FALLO: acceso al editor del sitio disponible para roles sin permisos

Explico mi problema… no nos funcionaba la acción de “verificación del correo electrónico” en el formulario de registro y, ahora, nos hemos dado cuenta de que posiblemente es un error que venía de las restricciones y permisos que tenía el usuario (por su rol). Con esto es que hemos habilitado que los usuarios recién registrados (rol: suscriptor) tengan permisos para “editar usuarios”, pero manteniendo los ajustes de “read”; es decir, sin darle acceso al “dashboard (lo hemos hecho con el plugin de “WPFront User Role Editor”). De esta manera, ahora ya funciona la verificación del correo. Entonces NUESTRO PROBLEMA es… desde que le hemos dado este permiso a los usuarios para poder “editar usuarios”, les aparece un acceso al panel de edición de WordPress en el margen superior. Y no solo eso, los nuevos usuarios tienen además acceso a los ajustes generales y la mayoría de apartados, por lo que podrían hasta “eliminar el sitio permanentemente”, pero yo no les he dado este tipo de permisos.

Además… tengo dos roles creados, el de “suscriptor” y el de “rol_verificado” (una copia del “customer” por defecto). Concretamente, cuando un usuario se registra lo hace como suscriptor y, junto a la acción de verificación, hemos a?adido una automatización para que se conviertan en “rol_verificado”. Con esto quiero decir que, extra?amente, no son solo los roles suscriptores quienes tienen acceso a estos apartados, sino que los usuarios verificados también (los cuales ni siquiera tienen el permiso mencionado de “editar usuarios”). Este es un usuario de “cliente” por defecto!

La barra del margen superior con el acceso a la edición de WordPress a la que me refiero es la que muestro en la siguiente captura de pantalla…

PD: comparto una imagen con el plugin (WPFront User Role Editor) y con el permiso (editar usuarios) mencionado en la explicación, marcados en rojo… este permiso (editar usuarios) es el que he activado en los usuarios con “rol: suscriptor”. La captura anterior de la página publicada, en cambio, es de un usuario con el “rol verificado” (es decir, con un rol de cliente, sin permisos adicionales)

A qué creen que se puede deber esto y cómo podría arreglarlo?