別再只會分管理員和編輯！WordPress 終極權限寶典，打造滴水不漏的使用者角色管理系統

嗨，我是浪花科技的資深工程師 Eric。在 WordPress 的世界裡打滾久了，最常被問到的問題之一，除了「網站怎麼又慢了」之外，大概就是「欸，Eric，我能不能新增一個角色，讓他可以管理A，但不能動B，而且要能看到C，但不能編輯C？」

每次聽到這種需求，我彷彿都能看到客戶頭上冒出的無數個問號。很多剛接觸 WordPress 的朋友，甚至一些經驗豐富的站長，對於使用者權限的理解，常常還停留在「管理員、編輯、作者」這幾個內建的角色。但當網站規模變大、功能變複雜時，這套預設的權限系統很快就會捉襟見肘。

你是不是也遇過這種情況？

• 想讓行銷人員可以編輯 SEO 設定，但又怕他們不小心動到網站外觀。
• 電商網站有個「訂單處理員」，只需要看訂單跟客戶資料，但你不想給他 WooCommerce 的完整管理權限。
• 你的多作者部落格需要一個「總編」角色，可以審核並發布所有作者的文章，但不能安裝外掛或修改主題。

如果你只是把他們通通設成「編輯」，然後祈禱他們不會手滑點錯東西… 兄弟，我們這行不是靠信仰在吃飯的。今天，就讓我這個老司機帶你深入 WordPress 的核心，徹底搞懂「使用者角色 (Roles)」與「權限 (Capabilities)」這對相愛相殺的好夥伴，教你如何打造一個既安全又靈活的權限管理系統。

到底什麼是角色 (Roles) 跟權限 (Capabilities)？

在我們動手開幹之前，一定要先搞清楚這兩個核心概念的差別。這真的非常重要，不然你後面會看得一頭霧水。我用個比較白話的方式解釋：

• 角色 (Role)：就像一家公司的「職位名稱」。例如：CEO、經理、專員、實習生。它是一個標籤，用來把一群人歸類。
• 權限 (Capability)：就像這個職位「被允許做的事情」。例如：「批准預算」、「指派任務」、「打卡上下班」。一個職位會綁定很多件被允許做的事情。

在 WordPress 裡，當你把一個使用者設定為「編輯 (Editor)」，這個「編輯」就是他的「角色」。而他之所以能夠「發布文章 (publish_posts)」、「編輯他人文章 (edit_others_posts)」，是因為「編輯」這個角色被賦予了這些「權限」。

所以，重點來了：WordPress 判斷一個使用者能不能做某件事，看的不是他的「角色」，而是他有沒有對應的「權限」。 角色只是一頂帽子，一個方便我們管理權限的集合包。搞懂這點，你就打通了任督二脈，接下來的操作都會變得非常直觀。

WordPress 內建角色快速導覽

俗話說，知己知彼，百戰百勝。我們先來看看 WordPress 給了我們哪些預設的「職位」：

• 管理員 (Administrator)：最高權力者，網站的上帝。可以做任何事，包括刪除整個網站。這個權限非常危險，絕對不要隨便給人。
• 編輯 (Editor)：內容總管。可以發布、編輯、刪除「所有」使用者的文章和頁面，也可以管理分類和留言。
• 作者 (Author)：獨立創作者。只能發布、編輯、刪除「自己」的文章。
• 投稿者 (Contributor)：待審核的創作者。可以撰寫並編輯「自己」的文章，但沒有發布權限，需要交由編輯或管理員審核。
• 訂閱者 (Subscriber)：路人甲。只能登入、管理自己的個人資料，基本上沒什麼特別權限，通常用於會員制網站的基礎角色。

這些預設角色在大多數簡單的部落格或形象網站中已經夠用。但當你的網站開始長大，業務邏輯變得複雜時，客製化的需求就油然而生了。

何時需要自訂使用者角色？真實世界的戰場

講理論太空泛，我們來點實際的。什麼時候你會需要捲起袖子，自己創造新的角色和權限？

情境一：電商網站的「倉庫管理員」
你的 WooCommerce 網站需要一個人專門處理出貨，他需要看到訂單狀態、更新物流資訊，但你絕對不希望他看到營收報表或修改商品價格。這時候，內建的角色完全不適用。你需要一個「倉庫管理員 (Warehouse Manager)」的角色，只賦予他 `view_woocommerce_reports` 和 `manage_woocommerce_orders` 中的部分權限。

情境二：內容網站的「SEO 專員」
行銷團隊的 SEO 專員需要頻繁登入後台，使用 Yoast SEO 或 Rank Math 這類外掛來優化文章的關鍵字和 Meta Description。給他「編輯」權限太大，給「作者」又沒辦法編輯別人的文章。這時，一個「SEO Specialist」角色，擁有 `edit_others_posts` 權限，再加上存取 SEO 外掛設定頁面的特定權限，就完美解決了問題。

情境三：自訂內容類型 (CPT) 的管理者
假設你用 CPT 做了一個「活動 (Events)」管理系統。你需要一個「活動經理」，他只能新增、編輯、刪除「活動」，但完全碰不到一般的「文章」和「頁面」。這就是一個典型的自訂角色與自訂權限的應用場景。

實戰操作：打造你的專屬角色

好了，理論講完了，我們來點硬核的。要管理 WordPress 的角色與權限，主要有兩種路徑：用外掛的文明玩法，跟直接寫程式碼的野蠻玩法。身為一個工程師，我當然兩種都要教你。

輕鬆上手：使用 User Role Editor 外掛

對於不想碰程式碼的朋友，`User Role Editor` 是一個非常強大且直觀的免費外掛。安裝啟用後，到「使用者」>「User Role Editor」，你就會看到一個權限列表的矩陣。

操作非常簡單：

1. 在頂部下拉選單選擇你想編輯的角色，例如「作者」。
2. 畫面會列出所有可用的權限，勾選你想新增的，取消勾選你想移除的。
3. 點擊「Update」按鈕，大功告成。

你也可以點擊「Add Role」按鈕來建立一個全新的角色，例如前面提到的「SEO Specialist」。你可以從一個現有的角色（例如作者）複製權限過來，然後再微調，非常方便。

工程師的小囉嗦：外掛雖然方便，但它也意味著你的網站多了一個需要維護、可能存在安全漏洞或效能問題的元件。對於功能單純的權限修改，我個人還是偏好用程式碼一次性解決，乾淨俐落。

工程師的浪漫：用程式碼實現終極控制

身為一個有格調的開發者，直接操作 WordPress 核心函式才是王道。這能讓你精準控制一切，而且不會增加額外的負擔。以下操作建議寫在你的主題 `functions.php` 或是一個自訂的功能外掛中。

重要提醒： 角色和權限的資訊是儲存在資料庫的。`add_role()` 或 `add_cap()` 這種函式，只需要「執行一次」就好。千萬不要把它們放在每次頁面載入都會執行的主流程中，不然你的網站會做一堆重複的資料庫寫入。最標準的做法是把它們包在主題啟用或外掛啟用的 Hook 裡面。

1. 新增一個角色 (`add_role`)

我們來建立一個「總編 (Chief Editor)」角色。他擁有跟「編輯」一樣的權限，但額外多一個 `manage_options` 的權限（可以設定網站選項，但又不如管理員那麼高）。

// 將這段程式碼放在主題的 functions.php 或自訂外掛中
// 建議包在 after_switch_theme 這個 hook 裡，確保只在啟用主題時執行一次

add_action('after_switch_theme', 'roamer_add_chief_editor_role');

function roamer_add_chief_editor_role() {
    // 先取得「編輯」角色的所有權限
    $editor_role = get_role('editor');
    $caps = $editor_role->capabilities;

    // 額外增加一個管理選項的權限
    $caps['manage_options'] = true;

    // 新增「總編」角色
    add_role(
        'chief_editor',                 // 角色名稱 (英文)
        '總編輯',                     // 顯示名稱 (中文)
        $caps                         // 權限陣列
    );
}

2. 為現有角色新增/移除權限 (`add_cap` / `remove_cap`)

假設你想讓「作者」也能上傳圖片（預設是不行的），你可以這樣做：

// 同樣，這應該只執行一次
add_action('init', 'roamer_add_author_caps');

function roamer_add_author_caps() {
    // 取得「作者」角色物件
    $author_role = get_role('author');

    // 如果角色存在，就新增權限
    if ($author_role) {
        $author_role->add_cap('upload_files');
    }
}

// 如果哪天反悔了，想移除權限
function roamer_remove_author_caps() {
    $author_role = get_role('author');
    if ($author_role) {
        $author_role->remove_cap('upload_files');
    }
}

進階魔法：自訂權限與 CPT 的完美結合

當你開始使用 Custom Post Types (CPT) 時，角色與權限系統的真正威力才會完全展現。在註冊 CPT 時，你可以指定一組專屬的權限。

我們來註冊一個「專案 (Project)」的 CPT，並為它建立專屬權限：

add_action('init', 'roamer_register_project_cpt');

function roamer_register_project_cpt() {
    $args = array(
        'labels'        => array('name' => '專案'),
        'public'        => true,
        'capability_type' => 'project', // 設定權限類型為 'project'
        'map_meta_cap'  => true, // 這很重要，啟用精細的權限對應
        'supports'      => array('title', 'editor', 'author'),
    );
    register_post_type('project', $args);
}

當你設定 `capability_type` 為 `project` 時，WordPress 會自動產生一組權限，例如：

• `edit_project` (編輯自己的專案)
• `edit_projects` (編輯所有專案)
• `edit_others_projects` (編輯他人的專案)
• `publish_projects` (發布專案)
• `read_private_projects` (讀取私密專案)
• `delete_project` (刪除自己的專案)

接著，你可以新增一個「專案經理 (Project Manager)」角色，並只把這些 `project` 相關的權限賦予他。這樣一來，這位專案經理登入後台，就只能看到和操作「專案」這個選單，完全碰不到文章、頁面或其他東西，實現了完美的權限隔離。

安全第一：權限管理的最佳實踐

最後，身為工程師，還是要囉嗦幾句關於安全的最佳實踐：

1. 最小權限原則 (Principle of Least Privilege)：永遠只給予使用者「完成工作所必需的最小權限」。不要因為方便，就隨便把人升級成編輯或管理員。
2. 定期審核使用者：定期檢查網站上的使用者列表，特別是高權限帳號，清除那些不再需要的帳號。
3. 小心外掛新增的角色：很多大型外掛（如 WooCommerce、bbPress）會自己新增角色。了解這些角色能做什麼，並根據你的需求進行調整。
4. 程式碼管理：如果你用程式碼管理權限，記得在停用主題或外掛時，也要寫一段程式碼來移除你新增的角色，保持資料庫的乾淨。這就像你進房間要開燈，離開要隨手關燈一樣，是個好習慣。

掌握了 WordPress 的角色與權限系統，你就不再是一個只會安裝佈景主題的站長，而是真正能駕馭這個強大 CMS 的開發者。它能讓你的網站更安全、管理更有效率，也能讓你從容應對客戶提出的各種刁鑽需求。

這趟深度之旅可能有點硬，但相信我，這是成為 WordPress 高手的必經之路。動手試試看，你會發現一片新大陸。

延伸閱讀

• 不只是文章和頁面！解放 WordPress 潛能，用 Custom Post Type 打造獨一無二的網站結構
• WordPress 開發的任督二脈：搞懂 Action & Filter Hooks，客製化功力大爆發！
• 網站半夜被黑？別怕！資深工程師的 WordPress 終極安全指南，從預防到災難復原全攻略

覺得以上的內容對你有幫助，或是你在權限管理上遇到了更複雜的挑戰嗎？浪花科技團隊擁有豐富的 WordPress 客製化開發經驗，從複雜的權限系統規劃到企業級的網站功能開發，我們都能提供最專業的解決方案。歡迎點擊這裡填寫表單，讓我們聊聊你的需求！