私のブックマーク
ブックマークを追加
ブックマークを削除ユーザーの役割と権限
効率的なセキュリティ層を作成する上で最も重要なステップは、ユーザー権限システムを整備することです。WordPressは、ユーザーの役割と権限という形でこれを提供しています。
WordPressにログインしているすべてのユーザーは、そのユーザーの役割に応じて特定のユーザー権限が自動的に割り当てられます。
ユーザーの役割は、ユーザーがどのグループに属しているかを示す言い回しです。各グループには、特定の事前定義された権限のセットがあります。
例えば、あなたのウェブサイトの主なユーザーは、管理者のユーザー役割を持ち、他のユーザーはエディターや著者のような役割を持つかもしれません。役割に割り当てられたユーザーは複数いる可能性があり、つまり、ウェブサイトには二人の管理者がいるかもしれません。
ユーザー権限は、各ユーザーまたはユーザー役割に割り当てる特定の権限です。
例えば、管理者は「manage_options」権限を持っており、これによりウェブサイトのオプションを表示、編集、保存することができます。一方、エディターはこの権限を持っていないため、オプションに対して操作を行うことができません。
これらの権限は、管理画面内のさまざまなポイントでチェックされます。役割に割り当てられた権限に応じて、メニュー、機能、およびWordPressの体験の他の側面が追加または削除されることがあります。
プラグインを構築する際は、現在のユーザーが必要な権限を持っている場合にのみコードを実行するようにしてください。
階層
ユーザーの役割が高いほど、ユーザーはより多くの権限を持ちます。各ユーザーの役割は、階層内の前の役割を継承します。
例えば、「管理者」は、単一サイトインストールにおける最も高いユーザー役割であり、次の役割とその権限を継承します:「購読者」、「寄稿者」、「著者」、「エディター」。
例
制限なし
以下の例は、フロントエンドにリンクを作成し、投稿をゴミ箱に移動する能力を与えます。このコードはユーザー権限をチェックしないため、サイトの訪問者は誰でも投稿をゴミ箱に移動できるのです!
/*** Generate a Delete link based on the homepage url.** @param string $content Existing content.** @return string|null*/function wporg_generate_delete_link( $content ) {// Run only for single post page.if ( is_single() && in_the_loop() && is_main_query() ) {// Add query arguments: action, post.$url = add_query_arg(['action' => 'wporg_frontend_delete','post' => get_the_ID(),], home_url());return $content . ' <a href="' . esc_url( $url ) . '">' . esc_html__( 'Delete Post', 'wporg' ) . '</a>';}return null;}/*** Request handler*/function wporg_delete_post() {if ( isset( $_GET['action'] ) && 'wporg_frontend_delete' === $_GET['action'] ) {// Verify we have a post id.$post_id = ( isset( $_GET['post'] ) ) ? ( $_GET['post'] ) : ( null );// Verify there is a post with such a number.$post = get_post( (int) $post_id );if ( empty( $post ) ) {return;}// Delete the post.wp_trash_post( $post_id );// Redirect to admin page.$redirect = admin_url( 'edit.php' );wp_safe_redirect( $redirect );// We are done.die;}}/*** Add the delete link to the end of the post content.*/add_filter( 'the_content', 'wporg_generate_delete_link' );/*** Register our request handler with the init hook.*/add_action( 'init', 'wporg_delete_post' );
特定の権限に制限
上記の例では、サイトの訪問者が「削除」リンクをクリックして投稿をゴミ箱に移動できるようになっています。しかし、私たちはエディター以上のユーザーだけが「削除」リンクをクリックできるようにしたいのです。
これを実現するために、現在のユーザーがedit_others_postsの権限を持っているかどうかを確認します。この権限はエディター以上のユーザーだけが持つものです:
/*** Generate a Delete link based on the homepage url.** @param string $content Existing content.** @return string|null*/function wporg_generate_delete_link( $content ) {// Run only for single post page.if ( is_single() && in_the_loop() && is_main_query() ) {// Add query arguments: action, post.$url = add_query_arg(['action' => 'wporg_frontend_delete','post' => get_the_ID(),], home_url());return $content . ' <a href="' . esc_url( $url ) . '">' . esc_html__( 'Delete Post', 'wporg' ) . '</a>';}return null;}/*** Request handler*/function wporg_delete_post() {if ( isset( $_GET['action'] ) && 'wporg_frontend_delete' === $_GET['action'] ) {// Verify we have a post id.$post_id = ( isset( $_GET['post'] ) ) ? ( $_GET['post'] ) : ( null );// Verify there is a post with such a number.$post = get_post( (int) $post_id );if ( empty( $post ) ) {return;}// Delete the post.wp_trash_post( $post_id );// Redirect to admin page.$redirect = admin_url( 'edit.php' );wp_safe_redirect( $redirect );// We are done.die;}}/*** Add delete post ability*/add_action('plugins_loaded', 'wporg_add_delete_post_ability');function wporg_add_delete_post_ability() {if ( current_user_can( 'edit_others_posts' ) ) {/*** Add the delete link to the end of the post content.*/add_filter( 'the_content', 'wporg_generate_delete_link' );/*** Register our request handler with the init hook.*/add_action( 'init', 'wporg_delete_post' );}}
