En realidad es bastante fácil. Debe filtrar en map_meta_caps
y evitar que los editores creen / editen administradores, y eliminar la función de administrador de la matriz de "funciones editables". Esta clase, como complemento o en el archivo functions.php de tu tema, lo haría:
class JPB_User_Caps {
// Add our filters
function __construct(){
add_filter( 'editable_roles', array($this, 'editable_roles'));
add_filter( 'map_meta_cap', array($this, 'map_meta_cap'), 10, 4);
}
// Remove 'Administrator' from the list of roles if the current user is not an admin
function editable_roles( $roles ){
if( isset( $roles['administrator'] ) && !current_user_can('administrator') ){
unset( $roles['administrator']);
}
return $roles;
}
// If someone is trying to edit or delete and admin and that user isn't an admin, don't allow it
function map_meta_cap( $caps, $cap, $user_id, $args ){
switch( $cap ){
case 'edit_user':
case 'remove_user':
case 'promote_user':
if( isset($args[0]) && $args[0] == $user_id )
break;
elseif( !isset($args[0]) )
$caps[] = 'do_not_allow';
$other = new WP_User( absint($args[0]) );
if( $other->has_cap( 'administrator' ) ){
if(!current_user_can('administrator')){
$caps[] = 'do_not_allow';
}
}
break;
case 'delete_user':
case 'delete_users':
if( !isset($args[0]) )
break;
$other = new WP_User( absint($args[0]) );
if( $other->has_cap( 'administrator' ) ){
if(!current_user_can('administrator')){
$caps[] = 'do_not_allow';
}
}
break;
default:
break;
}
return $caps;
}
}
$jpb_user_caps = new JPB_User_Caps();
EDITAR
Ok, así que eché un vistazo a por qué estaba dejando pasar la eliminación del usuario. Parece que delete_user se maneja de forma ligeramente diferente a edit_user; He modificado el método map_meta_cap para solucionar esto. He probado la versión 3.0.3 y esto evitará que nadie, excepto los administradores, elimine, edite o cree un administrador.
EDIT 2
Actualicé el código para reflejar la respuesta de @ bugnumber9 a continuación. ¡Por favor, dale un voto a esa respuesta!