Gestão de utilizadores WordPress: roles, permissões e boas práticas para agências

A gestão incorrecta de utilizadores WordPress é uma das vulnerabilidades de segurança mais subestimadas. Dar role de Administrador ao cliente porque "é mais fácil", não remover utilizadores de ex-colaboradores, ou ter múltiplos admins com passwords fracas — são práticas que criam risco real. Este guia cobre o modelo correcto de gestão de utilizadores para agências.

Os roles nativos do WordPress

• Administrador: acesso total ao site — instala plugins, muda temas, acede a todas as configurações. O role mais poderoso e o que deve ter menos utilizadores.
• Editor: pode publicar e gerir conteúdo de todos os utilizadores, gerir categorias e comentários. Não instala plugins nem altera configurações.
• Autor: pode publicar e gerir o próprio conteúdo. Não pode editar conteúdo de outros utilizadores.
• Colaborador: pode escrever e editar o próprio conteúdo mas não publicar — requer aprovação de um Editor ou Admin.
• Subscritor: apenas acesso ao perfil pessoal. Para sites de membership, geralmente o role de utilizadores registados.

O princípio do menor privilégio

Cada utilizador deve ter o mínimo de permissões necessárias para executar as suas funções. Este princípio é fundamental em segurança de sistemas — e raramente aplicado em WordPress.

O erro mais comum: dar role de Administrador a clientes que apenas precisam de gerir conteúdo. Um cliente que só adiciona posts e actualiza páginas precisa de role de Editor, não de Administrador. Se o cliente tiver role de Admin e a sua conta for comprometida, o atacante tem acesso total ao site.

Estrutura de utilizadores recomendada por tipo de site

Site informativo / institucional

• 1 utilizador Admin da agência (email da agência)
• 1 utilizador Editor para o cliente (gere conteúdo)
• Utilizadores Autor para cada colaborador de conteúdo do cliente

Loja WooCommerce

• 1 utilizador Admin da agência
• 1 utilizador Admin do cliente (necessário para gerir encomendas e configurações WooCommerce)
• Utilizadores Shop Manager para staff que gere encomendas (role específico do WooCommerce)

Site com múltiplos redactores

• 1 utilizador Admin da agência
• 1 utilizador Editor para o gestor de conteúdo do cliente
• Utilizadores Autor para cada redactor

Criar roles personalizados

Para necessidades específicas que os roles nativos não cobrem, criar roles personalizados com permissões granulares. O plugin Members ou User Role Editor permite criar e editar roles com controlo granular sobre cada capability.

Exemplo de caso de uso: um cliente que gere apenas produtos WooCommerce mas não deve aceder a posts, páginas ou configurações. Criar um role "Gestor de Produtos" com capabilities limitadas ao WooCommerce.

Auditar e limpar utilizadores regularmente

Numa auditoria de segurança, os utilizadores são sempre um ponto a verificar:

• Ex-colaboradores do cliente com acesso activo — remover imediatamente quando alguém sai
• Utilizadores admin com username "admin" — alvo prioritário de brute force, renomear
• Utilizadores criados por plugins ou temas que já foram removidos — verificar e remover se desnecessários
• Utilizadores da agência em sites de clientes de projectos concluídos — manter apenas o necessário para a manutenção activa

Via WP-CLI, listar todos os admins rapidamente:

wp user list --role=administrator --fields=ID,user_login,user_email,user_registered

Separar a conta de admin da agência da conta do cliente

Uma prática importante: criar um utilizador admin dedicado para a agência (com email da agência) separado do utilizador do cliente. Razões:

• Se o cliente mudar a password do próprio utilizador, a agência não perde acesso
• Auditoria clara de quem fez o quê (logs do WordPress registam o utilizador em cada acção)
• Em caso de fim de contrato, o acesso da agência pode ser removido sem afectar o utilizador do cliente