WordPress-Rollen, Benutzer und Berechtigungen – was Sie beachten sollten

Wie die allermeisten CMS-Systeme bietet WordPress die Möglichkeit, verschiedene Benutzer anzulegen und ihnen per Zuordnung einer Rolle spezifische Berechtigungen einzuräumen. So ist es möglich, jedem Benutzer einerseits Zugang zu den für ihn sinnvollen Funktionen zu ermöglichen und andererseits seine Rechte so zu beschränken, dass Sicherheitsrisiken und die Gefahr von Fehlbedienungen minimiert werden. In diesem Artikel erfahren Sie, was Sie dabei beachten sollten.

WordPress-Rollen: Benutzer anlegen 

Einen neuen Benutzer können Sie im Backend in der WordPress-Benutzerverwaltung unter dem Navigationspunkt „Benutzer“ hinzufügen.  

Beim Ausfüllen der Maske sind einige sicherheitsrelevante Aspekte zu beachten. Denn eine der effektivsten Möglichkeiten, die WordPress-Sicherheit zu verbessern, ist die Verwendung intelligenter Benutzernamen und starker Passwörter. 

In der WordPress-Benutzerverwaltung einen neuen Benutzer anlegen

Benutzername 

Wählen Sie einen Benutzernamen, der nicht aus dem Klarnamen des Benutzers erschlossen werden kann. Für Hacker ist der Benutzername der erste Schritt zum Ziel – ist er bekannt, muss nur noch das Passwort geknackt werden.  

💡 Unser Tipp: Um die WordPress-Sicherheit zu erhöhen, sollten Benutzernamen grundsätzlich nicht frei ersichtlich sein – weder über die Signatur von Beiträgen (siehe auch den übernächsten Abschnitt zu Vor- und Nachname), noch über die Abfrage /?author=1, 2, 3 etc. Hier hilft das WordPress-Plugin Edit Author Slug, mit dem die sogenannte author base geändert und der dort hinterlegte Benutzername durch ein beliebiges Wort ersetzt werden kann. 

E-Mail-Adresse 

Die hier hinterlegte E-Mail-Adresse nutzt WordPress, um dem neuen Benutzer das Passwort und den Login zu schicken. Achtung: In einer WordPress-Installation kann eine E-Mail-Adresse nur ein einziges Mal verwendet werden. Wenn Sie sich als Administrator ein zusätzliches Redakteur-Konto anlegen wollen (siehe Abschnitt „Administrator“), benötigen Sie dazu also eine zweite E-Mail-Adresse.  

Vor- und Nachname 

Pflichtfelder für die Anlage eines Benutzers sind nur Benutzername, E-Mail und Passwort. Trotzdem sollten Sie Vor- und Nachname des Benutzers angeben, da sonst unter seinen Beiträgen der Benutzername angezeigt wird. Hacker könnten diesen dann für Login-Versuche nutzen. Falls der Benutzer seine Beiträge nicht mit Klarnamen signiert haben möchte, können Sie in seinem Profil einen Spitznamen eintragen (siehe unten Abschnitt „Benutzer bearbeiten“), der dann bei seinen Beiträgen anstelle des Klarnamens angezeigt wird. 

Website 

Dieses Feld ist kein Pflichtfeld und auch nicht relevant für die WordPress-Sicherheit. Für Autoren mit einer eigenen Website oder Gastautoren bietet es aber die Möglichkeit, Verlinkungen auf die eigene Seite zu erzeugen.  

Passwort 

WordPress generiert automatisch ein starkes Passwort und schickt es dem neuen Benutzer an die hinterlegte E-Mail-Adresse. Beim ersten Login wird er dann aufgefordert, es zu ändern.  

Wichtig: Unterstützen Sie Ihre Benutzer bei der Passwortwahl. In einem separaten Beitrag gehen wir ausführlicher auf das Thema „Sichere Passwörter“ ein. 

Benutzer bearbeiten 

Als WordPress-Administrator können Sie jederzeit Änderungen an einem Benutzerprofil vornehmen. In der WordPress-Benutzerverwaltung wählen Sie dazu unter dem Benutzernamen den Eintrag „Bearbeiten“. In der entsprechenden Maske können Sie nun beispielsweise Klarnamen ergänzen oder ändern, Social-Media-Adressen eintragen oder die Rolle und das Passwort ändern. Auch einen Spitznamen können Sie hier eintragen. 

Profileinstellungen eines Benutzers

Das Einzige, was in der WordPress-Benutzerverwaltung nicht geändert werden kann – und auch nirgendwo sonst im Backend – ist der Benutzername. Der einfachste Weg zu einem neuen Benutzernamen ist daher die Anlage eines neuen Kontos. Das gilt insbesondere auch für den Administrator.  

Die WordPress-Rollen und ihre Berechtigungen  

Die wichtigste Frage bei der Benutzerverwaltung lautet: Wer benötigt welche Funktionen und Rechte für seine Aufgaben? WordPress bietet fünf vordefinierte Benutzerrollen: Administrator, Redakteur, Autor, Mitarbeiter und Abonnent. Damit lassen sich auch komplizierte Aufgabenverteilungen gut abdecken.  Vergeben Sie im Zweifel erst einmal weniger Berechtigungen – sollten Probleme auftreten, können Sie die Benutzerrolle mit wenigen Mausklicks ändern.  

Administrator  

Der Administrator hat alle Berechtigungen für die Website und die vollständige Kontrolle über Inhalte, Einstellungen, Themes, Plugins, Impressum etc. Er kann jederzeit neue Benutzer anlegen oder löschen – auch andere Administratoren. 

Die Zuteilung einer Administratoren-Rolle sollte also gut überlegt sein, denn sie ist ein Freifahrtschein für jegliche Änderung und für Manipulationen. Zu empfehlen ist, für jede Website möglichst nur eine Administratoren-Rolle zu vergeben und diese auch nur für administrative Arbeiten zu nutzen.  

Ein Sonderfall ist der Super Administrator. Diese Rolle steht jedoch nur zur Verfügung, wenn WordPress als Multisite-System konfiguriert ist. Der Super Administrator hat dann alle Rechte zu sämtlichen Websites des Systems. 

💡 Unser Tipp: Für Administratoren ist es empfehlenswert, sich neben dem Admin-Konto auch ein Redakteur-Konto für nicht administrative Arbeiten anzulegen. So können sie sichergehen, dass bei der Arbeit an Inhalten oder bei redaktionellen Arbeiten nicht versehentlich grundsätzliche Funktionalitäten oder Designs der Website verändert werden. Darüber hinaus kann über einen Redakteur-Login auch von unterwegs über WLAN-Hotspots, Internetcafés oder WLAN-Zugänge von Hotels mit minimiertem Risiko gebloggt werden. Sollten nämlich die Zugangsdaten eines Redakteurs gehackt werden, kann damit deutlich weniger Schaden angerichtet werden, als mit einem gehackten Administrator-Account.  

Redakteur  

Redakteure haben keine administrativen Rechte, dürfen aber alles, was zum Erstellen und Verwalten von Inhalten nötig ist. Sie dürfen: 

  • Seiten und Beiträge erstellen und diese veröffentlichen  
  • Dateien, Bilder und Videos hochladen  
  • Kommentare und Beiträge löschen 
  • Kategorien und Schlagwörter (Tags) verwalten 
  • Artikel anderer Nutzer bearbeiten und freischalten  

Autor  

Autoren können keine Seiten oder Beiträge von anderen Benutzern bearbeiten, löschen oder veröffentlichen. Sie dürfen aber: 

  • eigene Beiträge verfassen und veröffentlichen 
  • Dateien/Bilder/Videos hochladen 
  • Kommentare zu eigenen Beiträgen veröffentlichen 

Mitarbeiter  

Mitarbeiter können Beiträge erstellen und bearbeiten, diese jedoch nicht veröffentlichen. Die Veröffentlichung ist nur durch einen Redakteur oder Administrator möglich. Einmal veröffentlichte Beiträge können Mitarbeiter auch nicht mehr bearbeiten.  

Abonnent  

Von allen WordPress-Rollen bietet die des Abonnenten die wenigsten Rechte. Abonnenten können lediglich ihr eigenes Profil anpassen. Die Rolle des Abonnenten eignet sich z. B. sehr gut, um nur bestimmten Personen Lese-Zugang zu privaten Blogs oder Seiten zu geben. 

Weitere WordPress-Rollen 

Neben den Standard-WordPress-Rollen gibt es noch weitere vordefinierte Benutzerrollen, die z. B. mit der Installation bestimmter Plugins bereitgestellt werden. So bringt das WordPress-Plugin Yoast SEO die Rollen „SEO Editor“ und „SEO Manager“ mit. Shopsysteme bieten in der Regel spezifische Benutzerrollen für Kunden und Shop-Manager an. 

Die Benutzerverwaltung erweitern 

Möchten Sie Rollen und Rechte Ihrer Benutzer noch weiter anpassen und differenzieren, so gibt es hierfür eine Reihe von Plugins, z. B. User Role EditorMembersRole Scoper oder PublishPress Permissions.  

Mit diesen Plugins können Sie genauer bestimmen, welche Inhalte der Website für welche Rollen sichtbar sind. Sie können einem Benutzer mehrere Rollen zuweisen oder bei den wichtigsten Bereichen und Funktionen im Backend detailliert festlegen, welchem Benutzer diese zugänglich sein sollen. 

Bildnachweis: Titelbild von Tumisu auf Pixabay

End of article

DomainFactory

Über den Autor

DomainFactory

Als Qualitätsanbieter überzeugen wir mit HighEnd-Technologie und umfassenden Serviceleistungen. Mit mehr als 1,3 Millionen verwalteten Domainnamen gehören wir zu den größten Webhosting-Unternehmen im deutschsprachigen Raum.

1 Kommentar

Bitte füllen Sie das Captcha aus : *

Reload Image

Die von Ihnen hier erhobenen Daten werden von der domainfactory GmbH zur Veröffentlichung Ihres Beitrags in diesem Blog verarbeitet. Weitere Informationen entnehmen Sie bitte folgendem Link: www.df.eu/datenschutz


  • Hub Helping
    Hub Helping - 21. März 2020 um 20:07 Uhr

    great article keep it up !