Les rôles utilisateurs dans WordPress : comprendre qui peut faire quoi

29 avril 2026

0

les rôles utilisateurs dans wordpress comprendre qui peut faire quoi

Quand plusieurs personnes travaillent sur un même site WordPress, une question se pose rapidement : qui a le droit de faire quoi ? Publier un article, modifier le thème, installer une extension, supprimer des comptes… toutes ces actions ne devraient pas être accessibles à tout le monde de la même façon.

WordPress répond à ce besoin avec un système de rôles. Chaque compte utilisateur se voit attribuer un rôle, et ce rôle détermine précisément ce que la personne peut faire dans l’administration du site. Cet article vous explique comment ce système fonctionne, ce que chaque rôle permet, et comment l’utiliser correctement.

Qu’est-ce qu’un rôle utilisateur dans WordPress ?

Un rôle, dans WordPress, est un ensemble de capacités prédéfinies. Une capacité, c’est une permission précise : publier des articles, modérer des commentaires, gérer les options du site, etc.

WordPress regroupe ces capacités en cinq rôles natifs, dans une installation standard. Chaque rôle inclut un sous-ensemble de permissions, du plus restreint au plus large. Quand vous créez un compte utilisateur, vous choisissez son rôle, et WordPress applique automatiquement les permissions correspondantes.

Ce système est intégré au cœur de WordPress. Il ne nécessite aucune extension pour fonctionner. En revanche, certaines extensions peuvent en étendre le comportement, ce que nous verrons plus loin.

Les cinq rôles natifs

Administrateur (administrator)

L’administrateur a accès à toutes les fonctionnalités du site sans exception. Il peut installer et supprimer des thèmes et des extensions, modifier les réglages, créer ou supprimer des comptes, accéder aux fichiers via l’éditeur intégré, et bien plus encore.

➔ Ce rôle ne doit être attribué qu’à des personnes de confiance qui comprennent les implications de chaque action.

Éditeur (Editor)

L’éditeur peut créer, modifier, publier et supprimer des articles et des pages, y compris ceux rédigés par d’autres utilisateurs. Il peut également gérer les catégories, les étiquettes, les commentaires et les médias. En revanche, il n’a pas accès aux réglages du site, ni aux thèmes, ni aux extensions.

➔ C’est le rôle idéal pour un responsable éditorial ou un chef de projet contenu qui supervise les publications sans intervenir sur la configuration technique du site.

Auteur (Author)

L’auteur peut créer, modifier et publier ses propres articles. Il peut également supprimer ses propres publications et téléverser des médias. Il ne peut pas intervenir sur les articles des autres utilisateurs. Il n’a aucun accès aux réglages, aux thèmes ou aux extensions.

➔ Ce rôle convient à un rédacteur régulier dont le périmètre se limite à ses propres contenus.

Contributeur (Contributor)

Le contributeur peut rédiger et modifier ses propres articles, mais il ne peut pas les publier. Ses articles sont soumis à la validation d’un éditeur ou d’un administrateur avant d’être mis en ligne. Il ne peut pas non plus téléverser des fichiers ou des images.

➔ C’est un rôle adapté aux rédacteurs occasionnels, aux collaborateurs externes, ou à toute personne dont vous souhaitez vérifier les contenus avant publication.

Abonné (subscriber)

L’abonné est le rôle le plus limité. Il peut se connecter, consulter et modifier son profil, et lire du contenu restreint selon la configuration du site. Il n’a aucun accès à la création de contenu ni aux réglages de l’administration.

➔ Ce rôle est utilisé dans les sites qui proposent un espace membres, une zone de contenu réservée, ou un forum. Sur un site sans espace privé, il est rarement utile.

Le cas particulier : aucun rôle pour ce site

Il existe une sixième situation : un utilisateur peut se voir attribuer la valeur Aucun rôle pour ce site. Cette personne peut toujours se connecter, mais elle n’a accès à aucun contenu ni à aucune fonctionnalité de l’administration.

C’est parfois utilisé délibérément pour neutraliser temporairement un compte sans le supprimer, par exemple le temps d’une vérification ou d’un changement de situation. C’est une alternative à la suppression quand vous souhaitez conserver l’historique associé au compte.

WordPress multisite : quelques spécificités

Sur une installation WordPress multisite, le fonctionnement des rôles présente quelques différences. Un utilisateur du réseau peut avoir des rôles différents selon les sites auxquels il est rattaché. La valeur « Aucun rôle pour ce site » y est fréquente : elle signifie simplement que l’utilisateur existe dans le réseau, mais n’a pas encore été associé à ce site précis.

Il existe par ailleurs un rôle supplémentaire, le super administrateur, qui n’existe que dans ce contexte. Contrairement à l’administrateur d’un site, il gère l’ensemble du réseau : création de nouveaux sites, gestion des utilisateurs du réseau, installation d’extensions et de thèmes à l’échelle globale.

Récapitulatif des permissions par rôle

Capacité	Abonné	Contributeur	Auteur	Éditeur	Administrateur
Accéder au tableau de bord	✓	✓	✓	✓	✓
Lire du contenu restreint	✓	✓	✓	✓	✓
Rédiger ses articles		✓	✓	✓	✓
Publier ses articles			✓	✓	✓
Publier les articles des autres				✓	✓
Gérer les médias			✓	✓	✓
Gérer les commentaires				✓	✓
Accéder aux réglages du site					✓
Installer des extensions et des thèmes					✓
Créer et supprimer des comptes					✓

Gérer les rôles depuis l’administration

Attribuer un rôle lors de la création d’un compte

Rendez-vous dans Utilisateurs > Ajouter un utilisateur. Remplissez les informations du compte, puis choisissez le rôle dans le menu déroulant en bas du formulaire. Le rôle est appliqué immédiatement à la création du compte.

Modifier le rôle d’un compte existant

Allez dans Utilisateurs > Tous les utilisateurs. Cliquez sur le nom de l’utilisateur pour ouvrir son profil, puis modifiez le champ Rôle en bas de la page. Enregistrez les modifications.

Vous pouvez également changer le rôle de plusieurs utilisateurs en même temps depuis la liste des comptes : cochez les cases correspondantes, puis utilisez le menu Changer de rôle pour en haut ou en bas du tableau.

Erreurs fréquentes à éviter

Attribuer le rôle Administrateur par défaut : c’est l’erreur la plus répandue, notamment quand on travaille avec un prestataire. Donner un accès administrateur à quelqu’un qui n’a besoin que de publier des articles expose inutilement votre site. Chaque rôle doit correspondre au besoin réel de la personne, pas à la facilité de gestion.

Oublier de modifier le rôle après une collaboration : quand un prestataire externe termine sa mission, pensez à rétrograder ou supprimer son compte. Un compte administrateur inactif reste une surface d’attaque potentielle si les identifiants sont compromis.

Confondre Auteur et Éditeur : un auteur ne peut pas modifier les articles des autres. Si vous avez un rédacteur qui doit corriger ou compléter les publications de ses collègues, c’est le rôle Éditeur qu’il lui faut.

Utiliser le rôle Abonné sans en avoir l’usage : sur un site vitrine ou un blog sans espace membres, ce rôle ne sert à rien. Si des comptes Abonné existent sans raison identifiée, c’est probablement le signe d’inscriptions non sollicitées à surveiller.

Les rôles ajoutés par les extensions

Les cinq rôles natifs ne couvrent pas tous les besoins. Certaines extensions en ajoutent de nouveaux, adaptés à leur propre fonctionnement.

WooCommerce en est l’exemple le plus courant. Dès son installation, il crée deux rôles supplémentaires : Client et Gestionnaire de la boutique. Le Client est un rôle proche de l’Abonné, enrichi de capacités liées aux commandes et au compte client sur la boutique. Le Gestionnaire de la boutique dispose d’un accès étendu à l’administration de la boutique (produits, commandes, réglages WooCommerce), sans pour autant avoir les droits d’un administrateur WordPress complet.

D’autres extensions de gestion de contenu, de formation en ligne ou d’abonnement suivent la même logique.

Une situation particulière : l’extension qui exige un accès administrateur.

Certaines extensions, notamment des outils de gestion avancée ou des interfaces de configuration complexes, n’exposent leurs réglages qu’aux administrateurs. Elles ne prévoient pas de capacité intermédiaire qui permettrait à un éditeur ou à un gestionnaire d’y accéder.

Dans ce cas, vous pouvez vous retrouver dans une position inconfortable : soit vous donnez un rôle Administrateur à quelqu’un qui n’en aurait pas besoin autrement, soit cette personne ne peut pas accéder à ce dont elle a besoin. Ce n’est pas une erreur de votre part, c’est une limite de conception de l’extension. Si vous êtes dans cette situation, il peut être utile de contacter le support de l’extension pour savoir si une capacité spécifique peut être accordée autrement. Vous pouvez aussi envisager une extension de gestion fine des rôles, ou vérifier si une alternative plus souple existe.

Aller plus loin : personnaliser les rôles

Il est possible de créer des rôles sur mesure dans WordPress, ou de modifier les capacités d’un rôle existant. Des extensions comme Members ou User Role Editor proposent une interface pour le faire sans écrire de code.

Ces outils sont puissants, mais ils demandent une bonne compréhension du système de capacités de WordPress. Une mauvaise manipulation peut retirer des droits nécessaires à certains utilisateurs, rendre des sections de l’administration inaccessibles, ou au contraire accorder des permissions trop larges sans s’en rendre compte.

➔ Si vous n’avez pas un besoin clairement identifié, les rôles natifs suffisent dans la grande majorité des cas.

Tester l’expérience d’un autre rôle avec User Switching

Quand vous gérez un site avec plusieurs profils d’utilisateurs, il peut être utile de voir l’interface telle qu’elle apparaît à un éditeur, un auteur ou un abonné. Créer un compte de test et s’y connecter manuellement à chaque fois est fastidieux.

L’extension User Switching (par John Blackbourn) résout ce problème. Elle permet de basculer instantanément vers n’importe quel compte utilisateur, directement depuis la liste des utilisateurs, sans avoir à saisir de mot de passe. Un lien « Revenir à mon compte » vous ramène à votre session d’administrateur en un clic.

C’est un outil pratique pour vérifier ce qu’un utilisateur voit réellement, tester les restrictions d’accès d’un rôle, ou diagnostiquer un problème lié aux permissions. Il est réservé aux administrateurs et ne laisse aucune trace de connexion dans les journaux de la session de l’utilisateur cible.

Réinitialiser les rôles avec WP-CLI

Dans certaines situations, les rôles et les capacités enregistrés en base de données peuvent se retrouver dans un état incohérent : après la désinstallation d’une extension qui avait modifié les rôles natifs, après une migration, ou suite à une manipulation involontaire. Des utilisateurs peuvent alors se retrouver avec des permissions incorrectes, ou l’accès à certaines sections de l’administration peut se comporter de manière inattendue.

WP-CLI permet de remettre les rôles natifs de WordPress dans leur état d’origine en une seule commande :

wp role reset --all

wp role reset --all

Cette commande réinitialise uniquement les cinq rôles natifs (Administrateur, Éditeur, Auteur, Contributeur, Abonné). Elle ne touche pas aux rôles créés par des extensions comme WooCommerce.

Si vous souhaitez réinitialiser un seul rôle, vous pouvez préciser son identifiant :

wp role reset editor

wp role reset editor

Pour rappel, les identifiants des rôles natifs sont : administrator, editor, author, contributor, subscriber.

Pour exécuter ces commandes, connectez-vous en SSH à votre hébergement et placez-vous à la racine de votre installation WordPress. Si vous n’êtes pas à l’aise avec le terminal, o2switch propose également un accès SSH via le navigateur depuis votre cPanel, sans installation préalable. Pour aller plus loin avec WP-CLI, l’article WP-CLI et la ligne de commande pour WordPress vous donnera les bases nécessaires.

Les rôles et la sécurité du site

Le système de rôles est l’un des premiers remparts contre les erreurs humaines et les accès non autorisés. Un utilisateur qui ne peut pas installer d’extension ne peut pas, par accident ou par malveillance, introduire un code problématique sur votre site.

C’est pourquoi la gestion des rôles fait partie intégrante de la sécurité d’un site WordPress. L’article Sécurité web : ce que protège votre hébergeur et ce que vous devez protéger vous-même aborde cette question dans un cadre plus large, en distinguant ce qui relève de l’hébergement et ce qui dépend de votre administration WordPress.

De même, si vous êtes en train de reprendre un site après un changement de prestataire, l’article Changer de prestataire WordPress : quels accès récupérer avant de partir ? vous guidera sur les vérifications à faire, notamment sur les comptes utilisateurs existants.

➔ Un rôle mal attribué peut être à l’origine de problèmes de sécurité évitables.

À retenir

WordPress propose cinq rôles natifs : Abonné, Contributeur, Auteur, Éditeur et Administrateur, plus la valeur Aucun rôle qui permet aussi de neutraliser temporairement un compte sans le supprimer.
Chaque rôle correspond à un ensemble de capacités précises, du plus restreint au plus large.
Le rôle Administrateur doit rester limité aux personnes qui en ont réellement besoin.
Certaines extensions ajoutent leurs propres rôles : WooCommerce en est l’exemple le plus courant.
Certaines extensions peuvent contraindre à donner un accès Administrateur : ce n’est pas une erreur de votre part, c’est une limite de l’extension.
La personnalisation des rôles est possible, mais elle demande de la prudence.
L’extension User Switching permet de tester facilement l’expérience de n’importe quel rôle sans changer de compte.
En cas de rôles corrompus ou incohérents, WP-CLI permet de les réinitialiser proprement avec wp role reset --all.

Éric Martin

Spécialiste WordPress indépendant, j’aide les entreprises et les créateurs de sites à concevoir, maintenir et faire évoluer leurs projets web. Passionné par la transmission et les bonnes pratiques du web, je partage sur le blog o2switch des conseils concrets pour un WordPress plus fluide, plus clair et plus durable.