Редактор может создать любого нового пользователя кроме администратора

36

Я создал сайт WordPress для клиента. Клиент имеет роль редактора, однако я установил плагин Members и дал клиенту возможность добавлять новых пользователей в WP Admin. Это работает просто отлично.

Вопрос, который у меня возникает, заключается в том, что я хотел бы, чтобы у клиента была возможность создавать нового пользователя, как с ролями «Автор», «Подписчик», «Редактор» и «Автор», но НЕ «Администратор». Новые пользователи, создаваемые клиентом, не должны иметь роль администратора. Можно ли как-то скрыть эту опцию?

Спасибо ваю

users capabilities user-roles plugin-members Ваю
источник
2
Пожалуйста, свяжите плагин, который вы используете, у меня были проблемы, чтобы выяснить, на какой вы ссылаетесь.
Хакре

Ответы:

39

Это на самом деле довольно легко. Вам нужно отфильтровать map_meta_capsи запретить редакторам создавать / редактировать администраторов, а также удалить роль администратора из массива «редактируемые роли». Этот класс, как плагин или в файле functions.php вашей темы, сделает это:

class JPB_User_Caps {

  // Add our filters
  function __construct(){
    add_filter( 'editable_roles', array($this, 'editable_roles'));
    add_filter( 'map_meta_cap', array($this, 'map_meta_cap'), 10, 4);
  }

  // Remove 'Administrator' from the list of roles if the current user is not an admin
  function editable_roles( $roles ){
    if( isset( $roles['administrator'] ) && !current_user_can('administrator') ){
      unset( $roles['administrator']);
    }
    return $roles;
  }

  // If someone is trying to edit or delete and admin and that user isn't an admin, don't allow it
  function map_meta_cap( $caps, $cap, $user_id, $args ){

    switch( $cap ){
        case 'edit_user':
        case 'remove_user':
        case 'promote_user':
            if( isset($args[0]) && $args[0] == $user_id )
                break;
            elseif( !isset($args[0]) )
                $caps[] = 'do_not_allow';
            $other = new WP_User( absint($args[0]) );
            if( $other->has_cap( 'administrator' ) ){
                if(!current_user_can('administrator')){
                    $caps[] = 'do_not_allow';
                }
            }
            break;
        case 'delete_user':
        case 'delete_users':
            if( !isset($args[0]) )
                break;
            $other = new WP_User( absint($args[0]) );
            if( $other->has_cap( 'administrator' ) ){
                if(!current_user_can('administrator')){
                    $caps[] = 'do_not_allow';
                }
            }
            break;
        default:
            break;
    }
    return $caps;
  }

}

$jpb_user_caps = new JPB_User_Caps();

РЕДАКТИРОВАТЬ

Итак, я посмотрел, почему это позволяет удалению пользователей ускользать. Похоже, что delete_user обрабатывается немного иначе, чем edit_user; Я изменил метод map_meta_cap, чтобы обойти это. Я протестировал на 3.0.3, и это не позволит никому, кроме администраторов, фактически удалять, редактировать или создавать администратора.

РЕДАКТИРОВАТЬ 2

Я обновил код, чтобы отразить ответ @ bugnumber9 ниже. Пожалуйста, иди дать этот ответ upvote!

Джон П Блох
источник
Может ли кто-нибудь проверить, что этот код не позволяет другим удалять администраторов? Я не могу воспроизвести это поведение. Это не позволяет им редактировать, но ссылка «удалить» все еще появляется, и WP позволяет пользователю выполнить удаление ...
соматический
@somatic - вы были на месте. Спасибо что подметил это. Проблема исправлена.
Джон П Блох
Я должен сделать это также, но не уверен, где я положил этот код! В functions.php? Если нет, то как это можно сделать для работы с functions.php? лучший, Dc
v3nt
@daniel прочитайте первый абзац.
Джон П Блох
1
Отлично сработало в 3.4.1, спасибо! Обязательно добавьте возможности для create_users, delete_users, add_users, remove_users, edit_users, list_users и promo_users
Джон Рааш
8

Несмотря на то, что ей ~ 7 лет, эту ветку легко найти, и она по-прежнему является рабочим решением. Я имею в виду код, предоставленный @John P Bloch.

Тем не менее, в PHP 7 он производит некритическую ошибку (PHP устарел) следующим образом:

PHP устарел: методы с тем же именем, что и их класс, не будут конструкторами в будущей версии PHP; JPB_User_Caps имеет устаревший конструктор в ...

Чтобы это исправить, просто замените этот кусок:

// Add our filters
  function JPB_User_Caps(){
    add_filter( 'editable_roles', array(&$this, 'editable_roles'));
    add_filter( 'map_meta_cap', array(&$this, 'map_meta_cap'),10,4);
  }

с этим:

// Add our filters
  function __construct() {
    add_filter( 'editable_roles', array(&$this, 'editable_roles') );
    add_filter( 'map_meta_cap', array(&$this, 'map_meta_cap'), 10, 4 );
  }

Это решит проблему.

bugnumber9
источник
1
Спасибо Спасибо спасибо. Я ценю приверженность качеству кода и обновил свой ответ, чтобы случайные гуглеры также получили памятку. Ты жжешь!
Джон П Блох
3

Я искал решение, где Редактор мог бы редактировать только меню И создавать / редактировать пользователей без использования плагина. Так что я сделал это для тех, кто заинтересован.

// Customizes 'Editor' role to have the ability to modify menus, add new users
// and more.
class Custom_Admin {
    // Add our filters
    public function __construct(){
        // Allow editor to edit theme options (ie Menu)
        add_action('init', array($this, 'init'));
        add_filter('editable_roles', array($this, 'editable_roles'));
        add_filter('map_meta_cap', array($this, 'map_meta_cap'), 10, 4);
    }

    public function init() {
        if ($this->is_client_admin()) {
            // Disable access to the theme/widget pages if not admin
            add_action('admin_head', array($this, 'modify_menus'));
            add_action('load-themes.php', array($this, 'wp_die'));
            add_action('load-widgets.php', array($this, 'wp_die'));
            add_action('load-customize.php', array($this, 'wp_die'));

            add_filter('user_has_cap', array($this, 'user_has_cap'));
        }
    }

    public function wp_die() {
        _default_wp_die_handler(__('You do not have sufficient permissions to access this page.'));
    }

    public function modify_menus() 
    {
        remove_submenu_page( 'themes.php', 'themes.php' ); // hide the theme selection submenu
        remove_submenu_page( 'themes.php', 'widgets.php' ); // hide the widgets submenu

        // Appearance Menu
        global $menu;
        global $submenu;
        if (isset($menu[60][0])) {
            $menu[60][0] = "Menus"; // Rename Appearance to Menus
        }
        unset($submenu['themes.php'][6]); // Customize
    }

    // Remove 'Administrator' from the list of roles if the current user is not an admin
    public function editable_roles( $roles ){
        if( isset( $roles['administrator'] ) && !current_user_can('administrator') ){
            unset( $roles['administrator']);
        }
        return $roles;
    }

    public function user_has_cap( $caps ){
        $caps['list_users'] = true;
        $caps['create_users'] = true;

        $caps['edit_users'] = true;
        $caps['promote_users'] = true;

        $caps['delete_users'] = true;
        $caps['remove_users'] = true;

        $caps['edit_theme_options'] = true;
        return $caps;
    }

    // If someone is trying to edit or delete and admin and that user isn't an admin, don't allow it
    public function map_meta_cap( $caps, $cap, $user_id, $args ){
        // $args[0] == other_user_id
        foreach($caps as $key => $capability)
        {
            switch ($cap)
            {
                case 'edit_user':
                case 'remove_user':
                case 'promote_user':
                    if(isset($args[0]) && $args[0] == $user_id) {
                        break;
                    }
                    else if(!isset($args[0])) {
                        $caps[] = 'do_not_allow';
                    }
                    // Do not allow non-admin to edit admin
                    $other = new WP_User( absint($args[0]) );
                    if( $other->has_cap( 'administrator' ) ){
                        if(!current_user_can('administrator')){
                            $caps[] = 'do_not_allow';
                        }
                    }
                    break;
                case 'delete_user':
                case 'delete_users':
                    if( !isset($args[0])) {
                        break;
                    }
                    // Do not allow non-admin to delete admin
                    $other = new WP_User(absint($args[0]));
                    if( $other->has_cap( 'administrator' ) ){
                        if(!current_user_can('administrator')){
                            $caps[] = 'do_not_allow';
                        }
                    }
                    break;
                break;
            }
        }
        return $caps;
    }

    // If current user is called admin or administrative and is an editor
    protected function is_client_admin() {
        $current_user = wp_get_current_user();
        $is_editor = isset($current_user->caps['editor']) ? $current_user->caps['editor'] : false;
        return ($is_editor);
    }
}
new Custom_Admin();
SilbinaryWolf
источник
1

@John P Решение Blochs по-прежнему работает отлично, но я подумал, что добавлю свой маленький фильтр и для map_meta_cap. Просто немного короче и чище, по крайней мере для моих глаз;)

function my_map_meta_cap( $caps, $cap, $user_id, $args ) {
  $check_caps = [
    'edit_user',
    'remove_user',
    'promote_user',
    'delete_user',
    'delete_users'
  ];
  if( !in_array( $cap, $check_caps ) || current_user_can('administrator') ) {
    return $caps;
  }
  $other = get_user_by( 'id', $args[0] ?? false ); // PHP 7 check for variable in $args... 
  if( $other && $other->has_cap('administrator') ) {
    $caps[] = 'do_not_allow';
  }
  return $caps;
}
add_filter('map_meta_cap', 'my_map_meta_cap', 10, 4 );
rassoh
источник