6 à 7 minutes Niveau : Débutant
Objectif de cette astuce
Comprendre le système de rôles de WordPress, savoir quel rôle attribuer selon le profil de chaque collaborateur, et éviter la principale erreur de sécurité : donner le rôle Administrateur à tout le monde.
Pourquoi les rôles sont une question de sécurité
WordPress utilise un système de rôles qui permet à l’administrateur d’un site de contrôler ce que chaque contributeur peut faire ou ne pas faire. Un rôle définit un ensemble de tâches qu’une personne est autorisée à effectuer.
Le principe fondamental est celui du moindre privilège : chaque utilisateur ne doit avoir accès qu’à ce dont il a besoin pour accomplir sa mission — rien de plus. Un rédacteur n’a pas à toucher aux réglages du site. Un stagiaire n’a pas à publier sans validation. Pour des raisons de sécurité évidentes, un seul administrateur par WordPress est recommandé — un administrateur peut en effacer un autre.
Les 5 rôles par défaut de WordPress
WordPress propose cinq rôles prédéfinis : Administrateur, Éditeur, Auteur, Contributeur et Abonné. Voici ce que chacun peut faire :
Administrateur — accès total : thèmes, extensions, réglages, utilisateurs, tout le contenu. C’est le rôle du propriétaire du site ou du développeur. À distribuer avec la plus grande parcimonie.
Éditeur — peut publier et gérer les publications, y compris les publications d’autres utilisateurs. Il gère aussi les catégories, les étiquettes et modère les commentaires. C’est le rôle idéal pour un responsable éditorial.
Auteur — peut publier et gérer ses propres articles. Il a accès à la médiathèque pour ajouter des images. Il ne peut pas intervenir sur le contenu des autres. À attribuer à un rédacteur régulier et autonome.
Contributeur — peut écrire et gérer ses propres articles, mais ne peut pas les publier. Ses brouillons sont soumis à la validation d’un éditeur ou d’un administrateur avant mise en ligne. Il n’a pas accès à la médiathèque — c’est la limite principale de ce rôle. Idéal pour un rédacteur occasionnel ou invité.
Abonné — ne peut gérer que son profil. Aucun accès éditorial. Utile uniquement pour les sites avec espace membre (forum, club, contenu réservé).
Ajouter un utilisateur et choisir son rôle
Rendez-vous dans Utilisateurs → Ajouter. Remplissez l’identifiant, l’e-mail, le prénom et le nom. WordPress génère automatiquement un mot de passe fort — laissez-le tel quel et cochez l’option d’envoi par e-mail.
La dernière décision à prendre avant de valider est le choix du rôle.
En cas de doute, commencez toujours par le rôle le plus bas qui couvre le besoin réel. Il sera toujours temps de le promouvoir plus tard — l’inverse est plus délicat.
La matrice complète des permissions
Ce tableau synthétise l’essentiel : seul l’Administrateur touche à la configuration technique du site. L’Éditeur est le seul rôle éditorial qui peut intervenir sur le contenu des autres. Chaque rôle utilisateur possède également tous les droits des rôles inférieurs : les éditeurs peuvent faire ce que les auteurs font, les auteurs ce que les contributeurs font, etc.
En bas de l’écran, on voit également le réglage Réglages → Général → Rôle par défaut des nouveaux membres : c’est le rôle attribué automatiquement à toute personne qui s’inscrit via le formulaire public du site. Il doit toujours rester sur Abonné, sauf configuration d’espace membre particulière.
Les erreurs classiques à éviter
Donner le rôle Administrateur à un prestataire ou client — pour une mission ponctuelle (ajout de contenu, mise à jour de textes), le rôle Éditeur est largement suffisant. Pour un prestataire temporaire, attribuez un rôle sur mesure ou Éditeur, jamais Administrateur sans raison, et surtout prévoyez une date de fin avec retrait des accès à la fin de la mission.
Laisser des comptes inactifs ouverts — tout compte avec un mot de passe faible ou oublié est une porte d’entrée potentielle. Faites régulièrement le tour de vos utilisateurs et supprimez les comptes qui ne servent plus.
Attribuer le rôle Auteur sans vérification — un auteur peut publier directement et supprimer ses propres articles. Assurez-vous que la personne comprend le fonctionnement du site avant de lui donner ce rôle.
Aller plus loin : personnaliser les rôles
Les rôles par défaut couvrent la grande majorité des besoins. Si vous avez des besoins plus spécifiques — par exemple, un rôle “modérateur” qui peut gérer les commentaires sans toucher aux articles — l’extension User Role Editor (gratuite, +700 000 installations actives) permet de créer des rôles sur mesure et d’ajuster finement les permissions de chaque rôle existant.
Récapitulatif — Qui fait quoi ?
| Rôle | Cas d’usage typique | Public | Gère les autres ? | Accès admin ? |
|---|---|---|---|---|
| Administrateur | Propriétaire, développeur | ✓ Oui | ✓ Oui | ✓ Oui |
| Éditeur | Responsable éditorial | ✓ Oui | ✓ Oui (contenu) | — |
| Auteur | Rédacteur régulier | ✓ Oui (ses articles) | — | — |
| Contributeur | Rédacteur occasionnel | — | — | — |
| Abonné | Membre, espace privé | — | — | — |
Ce qu’il faut retenir
Le système de rôles WordPress est simple, efficace et souvent mal utilisé. Attribuer le bon rôle dès la création d’un compte est une décision de sécurité autant qu’une décision organisationnelle. La règle est simple : le rôle le moins élevé qui couvre le besoin réel. Et un seul administrateur, toujours.