WordPress后台权限分级：帮客户避过的那些坑

上周有个客户急得直拍桌子：“运营手滑把我刚上架的新品删了！”一查后台角色，好家伙，给了运营“管理员”权限——这意味着他能删页面、改设置，甚至清空数据库。

新手建站常犯的错是“权限一刀切”：要么全给管理员，要么全给编辑。但其实WordPress的角色权限很灵活，比如“编辑者”只能改文章，“作者”只能发自己的内容，“客服”只能回复评论。

帮这个客户调整后，运营只有“编辑者”权限（不能删产品页），财务用“作者”权限（只能看订单），客服用“订阅者”权限（只能回复留言）。上周运营又手滑，这次只是改错了产品价格，没删页面——虚惊一场。

还有个隐藏风险：插件权限。有些插件会偷偷申请“修改主题文件”“访问数据库”的权限，安装时一定要看清楚！之前有个客户装了个“免费统计插件”，结果它偷偷读取了用户信息，被Google警告了——现在我都让客户用“Health Check”工具检测插件权限，别信“小插件没风险”。

对了，定期改后台密码！之前有个客户的账号被黑，黑客改了产品价格，导致亏了一万多。现在他每个月改一次密码，还开了双重验证——安全这事儿，真不能省😤。