Comment gérer les utilisateurs et les rôles dans WordPress

C'est une opération simple qui peut virer au cauchemar. Au départ, vous souhaitez simplement faciliter la vie d'un nouveau collaborateur qui rédigera et éditera des articles sur votre site.

Vous lui donnez vos informations d'identification d'administrateur pour faciliter les choses. Vous faites confiance à la personne. Vous avancez les yeux fermés.

Au final, il porte atteinte à l'intégrité de votre site en publiant des informations erronées sans votre accord…

Cette situation fictive peut sembler folle, mais elle arrive plus souvent qu'on ne le pense vraiment. C'est pourquoi vous devez gérer soigneusement vos utilisateurs sur votre site WordPress.

Vous pouvez héberger autant d'utilisateurs que vous le souhaitez - c'est idéal pour le travail collaboratif - tant que vous vous assurez que votre site fonctionne correctement et en toute sécurité.

La première étape consiste à restreindre les droits des utilisateurs en fonction de leur implication . Veulent en savoir plus? Suivez le guide pour obtenir des instructions détaillées.

Vos meilleurs projets WordPress ont besoin du meilleur hébergeur !

WPMarmite recommande Bluehost : excellentes performances, excellent support. Tout ce dont vous avez besoin pour un bon départ.

Essayez Bluehost

Quels sont les différents rôles sur WordPress ?

Afin de comprendre ce qui se passe ensuite, définissons d'abord brièvement ce qu'est un rôle.

Selon la documentation WordPress, "un rôle définit un ensemble de tâches qu'une personne à qui le rôle a été attribué est autorisée à effectuer".

La personne qui a un rôle est un « utilisateur ». Les tâches qu'ils peuvent effectuer sont appelées "autorisations", dans le jargon WordPress.

Pour gérer l'étendue des autorisations des utilisateurs, vous devez leur attribuer un rôle spécifique.

Vous connaissez déjà l'administrateur, mais il y a aussi :

• Éditeurs
• Auteurs
• Contributeurs
• Les abonnés

WordPress propose également un autre rôle prédéfini, appelé Super Admin, qui n'est présent que sur un réseau multisite. Dans ce cas, cet utilisateur est le seul à pouvoir configurer et gérer le réseau (ajout/suppression de sites, thèmes, plugins, etc.).

Chacun de ces rôles accorde plus ou moins d'autorisations aux comptes auxquels ils sont affectés.

Voyons-les en détail, en commençant par le plus restreint, l'abonné.

Qu'est-ce que le rôle d'abonné ?

Contrairement aux visiteurs non enregistrés, les abonnés peuvent accéder à certaines parties du site.

Si vous avez besoin de créer un site avec des membres, comme un club de sport pourrait en avoir, les utilisateurs doivent être abonnés.

Ils ne pourront pas ajouter ou modifier du contenu, accéder aux paramètres ou quoi que ce soit d'autre :

Comme vous pouvez le voir, les capacités des abonnés sont assez limitées en termes d'administration. Ils pourront uniquement accéder au tableau de bord et à leur profil pour mettre à jour leurs informations.

Si vous voulez donner plus de possibilités, vous devrez choisir un rôle plus élevé.

Recommandation : Attribuez le rôle « abonné » à tous les nouveaux utilisateurs. Cela vous évitera bien des soucis.

Qu'est-ce que le rôle de Contributeur ?

L'intérêt du rôle de contributeur est qu'ils peuvent participer à un site en écrivant des articles. C'est déjà plus utile.

Cependant, ils ne contrôlent pas la publication.

En effet, une fois qu'un article est écrit, le contributeur devra le soumettre pour révision afin qu'un utilisateur disposant de plus de droits puisse décider (ou non) de le mettre en ligne.

Vous pouvez attribuer ce rôle aux personnes qui viennent publier occasionnellement , comme dans le cas d'un article invité. Cela vous permettra de garder le contrôle sur votre contenu.

Le seul inconvénient est que ce rôle n'a pas le droit de télécharger des images (nous verrons comment résoudre ce problème plus loin dans l'article).

En revanche, le contributeur a la possibilité d'ajouter des catégories et des tags directement via l'interface d'édition des articles, ce qui peut être problématique.

N'oubliez pas : avoir trop de balises est mauvais pour le référencement.

Gardez un œil sur les catégories et les tags ajoutés par les contributeurs avant d'appuyer sur le bouton "Publier" .

Une fois en ligne, la publication ne peut être modifiée par le contributeur. Ils ne pourront pas le supprimer.

En fin de compte, ce sont vraiment des contributions. Une fois publiés, il n'est plus possible de revenir en arrière.

Seuls les utilisateurs disposant des autorisations appropriées pourront apporter des modifications.

Quant aux commentaires, les contributeurs ne peuvent que les consulter. Les contributeurs n'ont pas la possibilité de modérer les commentaires (même pour leurs propres articles).

Recommandation : Attribuez le rôle de « contributeur » aux éditeurs invités.

Passons maintenant à un rôle plus important…

Qu'est-ce que le rôle d'auteur ?

Les auteurs sont des utilisateurs qui peuvent publier et gérer des articles comme bon leur semble. Contrairement aux contributeurs, ils n'ont pas besoin d'approbation pour publier des articles.

Par défaut, les auteurs peuvent également télécharger des fichiers. Ils peuvent enrichir leur contenu avec des images sans aucun problème.

Si jamais une correction s'avérait nécessaire, ils ont la possibilité de modifier leurs publications après leur mise en ligne.

On pourrait dire que leurs articles leur appartiennent vraiment car ils peuvent les supprimer s'ils le souhaitent.

En revanche, les auteurs ne peuvent pas éditer les publications des autres utilisateurs (car ils n'en sont pas les auteurs).

Concernant les commentaires, ils peuvent modérer ceux écrits sur leurs articles.

Recommandation : Attribuez le rôle « auteur » aux rédacteurs réguliers et de confiance (sinon, utilisez par défaut le rôle « contributeur »).

Quel est le rôle de l'éditeur ?

Le rôle d'éditeur a le contrôle sur toutes les questions éditoriales. Il peut publier des articles et des pages, ainsi que les modifier et les supprimer à sa guise (même si le contenu a été créé par d'autres utilisateurs).

Avec ce rôle, nous allons encore plus loin en termes de liberté d'action.

L'éditeur peut gérer des catégories et des balises, ce qui lui permet de les ajouter, de les modifier et de les supprimer au besoin.

Les utilisateurs avec ce rôle peuvent gérer entièrement les commentaires. Autrement dit, ils peuvent les valider, les modérer et les supprimer sur n'importe quel article.

Recommandation : Attribuez le rôle « éditeur » aux personnes qui doivent contrôler l'ensemble du contenu (vos éditeurs).

Qu'est-ce que le rôle d'administrateur ?

Un administrateur peut absolument tout faire sur un site WordPress. C'est pourquoi les pirates essaient toujours d'en prendre le contrôle.

Avec ce rôle, l'utilisateur a accès à tout le contenu éditorial, tout comme un éditeur, mais il peut aussi gérer toutes les options du site.

Un administrateur peut modifier le thème, le personnaliser, ajouter des plugins, les configurer et modifier les menus et les widgets, ainsi qu'accéder aux paramètres.

Comme mentionné dans l'introduction, ce rôle vous a été attribué lors de l'installation. C'est pourquoi vous avez accès à l'ensemble du site.

Veillez à conserver vos informations de connexion en toute sécurité. Il ne doit pas tomber entre de mauvaises mains.

Recommandation : N'attribuez le rôle « administrateur » qu'à votre webmaster, ou à toute autre personne de confiance qui a besoin d'accéder à l'ensemble du site.

Non seulement un autre administrateur pourrait vous nuire, mais il pourrait également se faire voler ses informations d'identification. Cela vous exposerait à un risque supplémentaire.

Autres rôles dans WordPress

Nous venons d'examiner les cinq rôles par défaut. Cependant, dans certains projets, cela ne suffit pas toujours.

Par exemple, le fait qu'un contributeur ne puisse pas insérer d'images dans ses posts peut être gênant. Ou un rôle personnalisé où l'utilisateur ne peut que modérer les commentaires (un modérateur) pourrait être utile.

Dans la suite de cet article, nous verrons comment créer de nouveaux rôles dans WordPress.

Mais avant de faire cela, regardons d'abord…

Comment ajouter des utilisateurs

Remplir un formulaire

Après avoir étudié le côté théorique, voyons concrètement comment intégrer de nouvelles personnes sur votre site.

Pour ajouter un nouvel utilisateur, allez simplement dans Utilisateurs > Ajouter nouveau :

Le formulaire de création d'un nouvel utilisateur apparaîtra. Certains champs sont facultatifs (comme "Prénom" et "Nom"), mais je recommande de tous les remplir. Voyons à quoi ils correspondent.

Le champ « Nom d'utilisateur » sera utilisé pour se connecter au site. Pour éviter que des personnes malveillantes ne le devinent, choisissez quelque chose d'un peu complexe.

Par exemple, si le nom de l'utilisateur est Allen Ducasse, vous pouvez mélanger le nom, le prénom et certains chiffres. Cela pourrait être "ducala61947".

Cet identifiant sera toujours plus compliqué à deviner que « alainducasse » ou « alain.ducasse ».

Une fois que vous l'avez ajouté, il ne sera plus possible de le modifier. Il faut donc choisir avec soin.

Les autres champs et le mot de passe

Viennent ensuite les champs pour l'adresse e-mail, le prénom et le nom .

Le champ "Site Web" hébergera le site Web de l'utilisateur (s'il en a un).

Pour le mot de passe, WordPress en générera automatiquement un complexe (par exemple LuDJ5cgU!uH*kXqXTgG6Nh00 ).

Veuillez ne pas remplacer ce mot de passe par quelque chose de simple. Je sais que c'est plus facile à retenir, mais cela fait aussi de votre site une cible de choix.

S'il y a des problèmes, vous ne pouvez pas dire que WordPress est un tamis de sécurité. Protégez votre site en utilisant des identifiants et des mots de passe complexes.

Pour rappel, un mot de passe fort doit comprendre au moins 15 caractères majuscules et minuscules, chiffres et symboles.

Si vous avez peur d'oublier vos mots de passe, vous pouvez utiliser un logiciel comme Dashlane pour les sauvegarder en toute sécurité.

Et en passant par le lien d'affiliation WPMarmite , vous bénéficierez de 6 mois d'accès gratuit à la version premium de Dashlane !

Revenons aux champs du formulaire.

La case à cocher "Envoyer une notification utilisateur" vous permet d'envoyer un e-mail avec vos informations de connexion, vous invitant à spécifier un nouveau mot de passe. Un autre mot de passe complexe sera proposé mais la personne sera libre d'en spécifier un autre.

Je compte sur vous pour informer vos utilisateurs de l'importance de la sécurité, surtout s'il s'agit d'un auteur ou d'un rôle plus important !

Choisissez un rôle d'utilisateur

Parlons du rôle. Vous devez le préciser à l'aide du menu déroulant à la fin du formulaire. Nous avons déjà examiné les subtilités des cinq rôles disponibles, le choix devrait donc être relativement facile.

N'oubliez pas que vous exposez votre site à des risques si vous accordez trop d'autorisations à quelqu'un qui n'en a pas besoin.

Une fois que vous avez compris cela, il ne vous reste plus qu'à cliquer sur "Ajouter un nouvel utilisateur" pour terminer le processus d'ajout.

Félicitations, vous venez d'ajouter un utilisateur à votre site ! Sans transition, passons à l'étape suivante : la gestion des utilisateurs sur WordPress.

Comment gérer les utilisateurs sur WordPress

Une fois que vous aurez ajouté un autre compte, vous serez automatiquement redirigé vers la page listant tous les utilisateurs de votre site :

Pour chacun d'eux, vous pouvez voir l'utilisateur :

• Nom d'utilisateur
• Nom
• E-mail
• Rôle
• Nombre d'articles publiés

Si le nombre d'utilisateurs est important, vous pourrez trier, rechercher et effectuer des actions de groupe. Par défaut, ces actions sont la suppression, le changement de mot de passe et le changement de rôle.

Tout comme les publications et les pages, vous pouvez modifier les utilisateurs individuellement. Par exemple, vous pouvez modifier l'adresse e-mail de l'utilisateur ou attribuer un autre rôle.

Un auteur qui a abusé de ses droits pourrait être rétrogradé au rang de contributeur, ou inversement s'il a besoin de s'impliquer davantage sur votre site.

Pour effectuer ces modifications, passez votre souris sur l'utilisateur à mettre à jour. Vous verrez que plusieurs liens apparaissent :

• Modifier
• Supprimer
• Voir
• Envoyer la réinitialisation du mot de passe

Si vous survolez votre compte « admin », vous verrez que le lien « Supprimer » n'apparaît pas. En effet, votre site ne pourrait pas se passer de vous !

Le lien "Voir" ouvrira une page montrant les articles que vous avez publiés.

Enfin, si vous cliquez sur "Modifier", une page similaire à l'édition de votre profil s'affichera (pour l'utilisateur concerné bien sûr).

Découvrons-en plus à ce sujet dans la partie suivante.

Rejoignez les abonnés WPMarmite

Obtenez les derniers messages WPMarmite (ainsi que des ressources exclusives).

ABONNEZ-VOUS MAINTENANT

Comment modifier un profil utilisateur

Au lieu de mettre une capture d'écran géante de cette page, je vais procéder étape par étape. Cela vous évitera de vous perdre.

Es-tu prêt? Alors commençons par…

Options personnelles

La première option vous permet de désactiver l'éditeur visuel (Gutenberg). Je vous déconseille de cocher cette case, car vous ne pourrez pas accéder aux blocs de l'éditeur de contenu WordPress pour rédiger vos publications.

Vous ne pourrez écrire que du texte brut, ou ajouter du code HTML, ce qui n'est pas très pratique .

La prochaine option est purement esthétique. Il vous permettra de définir l'apparence de l'administration. Choisissez simplement les couleurs qui vous conviennent le mieux.

Ensuite, vous avez la possibilité d'activer des raccourcis clavier pour la modération des commentaires. Si vous êtes débutant, je vous propose d'apprendre à modérer les commentaires de manière classique avant d'activer les raccourcis.

Pour être honnête avec vous, je ne les connais même pas et je vais bien !

La dernière des options personnelles vous permet d'afficher la barre d'outils lorsque vous êtes sur le site. C'est très utile pour passer du site à l'administration en un clin d'œil. Il vaut mieux le garder.

Modifier le nom et le rôle

Viennent ensuite les informations personnelles de l'utilisateur.

Nous trouvons le nom d'utilisateur avec lequel vous avez créé le site. Comme vous pouvez le voir, il n'est pas modifiable (si vous voulez absolument le modifier, il faudra aller pirater la base de données avec PHPMyAdmin).

En dessous, vous pouvez modifier le rôle, le prénom, le nom, et choisir un pseudo (notez que si vous modifiez votre profil, vous ne pourrez pas changer de rôle).

Le menu déroulant « Afficher le nom publiquement sous » permet de choisir le nom avec lequel vous souhaitez être identifié sur le site.

Plusieurs choix vous seront proposés en fonction de ce que vous aurez saisi dans les champs précédents mais, pour des raisons de sécurité, veuillez vous assurer que le nom affiché publiquement est différent du nom d'utilisateur.

Ce serait dommage de le donner à des pirates potentiels, n'est-ce pas ?

Continuons à faire défiler avec…

Coordonnées

Il n'y a rien de délicat ici. Vous pourrez modifier votre adresse email et ajouter les URL de votre site internet, les comptes que vous avez sur les réseaux sociaux, et même votre page Wikipédia, si vous en avez une.

Vous ne verrez les profils de réseaux sociaux que si le plugin Yoast SEO est installé . J'ai quand même décidé de discuter de cette option car il y a de fortes chances que Yoast SEO soit installé sur votre site.

D'autres plugins peuvent ajouter des champs supplémentaires aux profils utilisateur. Remplissez-les du mieux que vous pouvez, si vous en avez.

À propos du compte

Parfois, les thèmes utilisent la biographie. Par exemple, il peut être trouvé sous chaque article de WPMarmite. Remplissez-le si c'est le cas sur votre site.

Pour l'image de profil, votre adresse e-mail doit être liée à un compte Gravatar. Si vous ne l'avez pas déjà fait, je vous explique tout en détail dans cet article.

Gestion de compte

Dans cette section, il n'y a rien de bien compliqué. Vous pouvez simplement :

• Définir un nouveau mot de passe sécurisé
• réinitialisez votre mot de passe

Vous pouvez également générer des mots de passe d'application "via des systèmes non interactifs tels que XML-RPC ou REST API, sans fournir votre vrai mot de passe", explique WordPress. Ces mots de passe ne peuvent pas être utilisés pour une connexion traditionnelle à votre site. Il s'agit d'un usage réservé à certains scénarios et profils techniques. En principe, vous n'avez aucune raison de les utiliser.

Paramètres SEO Yoast

Terminons par les dernières options sur la page d'édition d'un utilisateur. Bien sûr, ceux-ci n'apparaîtront que si le plugin Yoast SEO est installé.

Ces paramètres vous permettent de :

• Spécifiez un titre et une méta description pour la page d'auteur associée à cette personne. Si vous ne tirez pas parti des pages d'auteur, laissez les cases associées vides.
• Empêcher les moteurs de recherche d'afficher les archives de cet auteur dans les résultats de recherche
• Désactiver l'analyse SEO et l'analyse de lisibilité : si vous cochez ces options, vous n'y aurez pas accès dans l'encart Yoast SEO lorsque vous écrivez/modifiez un article ou une page.

Une fois que vous avez effectué vos modifications, cliquez sur "Mettre à jour le compte" pour tout enregistrer.

Et bien ça y est, vous savez maintenant comment modifier un utilisateur dans WordPress !

Ce n'était pas si difficile, n'est-ce pas ?

Avant de vous quitter, je dois revenir sur une promesse que j'ai faite au début de cet article.

En effet, je dois vous montrer…

Comment modifier un rôle dans WordPress

Tout à l'heure, je vous ai dit que nous allions voir comment personnaliser les permissions d'un rôle.

J'ai utilisé l'exemple du contributeur qui ne pouvait pas télécharger d'images sur ses publications.

Comme vous l'avez peut-être deviné, il existe un plugin pour cela.

Au début, j'allais suggérer d'utiliser User Role Editor, mais j'ai décidé de recommander le plugin Members, que je trouve plus facile à utiliser.

Avec plus de 200 000 installations actives, ce plugin est très bien noté ( 4,9 étoiles sur 5 ).

Sans plus tarder, découvrons comment résoudre votre problème de contributeur.

Avant de commencer, permettez-moi de dire que je ne détaillerai pas le fonctionnement de ce plugin dans son intégralité. Nous allons juste voir comment personnaliser un rôle.

Après avoir activé le plugin, la première chose à faire est d'aller dans Membres > Rôles pour voir leur liste. On retrouve les cinq rôles que nous avons étudiés :

Cliquez sur "Modifier" au survol de "Contributeur" pour afficher la page suivante :

Cela peut sembler complexe, mais tout s'imbrique.

Dans WordPress, la possibilité d'effectuer une action s'appelle une autorisation. Autorisation ou droit d'utilisateur sont des synonymes.

Un contributeur a un certain nombre d'autorisations (nous en avons discuté ci-dessus), tandis qu'un administrateur les a toutes (le grand gars).

Puisque nous voulons autoriser les contributeurs à télécharger des images, nous devons cliquer sur l'onglet "Médias" à gauche pour voir la liste des autorisations des médias (les membres utilisent le terme "capacité", soit dit en passant).

Ensuite, cochez la case "Accorder" pour la capacité "Télécharger des fichiers" et cliquez sur le bouton "Mettre à jour" pour tout enregistrer.

Bingo ! Les contributeurs peuvent désormais télécharger des images dans leurs articles.

Vous voulez vous assurer que cela a fonctionné?

Installez le plugin User Switching pour vous y connecter et voyez par vous-même. Vérifiez-le:

Le menu "Médias" est également présent sur la gauche.

Cependant, toutes sortes de fichiers peuvent être téléchargés sur votre site. Attention à ne pas créer un compte contributeur pour n'importe qui.

Bien sûr, ceci n'est qu'un exemple. Vous pouvez attribuer ou refuser des capacités à d'autres rôles. Vous pouvez même en créer de nouveaux en allant dans Membres > Ajouter un nouveau rôle .

Attention à ne pas manipuler ce genre de plugin sur un site en production. Si vous faites quelque chose de stupide, vous pourriez le regretter.

Effectuez vos expérimentations sur un site test et répliquez-le sur votre site principal lorsqu'il est fonctionnel.

Pour mettre en place un environnement de test, je dois recommander l'excellent outil appelé Local (anciennement appelé Local par Flywheel).

Conclusion

WordPress n'est pas limité à un seul utilisateur. Au contraire, vous pouvez créer des comptes pour vos collaborateurs, membres ou clients.

L'essentiel est d'attribuer des rôles qui correspondent aux personnes que vous ajoutez. En effet, un éditeur ne doit pas pouvoir ajouter ou supprimer des plugins à volonté.

Il doit y avoir une hiérarchie, sinon ça va vite devenir la pagaille !

Les utilisateurs disposent de plusieurs attributs modifiables (l'administrateur peut le faire, ainsi que chaque personne pour son propre profil).

Enfin, si les rôles par défaut ne suffisent pas, vous pouvez les personnaliser et en créer de nouveaux avec le plugin Members.

Pour vous : comment gérez-vous vos rôles d'utilisateur ? Parlez-moi en publiant un commentaire.