WordPress Login- Rollen verteilen und Login-Bereich schützen

WordPress Login: Rollen verteilen und Login-Bereich schützen

WordPressKategorie
5 min lesen
Wolf-Dieter Fiege

(Update) Mit dem WordPress Login können sich Nutzer am Backend der WordPress-Installation oder im Mitgliederbereich der Website einloggen. Da WordPress auf Millionen Websites zum Einsatz kommt, greifen Hacker das System an und versuchen, sich die Zugangsdaten zum Backend der Websites zu verschaffen. Erfahre jetzt, wie du den WordPress Login ins Frontend integrierst: Wir zeigen dir, wie du Benutzerrollen verteilst, die Anmeldeseite vor Cyberkriminellen mit einem WordPress Security Check sicherst und Anmeldeversuche beschränkst.

Mit deinem WordPress Login auf das Backend zugreifen

Nach der Installation von WordPress ist der Verwaltungsbereich über eine Standard-URL erreichbar. Bei der Ersteinrichtung gibt es nur ein Administrator-Konto mit Zugriffsberechtigung. Der Admin kann bei Bedarf weitere Nutzer hinzufügen und deren Rechte mithilfe von Rollen einschränken. Rufe für den Zugang zum Verwaltungsbereich deine WordPress-Login-URL auf: Gehe dazu auf www.meine-seite.de/wp-admin, wobei „meine-seite.de“ deinem Domainnamen entspricht.

WordPress Login im Frontend anzeigen

WordPress Login Rollen verteilen und Login-Bereich schützen_Frontend Dashboard
Mit dem Plugin Frontend Dashboard erstellst du eine Custom-Login-Page.

Mit dem Plugin Frontend Dashboard erstellst du eine benutzerdefinierte Login-Seite auf WordPress.

Wenn es auf deiner Website einen Mitgliederbereich gibt, musst du den Login auf der Startseite anzeigen. Nach der WordPress-Installation ist das Meta-Widget für die Anmeldung bei den meisten Themes bereits installiert. Du findest es unter dem Menüpunkt „Design“ und „Widgets“. Wenn dir die Darstellung nicht gefällt, kannst du alternativ ein Plugin von Drittanbietern wie Frontend Dashboard oder Custom Login Page Customizer nutzen. Damit erstellst du einfach und schnell individuelle Login- und Registerseiten.

WordPress Login und Rollenverteilung der Nutzer

Wenn du deine Website mit anderen Mitarbeitern betreibst, sollte jeder Anwender sein eigenes Konto mit Benutzername und Passwort haben. In WordPress kannst du diverse Rollen zuteilen, mit denen du die Zugriffsrechte individuell einschränkst.

Nutzer hinzufügen, Rollen verteilen und Zugriffsrechte einschränken

Melde dich im WordPress Backend mit deinem Konto als Administrator an.

Nutzer hinzufügen

WordPress Login Rollen verteilen und Login-Bereich schützen_benutzer-hinzufuegen
Einen neuen Benutzer hinzufügen und eine Rolle zuweisen.

Klicke für einen neuen Nutzer über das WordPress-Dashboard im Backend auf „Benutzer“ und „Neu hinzufügen“. Du musst Benutzername und E-Mail-Adresse eintragen. Bei der Passwortvergabe hast du zwei Möglichkeiten: Du kannst entweder automatisch ein sicheres WordPress-Passwort generieren lassen und dieses an den Nutzer weitergeben. Oder du setzt das Häkchen bei „Benutzer benachrichtigen“, sodass der neue Nutzer einen Link an seine E-Mail-Adresse erhält. Darüber kann er selbst ein neues Passwort auswählen. Das Passwort kannst du dann in der Benutzerübersicht zwar nicht sehen, aber bei Bedarf zurücksetzen.

Benutzerrolle zuweisen

Bei den Rollen hast du verschiedene Optionen:

  • Abonnent: Kann den Inhalt nicht verändern, sich jedoch für den Mitgliederbereich anmelden und zum Beispiel Beiträge kommentieren.
  • Mitarbeiter: Kann Inhalt hinzufügen, aber nicht selbst veröffentlichen; die Veröffentlichung übernimmt der Autor oder Redakteur.
  • Autor: Erstellt und verwaltet seine eigenen Inhalte, kann Beiträge anderer Nutzer jedoch nicht verändern.
  • Redakteur: Kann Inhalte bearbeiten, Kategorien verwalten und Kommentare moderieren.
  • Administrator: Besitzt vollen Zugriff auf Beiträge, Seiten, Design, Benutzer, WordPress-Plugins und Tools wie phpMyAdmin.

Falls du die Benutzerrollen an deine eigenen Bedürfnisse anpassen möchtest, bietet sich dafür zum Beispiel das Plugin User Role Editor an. Damit kannst du u. a. Rollen umbenennen, entfernen oder Zugangsrechte verändern.

Gut zu wissen: Diese rollenbasierten Fähigkeiten sind in der Datenbank unter wp_users hinterlegt und lassen sich dort verwalten. Die Informationen kannst du über phpMyAdmin aufrufen, siehe dazu die wp_options-Tabelle und die wp_user_roles-Option.

WordPress Login verstecken und schützen

Hacker greifen auf die Login-Seite zu und versuchen, das Passwort zum Beispiel per Brute-Force-Attacke zu knacken. Dir stehen verschiedene Möglichkeiten zur Verfügung, den Cyberkriminellen die Arbeit zu erschweren.

Tipp: Verwende keine Standard-Benutzernamen wie „admin“ und keine schwachen Passwörter.

WordPress Login verstecken und schützen

Hacker greifen auf die WordPress Login-Seite zu und versuchen, das Passwort zum Beispiel per Brute-Force-Attacke zu knacken. Dir stehen verschiedene Möglichkeiten zur Verfügung, den Cyberkriminellen die Arbeit zu erschweren.

Tipp: Verwende keine Standard-Zugangsdaten wie „admin“ als Benutzernamen und keine schwachen Passwörter. Ein sicheres Passwort mit mindestens acht Zeichen, inklusive Zahlen und Sonderzeichen, ist deutlich schwieriger zu knacken. Noch mehr Schutz bietet eine Zwei-Faktor-Authentisierung (2FA), die du beispielsweise über das Sicherheitsplugin Wordfence Security einrichten kannst.

Login unter anderer URL verstecken

WordPress Login Rollen verteilen und Login-Bereich schützen_wps-hide-login
Die Erweiterung WPS Hide Login ändert die Login-URL.

Zuerst kannst du die Standard-URL verändern, über die der Login erreichbar ist. Die Aufgabe übernimmt das Plugin WPS Hide Login. Nach der Installation öffnest du die Einstellungen und veränderst die Login-URL zum Beispiel in logmein. Klicke auf „Speichern“. Das Tool verhindert für nicht angemeldete Nutzer auch den Zugriff zum WordPress-Admin-Login via wp-login.php (www.meineseite.de/wp-login.php) und zum WP-Admin-Verzeichnis.

Wichtig: Nach der Speicherung ist der Adminbereich beziehungsweise Mitgliederbereich über www.meine-seite.de/logmein erreichbar, die alte WordPress-Anmeldeseite funktioniert nicht mehr. Speichere dir die WordPress-Login-URL am besten als Lesezeichen in der Sidebar ab, damit du sie nicht vergisst.

Anzahl der Login-Versuche begrenzen

Die Plugins Login LockDown und Limit Login Attempts Reloaded sperren die WordPress-Anmeldung vorübergehend, wenn eine festgelegte Zahl von Anmeldeversuchen gescheitert ist. Basis dafür sind die IP-Adressen. Von Hackern gestartete Brute-Force-Attacken werden nach wenigen Versuchen abgebrochen.

WordPress Login: Benutzerrollen verwalten - Fazit

Der WordPress Login regelt den Zugriff auf das Backend beziehungsweise den Mitgliederbereich. Die Nutzerrechte weist du mithilfe der Rollen zu. Damit sich Abonnenten einloggen können, ist für die Anmeldung ein Login-Bereich im Frontend erforderlich. Die Login-URL solltest du zur Sicherheit ändern – damit vermeidest du eine Reihe automatisierter Hackerangriffe. Das ist essenziell, da Cyberkriminelle insbesondere auf deine personenbezogenen Daten aus sind. Hier erfährst du mehr über die wichtigsten Regeln gegen Webseite-Hacking für Einsteiger: angefangen von Updates über starke Passwörter für FTP-Zugang und Co. bis hin zu Plugins für WordPress.