WordPressで複数のユーザーとサイトを運用する際「どの権限を誰に渡せばいいのか」と悩む方は多いのではないでしょうか。権限の設定を誤ると、意図しない記事の公開やサイト設定の変更といったトラブルにつながるリスクがあります。
本記事では、WordPressの権限グループの種類と違い、用途別の割り当て例、新規ユーザーへの付与方法から既存ユーザーの変更手順までをわかりやすく解説します。
さらに、プラグインを使ったカスタマイズ方法や、退職者アカウントの棚卸しといったセキュリティ対策、万が一管理者権限を失った際の復旧方法まで網羅しています。権限管理に不安を感じているWeb担当者の方は、ぜひ参考にしてください。
WordPressの権限グループとは
WordPressの権限グループとは、サイト上で操作できる範囲をユーザーごとに管理する機能です。
WordPressでは、複数のユーザーが同じサイトを管理することがあります。その際、全員に同じ操作を許可すると、意図しない記事の削除や設定の変更などのトラブルが起きるリスクがあります。
こうしたリスクを防ぐのが「権限グループ」です。ユーザーごとに「できること」と「できないこと」を明確に分けられるため、操作ミスの対策を防ぎ、安全にサイトを運用できます。
たとえば、記事執筆を担当する外部ライターには投稿に関する操作のみ、サイト全体の管理をする担当者には全権限を付与するといった使い分けができます。WordPressの権限グループは、サイトを安全かつ効率的に運用するうえで欠かせない仕組みです。
WordPressの権限グループ6種類の違い
WordPressには以下6種類の権限グループがあり、それぞれ操作できる範囲が異なります。
- 購読者
- 寄稿者
- 投稿者
- 編集者
- 管理者
- 特権管理者
本章では、6種類の権限グループの詳細を解説します。自社サイトの運用体制に合わせて適切なグループを選択しましょう。
購読者
購読者は、6種類の権限グループの中でもっとも権限が低く、可能な操作はサイトの閲覧と自分のプロフィール編集に限られます。記事の作成や設定の変更といった操作は一切できないため、サイト運営には直接かかわらないユーザーに向いている権限です。
主な活用シーンは、会員登録したユーザーにのみ限定コンテンツを見せる会員制サイトで、ログインしたユーザーだけが読める記事を運用する場合などに使われます。
外部の作業者や社内スタッフには通常付与しない権限ですが、サイトの用途によっては活躍する場面があります。
寄稿者
寄稿者は、自分の投稿を作成・編集できますが、公開はできない権限グループです。
作成した記事は下書きとして保存され、公開するには編集者や管理者による承認が必要です。つまり、記事の最終チェックを別の担当者が行う運用フローに適しています。
この仕組みにより、誤った内容の記事が無断で公開されるリスクを防げるため、記事の品質管理を徹底したい場合や、外部ライターに記事を依頼する際によく使われます。
ライターに記事作成だけを任せ、公開判断は社内で行いたい場合に適した権限です。
投稿者
投稿者は、自分が作成した記事を自分で公開できる権限グループです。寄稿者と異なり、承認なしで記事を公開できます。
また、自分の投稿であれば削除も可能ですが、他のユーザーが作成した記事への操作はできません。記事の作成から公開までを一人で完結させたい社内ライターや、信頼性の高いライターに向いています。
一方で、公開ミスや誤削除のリスクもゼロではないため、付与する相手は慎重に選ぶことが大切です。自分の投稿に限定した操作のみ許可されているため、他の記事に影響を与えにくく、比較的安全に運用できる権限です。
編集者
編集者は、すべての投稿・固定ページを管理できる権限グループです。自分の記事だけでなく、他のユーザーが作成した記事の編集・削除・公開も行えます。
また、カテゴリーやタグの管理も可能です。サイト全体のコンテンツを横断的に管理できるため、コンテンツ責任者のような立場の担当者に適しています。
ただし、プラグインやテーマの設定変更、ユーザーの追加・削除といったサイトの根幹にかかわる操作はできません。コンテンツ管理に必要な権限を持ちつつ、システム設定には触れさせたくない場合に活用できます。
管理者
管理者は、WordPressのほぼすべての操作が可能な権限グループです。プラグインのインストール・削除、テーマの変更、ユーザーの追加・権限変更など、サイト運営に必要な操作を一通り行えます。サイト全体の責任者や、技術的な管理を担う担当者に付与されることが多い権限です。
権限が広い分、設定ミスやアカウント乗っ取りが起きた場合の被害も大きくなります。そのため、管理者権限を付与するユーザーは必要最小限に絞ることが重要です。
なお、WordPressをマルチサイト構成(複数のサイトをまとめて管理する機能)で運用している場合は、後述する特権管理者が最上位の権限となります。
特権管理者
特権管理者は、WordPressのマルチサイト機能を使っている場合にのみ存在する、最上位の権限グループです。マルチサイトとは、1つのWordPressで複数のサイトをまとめて管理できる機能です。
特権管理者はネットワーク全体を管理できる立場にあり、各サイトの管理者アカウントの追加・削除や、ネットワーク全体の設定変更ができます。
通常のサイト構成では存在しない権限のため、一般的なWordPress運用では意識する機会は少ないです。マルチサイトを導入している場合には、特権管理者の付与対象を特に慎重に選ぶ必要があります。
WordPress権限の割り当て例
権限グループは、かかわる人員の役割に合わせて設定することが大切です。本章では、実務でよくある2つのケースを例に、適切な権限グループを紹介します。
外部ライター・新人ライター
外部ライターや新人ライターには、寄稿者を付与するのが適切です。
寄稿者は記事の作成・編集はできますが、公開する権限を持ちません。記事を公開するには、編集者や管理者が内容を確認したうえで操作する必要があります。
この仕組みにより、誤った内容や未完成の記事が誤って公開されるリスクを防げます。
特に、外部ライターはサイトの運用ルールに不慣れなケースもあるため、公開権限を持たせない運用が安心です。記事の品質チェックを社内で完結させたい場合にも有効です。
社内のコンテンツ担当者
社内のコンテンツ担当者には、編集者を付与するのが適切です。
編集者は自分の記事だけでなく、他のユーザーが作成した記事の編集・削除・公開も行えます。複数のライターが書いた記事をまとめてチェックし、公開まで管理する担当者に必要な権限が揃っています。
一方で、プラグインの設定変更やユーザーの追加といったシステム管理の操作はできません。
コンテンツ管理に必要な権限だけを持たせることで、意図しないシステム設定の変更を防げるため、コンテンツ責任者に適したバランスのよい権限グループです。
新規のWordPressユーザー権限の付与手順
本章では、新規のユーザーに権限を付与する手順を解説します。新規ユーザーへの権限付与は、管理者アカウントでログインした状態で行います。
手順は大きく3ステップで、画面の操作自体はシンプルなため、初めてでも安心です。
管理者アカウントでWordPressにログインする
新規ユーザーの追加・権限付与は、管理者権限を持つアカウントでないと操作できません。
WordPressの管理画面にアクセスし、管理者権限のアカウントでログインします。編集者や投稿者などの権限ではユーザー管理メニュー自体が表示されないため、作業前に自分のアカウントが管理者権限であることを確認してください。
複数人でサイトを管理している場合、自分に管理者権限があるかどうか事前に把握しておくとスムーズです。
ユーザー新規追加画面で必要情報を入力する
管理画面の左メニューから「ユーザー」をクリックし、「新規ユーザーを追加」へ進んで必要情報を入力します。
入力が必要な主な項目と概要は以下のとおりです。
| 項目 | 概要 |
|---|---|
| ユーザー名 | ログイン時に使用する名前(後から変更不可) |
| メールアドレス | 通知やパスワードリセットに使用 |
| パスワード | 自動生成されるが、任意のものに変更可 |
注意点として、ユーザー名は一度設定すると変更できないため、運用ルールに沿った名前をあらかじめ決めておくことをおすすめします。
権限グループを選択してユーザーを追加する
必要情報を入力したら、権限グループのプルダウンから適切な権限を選択し、新規ユーザーを追加ボタンをクリックします。
プルダウンには、
- 購読者
- 寄稿者
- 投稿者
- 編集者
- 管理者
の5種類が表示されるので、役割に合ったグループを選んでください。
追加後はユーザー一覧画面に戻り、対象のユーザーが正しい権限グループで登録されているかを確認します。
権限の設定ミスはトラブルの原因になるため、追加直後に必ず確認する習慣をつけておくと安心です。
既存のWordPressユーザー権限を変更する手順
本章では、既存のユーザー権限を変更する方法を解説します。既存ユーザーの権限変更も、管理者アカウントでログインした状態で行います。操作は2ステップで完了するため、参考にしてください。
ユーザー一覧から対象のユーザーを選択する
既存ユーザーの権限を変更するには、まず管理画面の「ユーザー一覧」から対象のユーザーにアクセスしてください。
管理画面の左メニューから「ユーザー」→「ユーザー一覧」へ進むと、登録済みのユーザーが一覧で表示されます。
各ユーザーの名前・メールアドレス・現在の権限グループが確認できるため、変更したいユーザーを探しやすい構成になっています。対象ユーザーが見つかったら、ユーザー名の下に表示される編集をクリックして編集画面に進みましょう。
なお、ユーザー数が多い場合は、画面上部の権限グループ別フィルターを使うと絞り込みが可能です。
ユーザー編集画面で権限グループを変更する
ユーザー編集画面を開いたら、権限グループのプルダウンから変更後の権限を選択し、ユーザーを更新ボタンをクリックして保存しましょう。
プルダウンには現在設定されている権限があらかじめ選択された状態で表示されます。変更したい権限グループを選んだうえで、必ず画面下部の更新ボタンをクリックしてください。
ボタンを押さずにページを離れると変更が保存されないため注意が必要です。保存後はユーザー一覧に戻り、権限グループが意図どおりに変更されているかを確認する習慣をつけておくと安心です。
プラグインでWordPressユーザー権限をカスタマイズする方法
初期設定にある5種類の権限グループでは対応しきれない場合、プラグインを使って権限をカスタマイズできます。本章では代表的なプラグインである「User Role Editor」を使った方法を紹介します。
User Role Editorで既存の権限グループを編集する
User Role Editorを使うと、既存の権限グループに対して個別の操作権限を追加・削除できます。
まずWordPressの管理画面からプラグイン→新規追加と進み、User Role Editorを検索してインストール・有効化します。
有効化後はユーザーメニュー内にUser Role Editorの項目が追加されます。編集したい権限グループを選択すると、該当する権限に紐づく操作項目が一覧で表示されるため、チェックボックスのオン・オフで権限の追加や削除が可能です。
なお、設定変更はサイト全体に影響するため、作業前にバックアップを取っておくことをおすすめします。
特定ページや特定プラグインのみ操作できる権限を新規追加する
User Role Editorでは、既存の権限グループを編集するだけでなく、独自の権限グループを新規作成することも可能です。
User Role Editorの画面上部にある役割を追加ボタンから、新しい権限グループの名前を設定して作成します。作成後は既存グループと同様に、操作項目のチェックボックスで許可する権限を細かく設定できます。
たとえば、特定のプラグインの操作のみを許可したり、固定ページの編集だけを許可したりといった、細かい制御が可能です。
初期設定の権限グループでは対応が難しい複雑な運用体制にも柔軟に対応できます。
WordPress権限設定で押さえておくべきセキュリティ対策
WordPressの権限は一度設定したら終わりではなく、セキュリティの対策も欠かせません。本章では、運用を続けるなかで見落としがちな、セキュリティ上の注意点を2つ解説します。
ユーザー権限は定期的に見直す
退職した社員や契約が終了した外部スタッフのアカウントを放置することは、セキュリティ上のリスクになるため、ユーザー権限は定期的に見直す必要があります。
アカウントが残ったままだと、ログイン情報が第三者に悪用された場合にサイトへの不正アクセスを許してしまいます。本人が離れた後もアカウントが有効な状態は、いわば退職した社員の入館証がそのまま使える状態と同じです。
対策として、担当者が変わったタイミングや、3ヵ月・半年ごとなど定期的にユーザー一覧を確認し、不要なアカウントは削除または権限を変更する運用を徹底してください。
アカウントの棚卸しを習慣化することが、不正アクセスを防ぐうえで有効です。
管理者アカウントには二段階認証を導入する
管理者アカウントには、パスワードに加えて二段階認証を設定することを強くおすすめします。
二段階認証とは、ログイン時にパスワードとは別にスマートフォンへの通知や認証コードの入力を求める仕組みです。仮にパスワードが第三者に漏洩した場合でも、認証コードがなければログインできないため、不正アクセスを防ぐ効果があります。
WordPressでは、Two Factor AuthenticationやWP 2FAといったプラグインを使って二段階認証を導入できます。インストールして有効化するだけで設定できるため、技術的な知識がなくても対応可能です。
管理者権限はもっとも影響範囲が広いだけに、パスワード単体での管理には限界があります。二段階認証の導入は、最小限の手間で講じられる有効なセキュリティ対策です。
WordPressで行うべきその他のセキュリティ対策については以下の記事で解説していますので、参考にしてください。
安全にサイトを運営し続けるためには、継続的なセキュリティ対策を実施することが重要です。WordPressでサイトを運営しているけれど、セキュリティ対策は何をすれば良いかわからないという方も多いのではないでしょうか。セキュリ[…]
管理者権限にアクセスできない場合の対処法
誤操作やトラブルで管理者権限を失った場合でも、WordPressの管理画面を経由せずに権限を復元する方法があります。本章では、管理者権限にアクセスできない場合に有効な2つの対処法を解説します。
データベース(phpMyAdmin)から権限を直接変更する
管理画面にログインできない場合、phpMyAdminからデータベースを直接操作して権限を復元できます。
phpMyAdminとは、WordPressのデータを管理するデータベース(MySQL)をブラウザ上で操作できるツールです。多くのレンタルサーバーではコントロールパネルからアクセスできます。操作手順は以下のとおりです。
- phpMyAdminにログインし、WordPressのデータベースを選択する
- wp_usersテーブルを開き、対象ユーザーのIDを確認する
- wp_usermetaテーブルでwp_capabilitiesを探す
- 値をa:1:{s:13:”administrator”;b:1;}に変更する
データベースの直接操作はサイト全体に影響するため、作業前に必ずバックアップを取ってから行ってください。
FTPまたはファイルマネージャーを使って復旧する
FTPまたはサーバーのファイルマネージャーを使って、WordPressのファイルを直接編集することで権限を復元できます。FTPとは、サーバー上のファイルをパソコンから直接操作するための仕組みです。
FileZillaなどのFTPクライアントソフト、またはレンタルサーバーが提供するファイルマネージャーを使ってサーバーにアクセスします。wp-includes/functions.phpなどのファイルに一時的なコードを追加して管理者ユーザーを作成する方法が一般的です。
なお、ファイルの編集ミスはサイトの表示崩れや動作不良につながるリスクがあります。作業前にサーバー全体のバックアップを取ることを必ず徹底してください。
WordPressの管理画面にアクセスできなくなった場合の原因や対策は以下の記事でも詳しく解説しているため、参考にしてください。
本記事をご覧の方の中には「WordPress(ワードプレス)の管理画面にログインできない」「ログインURLが見つからない」「画面が真っ白で進めない」と困っている方もいるのではないでしょうか。管理画面に入れない原因は複数あり、状況に[…]
まとめ
WordPressの権限グループには購読者・寄稿者・投稿者・編集者・管理者・特権管理者の6種類があり、それぞれ操作できる範囲が明確に異なります。外部ライターには寄稿者、社内のコンテンツ担当者には編集者など、役割に応じた権限を割り当てることが、サイトを安全に運用するうえで大切です。
新規ユーザーへの権限付与は管理画面のユーザー追加画面から、既存ユーザーの権限変更はユーザー一覧の編集画面からそれぞれ操作できます。
なお、権限の設定後も退職者や契約終了したスタッフのアカウントを定期的に棚卸しすること、管理者アカウントへの二段階認証を導入することがセキュリティ対策として有効です。
WordPressの権限管理を適切に行うには、サーバー環境も重要な要素のひとつです。
ロリポップでは、WordPressの表示速度No.1を誇るロリポップ!レンタルサーバーで、今回解説したphpMyAdminやファイルマネージャーといった管理ツールも標準で利用できます。
権限設定からトラブル時の復旧作業まで、スムーズに対応できる環境が整っているため、WordPressの運用基盤をお探しの方はぜひ検討してみてください。
