123Website Logo

Quản lý người dùng WordPress: Tạo user, phân quyền, roles & bảo mật tài khoản

Category: wordpressUpdated: 20/1/2026
wordpressusersrolespermissionssecurityadmin

TL;DR (làm nhanh theo thứ tự)

  • Tạo user mới: Thành viên → Thêm mới → nhập username, email, password, chọn Vai trò
  • Phân quyền: Administrator (toàn quyền), Editor (quản lý nội dung), Author (tự đăng bài), Contributor (draft), Subscriber (chỉ đọc)
  • Quản lý: Edit profile, đổi password, xóa hoặc bulk actions cho nhiều users
  • Bảo mật: Strong password, limit login attempts, 2FA (nếu có plugin)

Mục tiêu

Quản lý users hiệu quả, phân quyền đúng, đảm bảo bảo mật và dễ kiểm soát.

Thời gian

5–10 phút để tạo và cấu hình 1 user mới.

Chuẩn bị

Danh sách users cần tạo, email hợp lệ, quyết định role cho từng user.

1) Hiểu về WordPress Roles và Permissions

WordPress có 5 roles mặc định, mỗi role có quyền hạn khác nhau:

Quyền hạn của từng Role

  • 01

    Administrator

    Toàn quyền: Quản lý users, plugins, themes, cài đặt, xóa bất kỳ thứ gì. Chỉ nên có 1–2 Administrator.

  • 02

    Editor

    Quản lý nội dung: Xuất bản, chỉnh sửa, xóa bài viết của mọi người, quản lý categories/tags, không được cài plugin hoặc đổi theme.

  • 03

    Author

    Tự quản lý bài viết: Chỉ xuất bản, chỉnh sửa, xóa bài viết của chính mình. Không quản lý được bài của người khác.

  • 04

    Contributor

    Viết draft: Viết và chỉnh sửa bài viết nhưng không xuất bản được, phải gửi Editor/Admin duyệt.

  • 05

    Subscriber

    Chỉ đọc: Chỉ có thể đăng nhập và xem nội dung, không thể tạo hoặc chỉnh sửa gì.

Khi nào dùng Role nào?

Khuyến nghị
  • Administrator: Chỉ chủ website hoặc người quản lý kỹ thuật. Không nên tạo quá nhiều.
  • Editor: Người quản lý nội dung, có thể duyệt bài của nhiều tác giả.
  • Author: Blogger, content writer tự chủ hoàn toàn bài viết của mình.
  • Contributor: Guest writer, cộng tác viên chưa đủ tin cậy để tự publish.
  • Subscriber: Khách hàng đăng ký newsletter, thành viên cần đăng nhập để xem nội dung premium.

2) Tạo user mới

  1. 1

    Bước 1: Truy cập Thành viên → Thêm mới

    Từ Bảng tin WordPress, vào Thành viênThêm mới hoặc click + Tạo mớiThành viên ở menu trên.

  2. 2

    Bước 2: Điền thông tin cơ bản

    Nhập các thông tin bắt buộc:

    • Username: Tên đăng nhập (không đổi được sau này)
    • Email: Email hợp lệ (dùng để reset password)
    • First Name / Last Name: Tên hiển thị (optional)
  3. 3

    Bước 3: Đặt mật khẩu

    Click Show password → WordPress tự generate mật khẩu mạnh.
    Bạn có thể đổi thành mật khẩu khác hoặc để WordPress tự tạo (sẽ gửi email cho user).

  4. 4

    Bước 4: Chọn Role

    Trong dropdown Role, chọn role phù hợp với quyền hạn cần thiết (xem phần 1).

  5. 5

    Bước 5: Lưu

    Click Thêm thành viên mới. User mới sẽ nhận email thông báo nếu bạn tick "Gửi cho thành viên mới email về tài khoản của họ".

Mẹo tạo nhiều users nhanh

Nếu cần tạo nhiều users cùng lúc, dùng plugin Import Users from CSV hoặc Ultimate Member.
Hoặc export danh sách users hiện có → chỉnh sửa → import lại (cẩn thận với duplicates).

Nên làm

Những điểm nên ưu tiên để UI gọn và dễ bảo trì.

  • Đặt username khác email (tránh dễ đoán)
  • Dùng mật khẩu mạnh (WordPress sẽ cảnh báo nếu yếu)
  • Chỉ cho role tối thiểu cần thiết (principle of least privilege)
  • Gửi email thông báo để user biết tài khoản đã được tạo

Không nên

Tránh các cách fix nhanh gây khó bảo trì hoặc lỗi responsive.

  • Tạo quá nhiều Administrator (chỉ cần 1–2 người)
  • Dùng username dễ đoán như 'admin', 'administrator'
  • Cho Contributor quyền Editor 'tạm thời' (nên tạo role mới nếu cần)
  • Để user không có role (sẽ không đăng nhập được)

3) Quản lý và chỉnh sửa user

  1. 1

    Bước 1: Xem danh sách users

    Vào UsersAll Users để xem tất cả users, filter theo role, hoặc search theo tên/email.

  2. 2

    Bước 2: Chỉnh sửa profile

    Hover vào user → click Edit (hoặc click vào username).
    Tại đây bạn có thể:

    • Đổi email, tên hiển thị
    • Đổi password (có thể bắt buộc user đổi password khi đăng nhập lại)
    • Thay đổi role
    • Vô hiệu hóa tài khoản (cần plugin)
  3. 3

    Bước 3: Bulk actions

    Tick checkbox bên trái để chọn nhiều users → chọn action từ dropdown Bulk Actions:

    • Change role to...: Đổi role hàng loạt
    • Delete: Xóa users (cẩn thận!)

Lưu ý khi xóa user

Khi xóa user, WordPress hỏi bạn muốn:

  • Delete all content: Xóa tất cả bài viết/bình luận của user đó (không khôi phục được!)
  • Attribute all content to: Chuyển tất cả nội dung sang user khác (thường chọn Administrator)

Nên chọn Attribute all content to để không mất nội dung.

4) Đổi mật khẩu và bảo mật

  1. 1

    Bước 1: Reset password cho user khác

    Vào Users → click Edit user → scroll xuống Account Management → click Generate Password.
    Gửi mật khẩu mới cho user qua email hoặc kênh an toàn.

  2. 2

    Bước 2: User tự đổi password

    User đăng nhập → ProfileAccount ManagementSet New Password.
    Hoặc dùng Lost your password? ở trang đăng nhập (yêu cầu email).

  3. 3

    Bước 3: Bắt buộc đổi password

    Plugin như Force Password Change cho phép bạn bắt buộc user đổi password sau lần đăng nhập đầu tiên hoặc định kỳ.

Security checklist cho user accounts

Kiểm tra định kỳ

  • Không có user nào dùng username 'admin' hoặc dễ đoán
    Quan trọng
  • Mật khẩu mạnh (WordPress sẽ cảnh báo nếu yếu)
  • Email hợp lệ và đã xác nhận (để reset password)
  • Không có Administrator nào không còn làm việc
  • Users không hoạt động (không đăng nhập > 6 tháng) nên xóa hoặc vô hiệu hóa
  • Đã cài plugin giới hạn số lần đăng nhập sai (VD: Limit Login Attempts)

5) Tạo custom roles (nâng cao)

Nếu roles mặc định không đủ, bạn có thể tạo roles tùy chỉnh:

  1. 1

    Bước 1: Cài plugin

    Cài plugin User Role Editor hoặc Members để quản lý roles chi tiết hơn.

  2. 2

    Bước 2: Tạo role mới

    Vào UsersUser Role EditorAdd Role.
    Đặt tên (VD: "Content Manager"), chọn base role (VD: Editor), sau đó tick/un tick các quyền cụ thể.

  3. 3

    Bước 3: Gán role cho users

    Chỉnh sửa user → chọn role mới từ dropdown Role.

Ví dụ custom role phổ biến

  • Shop Manager (cho WooCommerce): Quản lý đơn hàng, sản phẩm, không được cài plugin
  • SEO Manager: Chỉnh sửa Yoast SEO settings, không được đổi theme
  • Support Agent: Chỉ xem và reply bình luận, không được publish bài

6) Giới hạn đăng nhập và 2FA

Trước (không an toàn)

  • Không giới hạn số lần đăng nhập sai
  • Chỉ dùng mật khẩu để bảo vệ
  • Không có cảnh báo khi có đăng nhập từ IP lạ

Sau (an toàn)

  • Giới hạn 5 lần đăng nhập sai → khóa tài khoản 15 phút
  • Bật 2FA (Two-Factor Authentication) cho Administrator
  • Cảnh báo email khi có đăng nhập từ địa chỉ IP mới
  1. 1

    Bước 1: Cài plugin bảo mật

    Cài Wordfence Security hoặc iThemes Security để có tính năng:

    • Limit login attempts
    • 2FA
    • Login alerts
  2. 2

    Bước 2: Cấu hình 2FA

    Vào WordfenceLogin SecurityTwo-Factor Authentication.
    Bật 2FA cho role Administrator (hoặc tất cả users nếu cần).

  3. 3

    Bước 3: Users kích hoạt 2FA

    User đăng nhập → ProfileTwo-Factor Authentication → scan QR code bằng app Authenticator (Google Authenticator, Authy).

Có nên bật 2FA cho tất cả users?

Trung tính

Bật 2FA cho Administrator và Editor là bắt buộc vì họ có quyền cao.
Với Author, Contributor, Subscriber, có thể không cần (tùy mức độ nhạy cảm của website).

7) Xóa và vô hiệu hóa user

Khi nào xóa, khi nào vô hiệu hóa?

  • 01

    Xóa user

    Khi user không còn làm việc và bạn chắc chắn không cần giữ tài khoản.
    Nhớ Attribute all content to user khác trước khi xóa!

  • 02

    Vô hiệu hóa user

    Khi user tạm thời không hoạt động (nghỉ phép, thử việc) nhưng có thể quay lại.
    Cần plugin như Disable Users hoặc User Switching.

  1. 1

    Bước 1: Backup dữ liệu

    Trước khi xóa, đảm bảo đã sao lưu database (đặc biệt nếu user có nhiều nội dung).

  2. 2

    Bước 2: Attribute content

    Chọn Attribute all content to một Administrator hoặc Editor khác để giữ lại nội dung.

  3. 3

    Bước 3: Xóa user

    Click Delete → xác nhận. User sẽ bị xóa vĩnh viễn (không khôi phục được).

Câu hỏi thường gặp

Làm sao để biết user nào đang đăng nhập?

Cài plugin WP User Activity hoặc Activity Log để theo dõi:

  • User nào đăng nhập, khi nào, từ IP nào
  • User nào chỉnh sửa gì, khi nào
User quên mật khẩu, làm sao reset?

User click Lost your password? ở trang đăng nhập → nhập username/email → kiểm tra email để reset.
Nếu không nhận email, kiểm tra spam hoặc cấu hình email trong WordPress.

Có thể đổi username sau khi tạo không?

Không thể đổi username trực tiếp trong WordPress. Phải dùng plugin Username Changer hoặc chỉnh sửa database (không khuyến nghị).

Làm sao để user không thể tự đăng ký?

Vào SettingsGeneral → bỏ tick Anyone can register.
Nếu cần, dùng plugin User Registration để kiểm soát quy trình đăng ký tốt hơn.

Subscriber role dùng để làm gì?

Subscriber thường dùng cho:

  • Members cần đăng nhập để xem nội dung premium (cần plugin như MemberPress)
  • Khách hàng đăng ký newsletter
  • Users chỉ cần quản lý profile, không cần quyền chỉnh sửa
Có thể tạo user không cần email không?

Email là bắt buộc trong WordPress. Nếu không có email thật, dùng email tạm nhưng nhớ sẽ không reset password được.

Bài viết này có hữu ích không?

Bài viết liên quan

Bảo mật WordPress cơ bản: Bảo vệ website khỏi hack, mã độc & tấn công

<TLDR title="TL;DR (làm nhanh theo thứ tự)"> - Đổi username mặc định "admin" → tạo user mới, xóa admin cũ - Cài security plugin (Wordfence/iThemes Se...

wordpresssecuritybao-mat

Hướng dẫn WordPress

# Hướng dẫn WordPress Chào mừng bạn đến với phần hướng dẫn về WordPress - hệ thống quản trị nội dung phổ biến nhất thế giới. ## Tổng quan WordPres...

wordpresscmswebsite

Cài đặt và quản lý Plugin

# Cài đặt và quản lý Plugin Plugin giúp mở rộng chức năng của WordPress mà không cần chỉnh sửa code. ## Cài đặt Plugin ### Từ WordPress Repository...

wordpresspluginextension

Quản lý bài viết trên WordPress: Tạo, chỉnh sửa, categories, tags, định dạng & xuất bản

<TLDR title="TL;DR (làm nhanh theo thứ tự)"> - Tạo bài mới: Bài viết → Viết bài mới → nhập title, content, chọn category/tags - Định dạng: dùng block...

getting-startedwordpressposts