持ちます。投稿の作成・編集はもちろん、プラグインやテーマの管理、ユーザー管理などWordPressの全ての機能を使用することができます。
運営者や開発者といった、あらゆる機能にアクセスする必要がある人のみで厳選していきましょう。
編集者(Editor)
編集者コンテンツ管理に特化した権限グループです。新規投稿の作成・公開・編集・削除、カテゴリーやタグなどの管理もできます。リンクの編集、コメントの承認、固定ページの編集もできるので、記事に関することは大体できます。
自分以外の他のユーザーが投稿した記事の編集・公開も可能です。「他のユーザーが作成した記事」を編集できるのは、この編集者と管理者だけです。
管理者との違いはプラグインやテーマ設定、ユーザー管理など記事以外のサイト管理に関わる設定についての変更はできない点です。
外部ライターの原稿を校正・公開するなど、サイトのコンテンツ管理を任せたい人向けの権限グループです。
投稿者(Author)
投稿者は「投稿」の記事の作成・公開、自身が作成した記事の編集・削除ができ、「投稿」に関することに特化した権限が設定されています。
カテゴリーやタグは既存のものを使用できますが、新たに作成することはできません。
同期パターン(再利用ブロック)も自分で作成したもののみ利用できます。
固定ページの作成・編集はできず、他のユーザーが書いた投稿記事の編集もできません。
記事作成において信任できる人に割り当てるようにしましょう。
寄稿者(Contributor)
寄稿者は、記事の作成や自分が書いた記事の編集ができますが、公開や削除をする、という権限はありません。寄稿者が公開ボタンをクリックしても「レビュー待ちとして送信」となり公開はされません。
投稿者と同様、他のユーザーが作成した記事の編集はできません。また自身が作成した投稿でもメディアの機能が制限され、記事に画像を入れることができません。
画像の挿入も行なって欲しい場合は投稿者以上の権限グループにするか、権限をカスタムする必要があります。
同期パターン(再利用ブロック)は既存のものでも閲覧のみで使用することができません。
記事を独自判断で公開せずWordPressでテキストのみの記事を作成だけしてもらい、管理者や編集者がチェック・編集してから公開する、といった流れにしたいユーザーの場合には、寄稿者が適しています。
購読者(Subscriber)
購読者は、サイトの閲覧と自分のプロフィールのみ操作可能です。
一般の訪問者は閲覧できず、サイト側でログインすると見れるようになるページがある会員制サイトのような形や、公開前の記事の確認だけしてほしい場合に活用できる権限グループです。
特権管理者(Super Admin)
特権管理者は、マルチサイト環境のみ適用できる権限グループです。
マルチサイト全体の管理権限を持つ特別なロールで、テーマ・プラグインのインストールや有効化、全サイト共通のユーザー管理、サイト追加・削除など「基盤部分」に影響する操作が可能です。
特権管理者システム管理を中心にした役割として、実務上は「特権管理者=システム管理者」「管理者=各サイト運営者」という使い分けが一般的です。
実際の運用における選び方のポイント
WordPressのユーザー権限は、サイト運用方法に合わせて設定することで、便利さと安全性を持たせることができます。最小限の権限付与を徹底し、役割分担・アカウント管理・定期的な棚卸しをしていくことがポイントです。
必要最小限の権限を付与する
もっとも重要なことは、その人が担当する作業に必要な最小限の権限だけに絞ること。
記事執筆のみを行う人に「編集者」や「管理者」を付与してしまうと、誤操作や意図せぬ改変につながりますが、「投稿者」や「寄稿者」であればそのリスクを減らすことができます。
運営体制に応じた役割分担
サイトの規模や組織の体制によって、適切な権限の組み合わせは異なります。
- 個人ブログや小規模サイト
→ 管理者1名、寄稿者や投稿者を必要に応じて追加。 - 中規模メディアサイト
→ 管理者1名+編集者1〜2名+複数の投稿者。 - 大規模メディア・企業サイト
→ 管理者(システム面)と編集者(コンテンツ面)を分離し、責任範囲を明確にする。
このように、コンテンツ管理とシステム管理を分けることで、安全性と効率性が高まります。
個人運営や小規模サイトでも、管理者とコンテンツ投稿のみを行うユーザーを一つ作っておくと誤クリックを減らし、コンテンツ編集に集中できるというメリットもあります。
アカウント共有を避ける
複数人で同じアカウントを共有すると、誰が何をしたのかログを追えなくなります。
一人ひとりに専用アカウントを発行し、責任の所在を明確にしましょう。万一アカウントが不正利用されても、被害範囲を限定できます。
定期的なアカウント棚卸し
多くのユーザーが登録されるサイトの場合、不要になったアカウントが残っているケースは珍しくありません。定期的にアカウントの棚卸しを行い、不要なユーザーを削除したり、権限の見直しを行なっていきましょう。
権限グループの新規作成や権限のカスタマイズ
標準の権限グループでフィットするものがない場合、カスタマイズが可能です。デフォルトの権限グループの設定は、投稿や固定ページのみの基本的なWordPressサイトの想定で、カスタム投稿の編集権限は設定されていません。
例えば、
- 投稿者に固定ページ編集を可能にする
- 寄稿者が画像設定もできるようにする
- カスタム投稿の編集権限を各権限グループに追加する
- 特定のユーザーはメディアのアップロードのみ
といった柔軟な設定が行えます。
プラグインでカスタマイズ
やはり簡単なのは専用のプラグイン。代表的なものは以下のプラグインです。
- User Role Editor – WordPress プラグイン | WordPress.org 日本語
GUIで既存権限の編集や新規権限の作成が可能 - Members – WordPress プラグイン | WordPress.org 日本語
権限設定に加えてアクセス制御(コンテンツの閲覧制限)にも対応
細かい権限設定ができるので、ユーザー数が増えてきたりサイトを色々カスタマイズしている時などに重宝します。
コードを書いてカスタマイズ
権限グループや権限に関する関数がWordPressには用意されています。このコードを利用して独自に権限操作をすることができます。
たとえば、新しい権限を追加するコード例は以下の通りです。
// 新しい権限グループの追加例
add_role(
'custom_editor',
'カスタム編集者',
array(
'read' => true,
'edit_posts' => true,
'delete_posts' => false,
)
);コードのカスタマイズ方法についてはこちらにまとめました。
まとめ:権限を理解し、必要最小限の設定を
WordPressのユーザー権限は、「誰が、どこまで操作できるか」を明確にするためのものです。
標準で複数の権限が用意されており、運営体制に応じて使い分けることが大切です。
チーム運用の場合、全ての人に管理者権限を与えてしまうと関わる人が多くなるほど悪影響を与えてしまう可能性も高くなります。管理者権限では重要なファイルを編集することもできるため、知識の浅い人が誤って編集してしまうとサイトが見れなくなってしまうこともあるかもしれません。
セキュリティ強化の上でも権限をしっかり分けておく方が安心です。
- 管理者は最小限にする
- 編集者・投稿者など権限グループをうまく組み合わせて運用する
- 必要に応じて権限をカスタマイズする
そのユーザーは何をするためにWordPressのログインが必要なのか、ということからそのユーザーに合った最低限の権限を設定していきましょう。
