WordPress-Rollen, Benutzer und Berechtigungen – was Sie beachten sollten
Veröffentlicht am 02.11.2022 von DomainFactory
(Update) Wie die allermeisten CMS-Systeme bietet WordPress die Möglichkeit, verschiedene Benutzer anzulegen und ihnen per Zuordnung einer Rolle spezifische Berechtigungen einzuräumen. So ist es möglich, jedem Benutzer Zugang zu den für ihn sinnvollen Funktionen zu ermöglichen. Ebenfalls lassen sich individuelle Wordpress-Rollen aber auch einschränken, was Sicherheitsrisiken und die Gefahr potenzieller Fehlbedienungen minimiert. In diesem Artikel erfahren Sie, was Sie bei der Benutzerverwaltung beachten sollten.
Das Wichtigste in Kürze:
- Über WordPress-Rollen steuern Sie Zugriffsrechte der Benutzer.
- In der WordPress-Benutzerverwaltung können Sie Rollen und Benutzer einteilen.
- Als Autor können Benutzer nur bestimmte Seiten in WordPress verwalten.
Warum sind WordPress-Benutzerrollen sinnvoll
Indem Sie unterschiedlichen Benutzern verschiedene WordPress-Rollen zuordnen, haben Sie die Kontrolle über Ihre Website. Sie bestimmen, wer im Rahmen des WordPress Backends Ihrer Webseite zugreifen und welche Aktionen er durchführen kann. So ist es wenig sinnvoll, wenn Blogautoren in die Programmierstruktur einer Seite eingreifen oder Fotoredakteure das Theme bearbeiten können. Durch WordPress-Rollen vereinfachen Sie die Arbeit für alle Beteiligten, vermeiden unnötige Probleme und gestalten Ihren Webauftritt noch sicherer vor unbefugten Zugriffen.
Daher sollten Sie genau wissen, welche Bearbeitungs- und Zugriffsrechte die jeweiligen Rollen beinhalten. In diesem Abschnitt erfahren Sie, warum die Vergabe von WordPress-Rollen sinnvoll ist und wie die Verwaltung der Zugriffsberechtigungen im WordPress-Backend funktioniert. Außerdem erhalten Sie einen Überblick über die besten Plugins, mit denen Sie die Benutzerverwaltung optimal an Ihre Bedürfnisse anpassen können.
<p><img alt="" data-alt-override="true" data-htmlarea-file-table="sys_file" data-htmlarea-file-uid="28266" data-title-override="true" src="https://www.df.eu/fileadmin/_processed_/c/7/csm_DF_MWP_General_1080x1920_8a8979f3ca.jpg" style="height:1200px; width:675px" /></p>
<p>Jetzt <a href="https://www.df.eu/de/webhosting/?utm_source=blog&utm_medium=social&utm_content=product&utm_campaign=produktlink_blog_21jahre-WP" target="_blank">WordPress-Jubiläumsangebote</a> sichern!</p>
WordPress-Benutzerrollen strategisch zuweisen
Um herauszufinden, welche WordPress-Rechte Sie den Mitarbeitern im Backend Ihrer WordPress-Website zuweisen, bietet sich eine Analyse der einzelnen Rollen und Aufgaben Ihrer Teammitglieder an.
Teamrollen und Aufgaben analysieren
Häufig werden beim Start einer Zusammenarbeit an einer Website nur zwei Arten von Zugriffsrechten vergeben: der Chefredakteur bekommt Administrator-Rechte und alle anderen Mitarbeiter erhalten den Status von Redakteuren. Diese sind ein erster wichtiger Schritt auf dem Weg zu mehr Übersichtlichkeit, Kontrolle und Sicherheit. Sie können die Arbeitsabläufe im Rahmen Ihres Content Managements aber noch weiter optimieren, nämlich mit auf den jeweiligen Tätigkeitsbereich zugeschnittenen WordPress-Rollen. Dazu sollten Sie eine Übersicht der zu erledigenden Aufgaben erstellen und diese Ihren Mitarbeitern zuordnen.
Standardisierte WordPress-Benutzerrollen an Teammitglieder vergeben
Haben Sie erst einmal die Liste der zu erledigenden Aufgaben erstellt und dem jeweiligen Mitarbeiter zugeordnet, können Sie jedem Teammitglied eine der vorgegebenen WordPress-Rollen – Administrator, Redakteur, Autor, Mitarbeiter oder Abonnent – übertragen.
Standardisierte WordPress-Benutzerrollen an Teammitglieder vergeben
Haben Sie erst einmal die Liste der zu erledigenden Aufgaben erstellt und dem jeweiligen Mitarbeiter zugeordnet, können Sie jedem Teammitglied eine der vorgegebenen WordPress-Rollen – Administrator, Redakteur, Autor, Mitarbeiter oder Abonnent – übertragen.
WordPress-Rollen: Benutzer anlegen
Einen neuen Benutzer können Sie im Backend in der WordPress-Benutzerverwaltung unter dem Navigationspunkt „Benutzer“ hinzufügen.
Beim Ausfüllen der Maske sind einige sicherheitsrelevante Aspekte zu beachten. Denn eine der effektivsten Möglichkeiten, die WordPress-Sicherheit zu verbessern, ist die Verwendung intelligenter Benutzernamen und starker Passwörter. In der WordPress-Benutzerverwaltung legen Sie neue Benutzer an.
Benutzername
Wählen Sie einen Namen, der nicht aus dem Klarnamen des Benutzers erschlossen werden kann. Für Hacker ist der Benutzername nämlich der erste Schritt zum Ziel – ist er bekannt, muss nur noch das Passwort geknackt werden.
Unser Tipp: Um die WordPress-Sicherheit zu erhöhen, sollten Benutzernamen grundsätzlich nicht frei ersichtlich sein – weder über die Signatur von Beiträgen (siehe auch den übernächsten Abschnitt zu Vor- und Nachname), noch über die Abfrage /?author=1, 2, 3 etc. Hier hilft das WordPress-Plugin Edit Author Slug, mit dem die sogenannte author base geändert und der dort hinterlegte Benutzername durch ein beliebiges Wort ersetzt werden kann.
E-Mail-Adresse
Die hier hinterlegte E-Mail-Adresse nutzt WordPress, um dem neuen Benutzer das Passwort und den Login zu schicken. Achtung: In einer WordPress-Installation kann eine E-Mail-Adresse nur ein einziges Mal verwendet werden. Wenn Sie sich als Administrator ein zusätzliches Redakteur-Konto anlegen wollen (siehe Abschnitt „Administrator“), benötigen Sie dazu also eine zweite E-Mail-Adresse.
Sie möchten Ihr Teamwork optimieren? Dann informieren Sie sich hier über unsere Office-Anwendungen und Cloud-Dienste.
Vor- und Nachname
Pflichtfelder für die Anlage eines Benutzers sind nur Benutzername, E-Mail und Passwort. Trotzdem sollten Sie auch den Vor- und Nachnamen des Benutzers angeben, da unter dessen Beiträgen sonst der Benutzername steht. Hacker könnten diesen dann für Login-Versuche nutzen. Falls der Benutzer seine Beiträge nicht mit Klarnamen signiert haben möchte, können Sie in seinem Profil auch einen Spitznamen eintragen (mehr dazu im Abschnitt „Benutzer bearbeiten“), der dann anstelle des Klarnamens unter den Beiträgen angezeigt wird.
Website
Dieses Feld ist kein Pflichtfeld und auch nicht relevant für die WordPress-Sicherheit. Für Autoren mit einer eigenen Website oder Gastautoren bietet es aber die Möglichkeit, Verlinkungen auf die eigene Seite zu erzeugen.
Passwort
WordPress generiert automatisch ein starkes Passwort und schickt es dem neuen Benutzer an die hinterlegte E-Mail-Adresse. Beim ersten Login wird er dann zur Eingabe eines neuen Passworts aufgefordert.
Wichtig: Unterstützen Sie Ihre Benutzer bei der Passwortwahl. In einem separaten Beitrag gehen wir ausführlicher auf das Thema „Sichere Passwörter“ ein.
WordPress-Benutzerwaltung: Rollen und Berechtigungen über das WordPress Backend
Mitarbeiter kommen und gehen, Strukturen verändern sich – deshalb sollten Sie Teamrollen und deren Zugriffsrechte innerhalb Ihres WordPress Backends immer auf dem neuesten Stand halten. Die Verwaltung von Benutzerrollen- und -rechten in WordPress ist relativ einfach zu bedienen. Nachdem Sie sich über den WordPress Backend Login Ihrer Website angemeldet haben, finden Sie unter dem Menüpunkt „Benutzer“ den Tab „Alle Benutzer“. Anhand der Übersicht oder per Suchmaske können Sie nun das gewünschte Mitarbeiterprofil auswählen, ansehen, bearbeiten oder löschen. Neue Rollen zuweisen? Nichts einfacher als das, denn im Backend können Sie Benutzerrollenhier jederzeit verändert oder neu vergeben. So machen Sie zum Beispiel einen Redakteur zu einem Autor, inklusive der damit eingeschränkten WordPress-Berechtigungen. Zum Schluss speichern Sie die vorgenommenen Änderungen, indem Sie auf „Benutzer aktualisieren“ klicken.
Neben den standardmäßig vorhandenen WordPress-Rollen finden Sie hier auch weitere Benutzerrollen, sofern Sie diese durch die Installation externer Plugins hinzugefügt haben.
Profileinstellungen eines Benutzers
Das Einzige, was in der WordPress-Benutzerverwaltung nicht geändert werden kann – und auch nirgendwo sonst im Backend – ist der Benutzername. Der einfachste Weg zu einem neuen Benutzernamen ist daher die Anlage eines neuen Kontos. Das gilt insbesondere auch für den Administrator. Ein Profilbild, können Sie dagegen jederzeit hinzufügen oder ändern. Sie können dieses auch über Gravatar, das Profilbilder mit einer bestimmten E-Mail-Adresse verknüpft, dynamisch einbinden.
Die WordPress-Benutzerrollen und ihre Berechtigungen
Die wichtigste Frage bei der Benutzerverwaltung lautet: Wer benötigt welche Funktionen und Rechte für seine Aufgaben? WordPress bietet fünf vordefinierte Benutzerrollen: Administrator, Redakteur, Autor, Mitarbeiter und Die wichtigste Frage bei der WordPress-Rechteverwaltung lautet: Wer benötigt welche Funktionen und Rechte für seine Aufgaben? Die fünf Standard WordPress-Benutzerrollen umfassen: Administrator, Redakteur, Autor, Mitarbeiter und Abonnent. Damit lassen sich auch komplizierte Aufgabenverteilungen gut abdecken. Vergeben Sie im Zweifel erst einmal weniger Berechtigungen – sollten Probleme auftreten, können Sie die Benutzerrolle mit wenigen Mausklicks ändern.
Administrator
Der Administrator hat alle Berechtigungen für die WordPress-Seite und die vollständige Kontrolle über Inhalte, Einstellungen, Themes, Plugins, Impressum etc. Er regelt die WordPress-Rechteverwaltung und kann jederzeit neue Benutzer anlegen oder löschen – auch andere Administratoren.
Die Zuteilung einer Administratoren-Rolle sollte also gut überlegt sein, denn sie ist ein Freifahrtschein für jegliche Änderung und für potenzielle Manipulationen. Zu empfehlen ist, für jede Website möglichst nur eine Administratoren-Rolle zu vergeben und diese auch nur für administrative Arbeiten zu nutzen, z.B. wenn diese Person für das Webdesign der Seite zuständig ist oder auch Widgets verwalten soll.
Ein Sonderfall ist der Super Administrator. Diese Rolle steht jedoch nur zur Verfügung, wenn WordPress als Multisite-System konfiguriert ist. Der Super Administrator hat dann alle Rechte zu sämtlichen Websites des Systems.
Unser Tipp: Für Administratoren ist es empfehlenswert, sich neben dem Admin-Konto auch ein Redakteur-Konto für nicht administrative Arbeiten anzulegen. So können sie sichergehen, dass bei der Arbeit an Inhalten oder bei redaktionellen Aufgaben nicht versehentlich grundsätzliche Funktionalitäten oder Designs der Website verändert werden. Wenn Sie in WordPress etwa nachträglich den Autor eines Beitrags ändern oder einem Benutzer Seiten zuordnen wollen, reicht dafür auch ein Redakteur-Konto. Darüber hinaus kann ein Nutzer mit Redakteur-Login auch von unterwegs über WLAN-Hotspots, Internetcafés oder WLAN-Zugänge von Hotels und mit minimiertem Risiko bloggen. Sollten nämlich die Zugangsdaten des Redakteurs gehackt werden, kann mit diesem Konto deutlich weniger Schaden angerichtet werden als mit einem gehackten Administrator-Account.
Redakteur
Redakteure haben keine administrativen Rechte, dürfen aber alles, was zum Erstellen und Verwalten von Inhalten oder das Moderieren von Kommentaren nötig ist. Sie dürfen:
- Seiten und Beiträge erstellen und diese veröffentlichen
- Dateien, Bilder und Videos hochladen
- Kommentare und Beiträge löschen
- Kategorien und Schlagwörter (Tags) verwalten
- Artikel anderer Nutzer bearbeiten und freischalten
- Den WordPress-Autor ändern
- In WordPress einem Benutzer Seiten zuordnen
Autor
Ein Autor ist ein WordPress-Benutzer, der nur bestimmte Seiten bearbeiten darf. Autoren können keine Seiten oder Beiträge anderer Nutzer bearbeiten, löschen oder veröffentlichen. Sie dürfen aber:
- eigene Beiträge verfassen und veröffentlichen
- Dateien/Bilder/Videos hochladen
- Kommentare zu eigenen Beiträgen veröffentlichen
Mitarbeiter
Mitarbeiter können Beiträge erstellen und bearbeiten, diese jedoch nicht veröffentlichen. Die Veröffentlichung ist nur durch einen Redakteur oder Administrator möglich. Einmal veröffentlichte Beiträge können Mitarbeiter auch nicht mehr bearbeiten.
Abonnent
Von allen WordPress-Rollen bietet die des Abonnenten die wenigsten Rechte. Abonnenten können lediglich ihr eigenes Profil anpassen. Die Rolle des Abonnenten eignet sich etwa sehr gut, um WordPress-Benutzern nur bestimmte Seiten oder Lesezugang zu privaten Blogs zu geben.
Weitere WordPress-Rollen
Neben den Standardprofilen gibt es noch weitere vordefinierte WordPress-Benutzerrollen, die beispielsweise über die Installation bestimmter Plugins bereitgestellt werden. So bringt das WordPress-Plugin Yoast SEO die Rollen „SEO Editor“ und „SEO Manager“ ins Spiel. Shopsysteme bieten derweil häufig spezifische WordPress-Benutzerrollen für Kunden und Shop-Manager an. Damit bieten sich weitere Optionen in der Wordpress-Rechteverwaltung.
Die Top List Tools für die Benutzerverwaltung
Die standardisierten Benutzerrollen bieten bereits viele Optionen zur Benutzerverwaltung im WordPress-Backend, doch Sie können diese Rollen durch das Installieren von externen Plugins noch individueller anpassen. Sie können einem Benutzer mehrere Rollen zuweisen oder bei den wichtigsten Bereichen und Funktionen im Backend detailliert festlegen, welchem Benutzer diese zugänglich sein sollen. Eine Auswahl der besten Tools zur Erweiterung Ihrer Benutzerverwaltung finden Sie hier:
MemberPress
Das WordPress Plugin MemberPress bietet zahlreiche Funktionen für die Verwaltung von Websites, an denen viele Teammitglieder zusammenarbeiten.
- Selektiver Zugriff auf Inhalte
- Gute Kompatibilität mit WordPress Themes
- Zeitgebundene Inhaltsfreigabe und -kontrolle
- Learning Management System (LMS) Add-On
- Generierung, Anpassung und Kontrolle von Coupons
- Einfaches Affiliate Plugin
WP User Manager
Auch der WP User Manager ist auf Projekte mit mehreren WordPress CMS Logins ausgerichtet.
- Zwei-Faktor-Authentifizierung
- Übersichtliche Benutzerverzeichnisse
- Kontrollierter Zugriff auf Inhalte
- Spam-Schutz und Benutzerüberprüfung
- SEO-freundliche URL für Benutzerprofile
- Automatische Login- und Passwortverwaltung
- WooCommerce- und Mailchimp-Integration
WP User Frontend Pro
Vor allem für das Arbeiten über das Website-Frontend ist WP User Frontend Pro gut geeignet. So können Sie zum Beispiel direkt neue Beiträge erstellen, ohne sich dafür ins Backend einwählen zu müssen uvm.
- Anpassbare Benutzerformulare
- Inhaltsbeschränkungen und benutzerdefinierte Anmeldeseiten
- Drag & Drop Builder mit Live-Vorschau
- Unterstützung von Gastbeiträgen
- Profilerstellung und Coupon Support
- PayPal-, MailPoet-, Stripe- und Mailchimp-Integration
- Social Logins und Spam-Schutz
Tipp: Verwalten Sie professionell und unkompliziert bis zu 50 WordPress-Webseiten parallel. WordPress-Hosting mit den WordPress-Pro-Paketen von DomainFactory bietet Ihnen viele weitere Vorteile, wie zum Beispiel die automatische und kostenlose Absicherung jeder Domain mit einem SSL-Zertifikat, Staging-Umgebungen uvm. Erfahren Sie mehr über WordPress-Business-Hosting.
Bildnachweis: Titelbild von Tumisu auf Pixabay