Il giorno della consegna ricevi un account amministratore. Ma cosa succede quando arriva un collaboratore nuovo? Quando un dipendente cambia ruolo? Quando un freelance ha finito il lavoro? La gestione di utenti e ruoli è una delle aree più trascurate dei siti WordPress, e una delle più rischiose: la maggior parte dei siti hackerati ha un account utente debole o dimenticato come punto di ingresso.
In questa guida vediamo come creare utenti, scegliere il ruolo giusto, revocare accessi e mantenere il controllo nel tempo.
I ruoli standard di WordPress
WordPress ha cinque ruoli predefiniti, ordinati dal più potente al meno:
| Ruolo | Cosa può fare | Quando usarlo |
|---|---|---|
| Amministratore | Tutto, incluso eliminare il sito | Tu (titolare) e l'agenzia |
| Editor | Gestire pagine e articoli (anche altrui), moderare commenti | Responsabile contenuti |
| Autore | Scrivere e pubblicare i propri articoli, caricare media | Redattori del blog |
| Collaboratore | Scrivere articoli ma non pubblicarli (solo proporre) | Collaboratori esterni |
| Sottoscrittore | Solo leggere contenuti riservati e gestire il proprio profilo | Utenti registrati senza permessi editoriali |
Plugin come WooCommerce aggiungono ruoli aggiuntivi (Cliente, Manager negozio, ecc.).
Step-by-step: creare un nuovo utente
1. Vai su Utenti → Aggiungi utente
Dal menu di sinistra clicca Utenti → Aggiungi utente.
2. Compila i campi
- Nome utente: identificatore univoco (non modificabile dopo). Evita "admin" e nomi facili
- Email: deve essere reale, l'utente riceverà l'email di benvenuto
- Nome / Cognome: visualizzati negli articoli
- Sito web: opzionale
- Lingua: di solito IT
- Password: lascia che WordPress ne generi una sicura, oppure crea una forte (min 14 caratteri)
- Invia notifica utente: spunta per inviare l'email con le credenziali
3. Scegli il ruolo
Nel menu a tendina Ruolo scegli il livello adatto. Quando in dubbio, scegli quello più basso che permette il lavoro: puoi sempre alzarlo dopo.
4. Aggiungi utente
Clicca Aggiungi nuovo utente. L'utente riceve l'email con le istruzioni di accesso. Ricordagli di cambiare la password al primo login e di attivare la 2FA.
Step-by-step: modificare un utente esistente
Da Utenti → Tutti gli utenti clicca sul nome dell'utente. Puoi:
- Cambiare il ruolo dal menu a tendina
- Resettare la password (in fondo alla pagina, "Imposta nuova password")
- Aggiornare email e dati del profilo
- Modificare il nickname o il nome visualizzato
Salva con Aggiorna utente.
Step-by-step: rimuovere un utente
Quando una persona lascia il team o non collabora più:
1. Vai su Utenti → Tutti gli utenti
Trova l'utente, passa il mouse sopra il nome, clicca Elimina.
2. Decidi cosa fare dei suoi contenuti
WordPress ti chiede:
- Elimina tutti i contenuti: cancella articoli, pagine e media caricati dall'utente. Pericoloso, raramente quello che vuoi.
- Assegna tutti i contenuti a: scegli un altro utente (di solito l'amministratore principale). I contenuti restano, cambiano solo autore. L'opzione corretta nel 99% dei casi.
3. Conferma eliminazione
L'utente sparisce. Non può più accedere. Se hai dubbi, prima di eliminare puoi semplicemente cambiare la password (rendendolo non operativo) e poi decidere a freddo.
Buone pratiche di gestione utenti
Audit periodico
Una volta al mese (o al trimestre, per siti piccoli):
- Apri Utenti → Tutti gli utenti
- Controlla che ogni account abbia un volto e un motivo per esistere
- Elimina o disattiva account "vecchi"
- Verifica che gli amministratori siano davvero pochi (1-3)
Naming e ruoli chiari
- Usa email aziendali, non personali (non
mario.rossi@gmail.commamario@miaazienda.it): così se il dipendente lascia, l'email cessa e l'account è facilmente bloccabile - Niente account "team@" o "redazione@" condivisi: ogni persona il suo
Forza password sicure e 2FA
Se il sito ha un plugin di sicurezza (Wordfence, Solid Security, miniOrange), puoi:
- Forzare password forti per tutti gli utenti
- Forzare la 2FA per tutti i ruoli editor e superiori
- Bloccare login dopo X tentativi falliti
- Notificare login da paesi inusuali
Account ospite per l'agenzia
Quando lavoriamo come agenzia, di solito ci crei un account amministratore dedicato (es. agenzia-obly). Quando il progetto finisce, lo cancelli o lo riduci a editor. Mai darci la tua password personale.
Errori comuni
- Avere 5 amministratori "perché era più semplice". Ogni amministratore è un punto di rischio. Riduci.
- Username "admin". Bersaglio facile per attacchi automatici. Crea un altro amministratore con username diverso e poi rimuovi
admin. - Account dormienti di ex-collaboratori. Trascurati e con password vecchie, sono fra le porte d'ingresso preferite degli attaccanti. Audit periodico.
- Condividere lo stesso account fra persone. Niente tracciabilità, niente 2FA, niente sicurezza. Un account per persona.
- Email di benvenuto cestinate o ignorate. L'utente non sa come accedere e ti chiede tutto via WhatsApp. Spiegagli a voce cosa aspettarsi.
- Cambiare il ruolo dell'amministratore principale a editor "per provare". Se non c'è un altro admin, ti blocchi fuori. Crea sempre prima un altro amministratore.
Quando chiamare l'agenzia
- Vedi utenti che non riconosci nell'elenco
- Un utente non riesce ad accedere e non funziona il recupero password
- Devi gestire ruoli personalizzati o permessi specifici (es. accesso a singole pagine)
- Vuoi installare un plugin per ruoli avanzati (User Role Editor, Members)
- Il sito ha più di 10 utenti e non hai un activity log
In sintesi
Gestire utenti è una di quelle cose che sembrano noiose finché non succede un incidente. Tre regole bastano: ruolo minimo necessario, audit periodico, password forti + 2FA per tutti.
Quando assumi qualcuno di nuovo, crea l'account con il ruolo giusto. Quando qualcuno se ne va, disattiva subito. Tienitene una traccia (anche solo un foglio): chi ha accesso al sito, con che ruolo, da quando. È la base di una buona igiene digitale.
