提交工单 
+373 79 600002 
Telegram 在线聊天 
常见问题 
中文 (中国)
English 
Русский 
Română 
Deutsch 
Français 
Türkçe 
Español 
Português 
Українська 
български 
Polski 
Indonesia 
安全 
管理WordPress 编辑器与管理员角色:完整技术指南
WordPress 内置了一套细粒度的基于角色的访问控制(RBAC)系统,直接集成于其核心之中。在所有默认角色中,管理员(Administrator)和编辑(Editor)是影响最深远的两个角色,也是最常被错误分配的。管理员对每个 WordPress 对象拥有不受限制的能力,而编辑则拥有广泛的内容管理权限,但对主题、插件或站点设置等基础架构级别的控制完全没有访问权限。
搞错这一区别并非小事。在生产站点上授予内容撰写者管理员权限,会直接造成攻击面:一个被攻破的账户就能安装恶意插件、窃取数据库,或将其他所有用户锁定在外。本指南将为您提供足够的技术深度,帮助您每次都做出正确的判断。
WordPress 角色与权限的实际工作原理
在比较这两个角色之前,有必要先了解其底层架构。WordPress 并不将角色作为用户账户的固定属性来存储。相反,它将一个序列化的权限(capabilities)数组存储在 wp_usermeta 表中,键名为 wp_capabilities(其中 wp_ 是您的表前缀)。每个角色只是在 WP_Roles 类中注册的一组命名权限集合。
当用户尝试执行某项操作时——发布文章、删除插件、编辑其他用户的个人资料——WordPress 会调用 current_user_can(),将用户存储的权限与所请求的原始权限进行匹配。这意味着权限是累加的,而且关键在于,可以通过 Members 或 User Role Editor 等插件对每个用户进行独立于其角色的自定义。
实际意义在于:如果您需要一个几乎能完成编辑所有工作、但还需管理某一特定插件的用户,您无需将其提升为管理员。您只需授予一项额外的权限即可。理解这一点,可以避免 WordPress 团队管理中最常见的过度授权错误。
管理员角色:完整权限详解
管理员角色几乎映射到 WordPress 所暴露的每一项原始权限。在单站点安装中,这包括但不限于:
核心站点管理权限:
manage_options — 通过 wp-admin/options-general.php 读写所有设置,包括站点 URL、管理员邮箱、固定链接结构和时区
install_plugins、activate_plugins、update_plugins、delete_plugins — 完整的插件生命周期控制
install_themes、switch_themes、edit_themes、delete_themes — 完整的主题生命周期控制,包括通过内置主题编辑器直接编辑文件(这是一个重大攻击向量)
edit_files — 访问主题和插件的内置代码编辑器(当 DISALLOW_FILE_EDIT 在 wp-config.php 中设置为 true 时,此权限将被禁用)
用户管理权限:
create_users、edit_users、delete_users、promote_users、list_users — 对站点上每个用户账户拥有完全权限,包括降级或删除其他管理员的能力
remove_users — 从多站点网络中移除用户
内容权限:
edit_others_posts、edit_published_posts、delete_others_posts、delete_published_posts、delete_private_postspublish_posts、publish_pages、edit_pages、delete_pages、edit_others_pages高级权限:
import — 通过 WordPress 导入工具导入内容(可用于大规模注入任意内容)
export — 将整个站点内容(包括所有用户数据)导出为 XML 文件
update_core — 触发 WordPress 核心更新
manage_categories、moderate_comments、unfiltered_html — 无需过滤即可发布包含 <script> 标签的原始 HTML
unfiltered_html 权限值得特别关注。在标准单站点安装中,管理员和编辑均可获得该权限。在 WordPress 多站点中,只有超级管理员才保留该权限。这是一个重要的安全边界:没有 unfiltered_html,wp_kses_post() 过滤器会从已保存的内容中剥离 JavaScript 和其他潜在危险的标记。
何时分配管理员角色
拥有托管账户并负责站点技术完整性的人员
经过审核的开发人员或 DevOps 工程师,负责主题开发、插件配置或服务器端集成工作
在一次性导入/导出操作期间的迁移专家(操作完成后建议撤销该角色)
关键操作注意事项:切勿将管理员角色分配给共享或通用账户。每位管理员必须是具名个人,拥有唯一的强密码并启用双因素认证。如果您在 VPS 托管环境中运行 WordPress,请将 WordPress 级别的管理员安全规范与操作系统级别的用户隔离相结合——您的 Web 服务器进程绝不应以 root 身份运行,且 WordPress 文件所有权应与 Web 服务器用户区分开来。
编辑角色:权限详解
编辑角色专为内容运营而设计。它授予对文章、页面、媒体、评论和分类法的广泛权限,但刻意排除了所有基础架构级别的权限。
编辑拥有的内容权限:
edit_posts、edit_others_posts、edit_published_posts、edit_private_postsdelete_posts、delete_others_posts、delete_published_posts、delete_private_postspublish_posts、publish_pagesedit_pages、edit_others_pages、edit_published_pages、edit_private_pagesdelete_pages、delete_others_pages、delete_published_pages、delete_private_pagesmanage_categories — 创建、重命名和删除分类目录与标签
moderate_comments — 批准、取消批准、标记为垃圾或永久删除评论
upload_files — 向媒体库添加媒体文件;编辑图片元数据和替代文本
read_private_posts、read_private_pages — 查看未公开发布的内容
unfiltered_html — 在单站点安装中,编辑可以发布原始 HTML(请参阅上文关于多站点的注意事项)
编辑明确不能执行的操作:
访问 wp-admin/options-general.php 或任何设置页面
安装、激活、停用或删除插件或主题
查看或修改除自己个人资料以外的任何用户账户
运行 WordPress 核心更新
访问内置主题或插件文件编辑器
更改固定链接结构(这将破坏站点上所有现有 URL)
导出或导入站点数据
何时分配编辑角色
负责编辑日历并审批多位撰稿人草稿的主编或内容总监
需要发布、排期和优化文章,但无需接触插件设置的 SEO 专员
负责保持博客活跃的社交媒体或营销经理
需要更新自己页面但不希望意外破坏站点的客户
管理员与编辑:并排对比
权限领域
管理员
编辑
安装 / 更新 / 删除插件
是
否
安装 / 更新 / 删除主题
是
否
编辑主题 / 插件文件(代码编辑器)
是(除非 DISALLOW_FILE_EDIT)
否
管理 WordPress 核心更新
是
否
访问站点设置(选项)
是
否
更改固定链接结构
是
否
创建 / 编辑 / 删除其他用户
是
否
分配或更改用户角色
是
否
发布和编辑自己的文章
是
是
编辑和删除其他用户的文章
是
是
管理分类目录和标签
是
是
审核评论
是
是
上传和管理媒体
是
是
阅读私密文章和页面
是
是
发布未过滤的 HTML(单站点)
是
是
导出站点内容
是
否
导入内容
是
否
访问多站点网络管理
仅超级管理员
否
角色错误分配的安全影响
过度授权编辑的问题
代理机构中的常见模式:内容撰写者被授予管理员权限,理由是”这样更方便”。这会带来几个具体风险:
插件安装作为代码执行向量。任何管理员都可以安装插件。插件是在您服务器上执行的 PHP 代码。一个被攻破的管理员账户等同于远程代码执行。
通过导出窃取凭据。WordPress 导出工具会生成一个包含所有文章内容、评论和作者元数据的 XML 文件。管理员可以悄无声息地触发此操作。
权限提升的持久性。获得管理员权限的攻击者可以创建新的管理员账户,然后删除证据——将合法所有者锁定在外。
unfiltered_html 滥用。即使没有插件访问权限,管理员也可以直接在文章内容中注入 <script> 标签,从而对站点访客发动存储型 XSS 攻击。
强化管理员角色
除角色分配外,在任何生产站点上还应应用以下 WordPress 级别的控制措施:
将以下内容添加到 wp-config.php 以禁用内置文件编辑器:
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true ); // Also blocks plugin/theme installation
在服务器级别通过 IP 限制 WordPress 管理区域的访问。对于 Nginx:
location /wp-admin/ {
allow 203.0.113.0/24;
deny all;
}
对于 Apache,添加到 .htaccess:
<Files "wp-login.php">
Require ip 203.0.113.0/24
</Files>
使用 WP 2FA 或 Wordfence Login Security 等插件强制执行强密码和双因素认证。如果您的站点运行在独立服务器上,建议将 WordPress 管理后台置于 VPN 或 SSH 隧道之后,而不是将其完全暴露在公共互联网上。
防止编辑角色被滥用
编辑角色比管理员角色安全得多,但并非没有风险:
拥有 unfiltered_html 权限的编辑可以在文章内容中注入追踪像素、联盟重定向或恶意脚本。在多站点中,此权限会被剥离——这是在拥有大量内容贡献者时运行多站点网络的有力理由。
编辑可以永久删除任何文章或页面,包括非其本人撰写的内容。页面没有内置的回收站。在授予任何人此角色之前,请使用版本控制或备份策略加以防范。
编辑可以批准评论,包括含有垃圾链接的评论,这会影响您站点的 SEO 和声誉。
WordPress 多站点:角色的变化
在 WordPress 多站点网络中,角色层级增加了一个额外层级:超级管理员(Super Administrator)。超级管理员位于所有站点级管理员之上,控制网络范围内的设置、跨所有站点的插件激活,以及在网络级别创建用户。
在多站点中,站点级管理员会失去单站点安装中存在的若干权限,包括安装插件的能力(只有超级管理员才能在网络范围内执行此操作)以及 unfiltered_html 权限。这使得多站点成为代理机构管理客户站点或出版商管理多个编辑资产时更具防御性的架构。
如果您正在构建多租户发布平台,带 cPanel 的 VPS 可以简化服务器端管理层,而 WordPress 多站点则处理应用层的角色分离。
自定义角色:当管理员和编辑都不适用时
WordPress 的 add_role() 和 add_cap() 函数允许您定义精确符合工作流需求的角色。例如,可以通过编程方式创建一个能完成编辑所有工作、同时还能管理用户(但不能管理插件)的高级编辑(Senior Editor):
add_role(
'senior_editor',
'Senior Editor',
array(
// Inherit all standard Editor capabilities
'read' => true,
'edit_posts' => true,
'edit_others_posts' => true,
'edit_published_posts' => true,
'publish_posts' => true,
'delete_posts' => true,
'delete_others_posts' => true,
'delete_published_posts' => true,
'edit_pages' => true,
'edit_others_pages' => true,
'edit_published_pages' => true,
'publish_pages' => true,
'delete_pages' => true,
'manage_categories' => true,
'moderate_comments' => true,
'upload_files' => true,
// Extended capability
'list_users' => true,
'edit_users' => true,
)
);
请将此代码放置在站点专用插件中(而非主题的 functions.php),以确保角色在主题更换后仍然存在。角色在首次注册后存储在数据库中,因此 add_role() 只需运行一次——请使用 register_activation_hook() 将其包装在插件激活钩子中。
实用角色分配决策矩阵
在分配任何角色之前,请使用以下检查清单:
仅在以下情况下分配管理员角色:
用户拥有该站点或对其技术运营负有合同责任
需要安装、配置或更新插件和主题
必须管理其他用户账户或更改用户角色
需要访问 WordPress 设置、固定链接结构或站点 URL
已启用双因素认证并使用唯一的非共享账户
了解在生产环境中 DISALLOW_FILE_MODS 将被设置为 true在以下情况下分配编辑角色:
- 负责内容质量、发布计划或编辑审核
- 需要管理其他团队成员撰写的文章和页面
- 应能审核评论和管理媒体
- 不需要——也不应该拥有——对任何插件、主题或设置页面的访问权限
- 可能是客户、自由职业者或承包商,其账户安全无法完全由您掌控
在以下情况下考虑自定义角色:
- 内置编辑角色限制过多(例如,用户需要
list_users以配合编辑工作流插件使用) - 内置管理员角色权限过大(例如,开发人员需要插件访问权限,但不得接触用户账户)
- 您正在运行多站点网络,各站点之间存在差异化的职责分工
对于同时管理 WordPress 和事务性邮件的团队,建议将角色策略与专用的邮件托管方案相结合,使 WordPress 通知邮件(密码重置、新用户注册、评论提醒)通过可靠的、经过身份验证的邮件服务器发送,而非使用托管服务器的默认 sendmail——后者是影响所有角色工作流的常见邮件送达失败点。
如果您的 WordPress 站点涉及电子商务、会员或任何用户数据,请确保您的 SSL 证书是最新的且配置正确。过期的证书不仅影响 SEO,还会破坏保护管理员登录凭据在传输过程中安全的浏览器安全上下文。
关键技术要点
- WordPress 权限按用户存储在
wp_usermeta中,而非硬编码——无需更改用户显示的角色即可进行自定义。 - 在拥有多个管理员的任何生产站点上,
DISALLOW_FILE_EDIT和DISALLOW_FILE_MODS在wp-config.php中是不可或缺的。 - 在单站点安装中,管理员和编辑均拥有
unfiltered_html权限。多站点会将该权限从超级管理员以下的所有人员中剥离。 - 编辑可以永久删除任何文章或页面,包括其他用户的内容。在将此角色授予核心团队以外的任何人之前,请实施备份或版本控制策略。
- 切勿使用共享管理员账户。每人一个账户,强制启用双因素认证,并通过 WP Activity Log 等插件启用审计日志。
- 当默认角色均不适用时,通过
add_role()创建自定义角色才是正确解决方案——不要为了弥补缺失的权限而过度授权。 - 在多站点中,站点级管理员无法安装插件。这是一项功能,而非限制——它是托管多租户环境的正确架构。
常见问题解答
编辑可以在 WordPress 中删除其他用户的文章吗?
可以。编辑角色包含 delete_others_posts 和 delete_others_pages 权限。编辑可以永久删除站点上的任何文章或页面,无论作者是谁。页面没有内置的确认步骤或回收站,因此在没有备份的情况下,此操作不可撤销。
WordPress 中管理员与超级管理员有何区别?
在单站点 WordPress 安装中,管理员是最高角色。在 WordPress 多站点网络中,超级管理员位于所有站点级管理员之上,控制网络范围内的设置、跨所有站点的插件安装,以及向网络添加或从网络移除站点的能力。多站点中的站点级管理员无法安装插件或使用 unfiltered_html。
我可以在不将编辑提升为管理员的情况下,授予其访问某一特定插件设置的权限吗?
可以。使用 add_cap() 向特定用户授予特定权限,或创建一个包含编辑默认权限加上插件所注册的特定权限的自定义角色。大多数编写规范的插件会使用 current_user_can( 'manage_options' ) 或自定义权限来控制其设置页面——请查阅插件源代码以确定所需的确切权限。
在 WordPress 站点上拥有多个管理员是否安全?
这完全取决于您的运营控制措施。多个管理员会成倍增加攻击面——每个账户都是潜在的入口点。如果确实需要多个管理员,请为所有人强制启用双因素认证,在服务器级别通过 IP 限制 /wp-admin/ 访问,将 DISALLOW_FILE_MODS 设置为 true,并使用活动日志插件审计所有管理操作。
如何审计特定 WordPress 用户实际拥有的权限?
直接查询数据库,或使用 Members 或 User Role Editor 等插件。如需通过编程方式检查,可在自定义脚本或 WordPress CLI 中使用 get_user_meta( $user_id, $wpdb->prefix . 'capabilities', true ):
wp user get <user_id> --field=roles
wp user list-caps <user_id>wp user list-caps 命令会输出用户持有的每项权限,包括在其分配角色之外单独授予的权限——这是审计过度授权账户最可靠的方式。