WordPressKategorie

WordPress-Rollen, Benutzer und Berechtigungen – was du beachten solltest

10 min lesen
GoDaddy Deutschland Content Team
Titelmotiv des Blogartikels zum Thema: WordPress-Rollen, Benutzer und Berechtigungen – was du beachten solltest

Wichtige Erkenntnisse

  • Über WordPress-Rollen steuerst du die Zugriffsrechte der Benutzer.
  • In der WordPress-Benutzerverwaltung kannst du Rollen und Benutzer einteilen.
  • Als Autor können Benutzer nur bestimmte Seiten in WordPress verwalten.

Wie die allermeisten CMS-Systeme bietet WordPress die Möglichkeit, verschiedene Benutzer anzulegen und ihnen per Zuordnung einer Rolle spezifische Berechtigungen zu geben. So kannst du jedem Benutzer Zugang zu den für ihn sinnvollen Funktionen ermöglichen. Ebenfalls lassen sich individuelle WordPress-Rollen einschränken, was Sicherheitsrisiken und die Gefahr potenzieller Fehlbedienungen minimiert. In diesem Artikel erfährst du, was du bei der Benutzerverwaltung beachten solltest.

Warum sind WordPress-Benutzerrollen sinnvoll?

Indem du unterschiedlichen Benutzern verschiedene WordPress-Rollen zuordnest, hast du die Kontrolle über deine Website. Du bestimmst, wer im Rahmen des WordPress Backends deiner Webseite zugreifen und welche Aktionen er durchführen kann. So ist es wenig sinnvoll, wenn Blogautoren in die Programmierstruktur einer Seite eingreifen oder Fotoredakteure das Theme bearbeiten können. Durch WordPress-Rollen vereinfachst du die Arbeit für alle Beteiligten, vermeidest unnötige Probleme und gestaltest deinen Webauftritt noch sicherer vor unbefugten Zugriffen. Daher solltest du genau wissen, welche Bearbeitungs- und Zugriffsrechte die jeweiligen Rollen beinhalten. In diesem Abschnitt erfährst du, warum die Vergabe von WordPress-Rollen sinnvoll ist und wie die Verwaltung der Zugriffsberechtigungen im WordPress-Backend funktioniert. Außerdem erhältst du einen Überblick über die besten Plugins, mit denen du die Benutzerverwaltung optimal an deine Bedürfnisse anpassen kannst.

WordPress-Benutzerrollen strategisch zuweisen

Um herauszufinden, welche WordPress-Rechte du den Mitarbeitern im Backend deiner WordPress-Website zuweisen solltest, bietet sich eine Analyse der einzelnen Rollen und Aufgaben deiner Teammitglieder an.

Teamrollen und Aufgaben analysieren

Häufig werden beim Start einer Zusammenarbeit an einer Website nur zwei Arten von Zugriffsrechten vergeben: der Chefredakteur bekommt Administrator-Rechte und alle anderen Mitarbeiter erhalten den Status von Redakteuren. Diese sind ein erster wichtiger Schritt auf dem Weg zu mehr Übersichtlichkeit, Kontrolle und Sicherheit. Du kannst die Arbeitsabläufe im Rahmen deines Content Managements aber noch weiter optimieren, nämlich mit auf den jeweiligen Tätigkeitsbereich zugeschnittenen WordPress-Rollen. Dazu solltest du eine Übersicht der zu erledigenden Aufgaben erstellen und diese deinen Mitarbeitern zuordnen.

Standardisierte WordPress-Benutzerrollen an Teammitglieder vergeben

Hast du erst einmal die Liste der zu erledigenden Aufgaben erstellt und dem jeweiligen Mitarbeiter zugeordnet, kannst du jedem Teammitglied eine der vorgegebenen WordPress-Rollen – Administrator, Redakteur, Autor, Mitarbeiter oder Abonnent – übertragen.

WordPress-Rollen: Benutzer anlegen

Einen neuen Benutzer kannst du im Backend in der WordPress-Benutzerverwaltung unter dem Navigationspunkt „Benutzer“ hinzufügen. Beim Ausfüllen der Maske sind einige sicherheitsrelevante Aspekte zu beachten. Denn eine der effektivsten Möglichkeiten, die WordPress-Sicherheit zu verbessern, ist die Verwendung intelligenter Benutzernamen und starker Passwörter. In der WordPress-Benutzerverwaltung legst du neue Benutzer an.

Benutzername

Wähle einen Namen, der nicht aus dem Klarnamen des Benutzers erschlossen werden kann. Für Hacker ist der Benutzername nämlich der erste Schritt zum Ziel – ist er bekannt, muss nur noch das Passwort geknackt werden.

Unser Tipp: Um die WordPress-Sicherheit zu erhöhen, sollten Benutzernamen grundsätzlich nicht frei ersichtlich sein – weder über die Signatur von Beiträgen (siehe auch den übernächsten Abschnitt zu Vor- und Nachname), noch über die Abfrage /?author=1, 2, 3 etc. Hier hilft das WordPress-Plugin Edit Author Slug, mit dem die sogenannte author base geändert und der dort hinterlegte Benutzername durch ein beliebiges Wort ersetzt werden kann.

E-Mail-Adresse

Die hier hinterlegte E-Mail-Adresse nutzt WordPress, um dem neuen Benutzer das Passwort und den Login zu schicken. Achtung: In einer WordPress-Installation kann eine E-Mail-Adresse nur ein einziges Mal verwendet werden. Wenn du dir als Administrator ein zusätzliches Redakteur-Konto anlegen willst (siehe Abschnitt „Administrator“), benötigst du dazu also eine zweite E-Mail-Adresse.

Vor- und Nachname

Pflichtfelder für die Anlage eines Benutzers sind nur Benutzername, E-Mail und Passwort. Trotzdem solltest du auch den Vor- und Nachnamen des Benutzers angeben, da unter dessen Beiträgen sonst der Benutzername steht. Hacker könnten diesen dann für Login-Versuche nutzen. Falls der Benutzer seine Beiträge nicht mit Klarnamen signiert haben möchte, kannst du in seinem Profil auch einen Spitznamen eintragen (mehr dazu im Abschnitt „Benutzer bearbeiten“), der dann anstelle des Klarnamens unter den Beiträgen angezeigt wird.

Website

Dieses Feld ist kein Pflichtfeld und auch nicht relevant für die WordPress-Sicherheit. Für Autoren mit einer eigenen Website oder Gastautoren bietet es aber die Möglichkeit, Verlinkungen auf die eigene Seite zu erzeugen.

Passwort

WordPress generiert automatisch ein starkes Passwort und schickt es dem neuen Benutzer an die hinterlegte E-Mail-Adresse. Beim ersten Login wird er dann zur Eingabe eines neuen Passworts aufgefordert.

Wichtig: Unterstütze deine Benutzer bei der Passwortwahl. In einem separaten Beitrag gehen wir ausführlicher auf das Thema „Sichere Passwörter“ ein.

WordPress-Benutzerverwaltung: Rollen und Berechtigungen über das WordPress Backend

Mitarbeiter kommen und gehen, Strukturen verändern sich – deshalb solltest du Teamrollen und deren Zugriffsrechte innerhalb deines WordPress Backends immer auf dem neuesten Stand halten. Die Verwaltung von Benutzerrollen- und -rechten in WordPress ist relativ einfach zu bedienen. Nachdem du dich über den WordPress Backend Login deiner Website angemeldet hast, findest du unter dem Menüpunkt „Benutzer“ den Tab „Alle Benutzer“. Anhand der Übersicht oder per Suchmaske kannst du nun das gewünschte Mitarbeiterprofil auswählen, ansehen, bearbeiten oder löschen. Neue Rollen zuweisen? Nichts einfacher als das, denn im Backend kannst du Benutzerrollen jederzeit verändern oder neu vergeben. So machst du zum Beispiel einen Redakteur zu einem Autor, inklusive der damit eingeschränkten WordPress-Berechtigungen. Zum Schluss speicherst du die vorgenommenen Änderungen, indem du auf „Benutzer aktualisieren“ klickst. Neben den standardmäßig vorhandenen WordPress-Rollen findest du hier auch weitere Benutzerrollen, sofern du diese durch die Installation externer Plugins hinzugefügt hast.

Profileinstellungen eines Benutzers

Das Einzige, was in der WordPress-Benutzerverwaltung nicht geändert werden kann – und auch nirgendwo sonst im Backend – ist der Benutzername. Der einfachste Weg zu einem neuen Benutzernamen ist daher die Anlage eines neuen Kontos. Das gilt insbesondere auch für den Administrator. Ein Profilbild kannst du dagegen jederzeit hinzufügen oder ändern. Du kannst dieses auch über Gravatar, das Profilbilder mit einer bestimmten E-Mail-Adresse verknüpft, dynamisch einbinden.

Die WordPress-Benutzerrollen und ihre Berechtigungen

Die wichtigste Frage bei der Benutzerverwaltung lautet: Wer benötigt welche Funktionen und Rechte für seine Aufgaben? WordPress bietet fünf vordefinierte Benutzerrollen: Administrator, Redakteur, Autor, Mitarbeiter und Abonnent. Damit lassen sich auch komplizierte Aufgabenverteilungen gut abdecken. Vergeben im Zweifel erst einmal weniger Berechtigungen – sollten Probleme auftreten, kannst du die Benutzerrolle mit wenigen Mausklicks ändern.

Administrator

Der Administrator hat alle Berechtigungen für die WordPress-Seite und die vollständige Kontrolle über Inhalte, Einstellungen, Themes, Plugins, Impressum etc. Er regelt die WordPress-Rechteverwaltung und kann jederzeit neue Benutzer anlegen oder löschen – auch andere Administratoren. Die Zuteilung einer Administratoren-Rolle sollte also gut überlegt sein, denn sie ist ein Freifahrtschein für jegliche Änderung und für potenzielle Manipulationen. Zu empfehlen ist, für jede Website möglichst nur eine Administratoren-Rolle zu vergeben und diese auch nur für administrative Arbeiten zu nutzen, z.B. wenn diese Person für das Webdesign der Seite zuständig ist oder auch Widgets verwalten soll. Ein Sonderfall ist der Super Administrator. Diese Rolle steht jedoch nur zur Verfügung, wenn WordPress als Multisite-System konfiguriert ist. Der Super Administrator hat dann alle Rechte zu sämtlichen Websites des Systems.

Unser Tipp: Für Administratoren ist es empfehlenswert, sich neben dem Admin-Konto auch ein Redakteur-Konto für nicht administrative Arbeiten anzulegen. So kannst du sicherstellen, dass bei der Arbeit an Inhalten oder bei redaktionellen Aufgaben nicht versehentlich grundsätzliche Funktionalitäten oder Designs der Website verändert werden. Wenn du in WordPress etwa nachträglich den Autor eines Beitrags ändern oder einem Benutzer Seiten zuordnen willst, reicht dafür auch ein Redakteur-Konto. Darüber hinaus kann ein Nutzer mit Redakteur-Login auch von unterwegs über WLAN-Hotspots, Internetcafés oder WLAN-Zugänge von Hotels und mit minimiertem Risiko bloggen. Sollten nämlich die Zugangsdaten des Redakteurs gehackt werden, kann mit diesem Konto deutlich weniger Schaden angerichtet werden als mit einem gehackten Administrator-Account.

Redakteur

Redakteure haben keine administrativen Rechte, dürfen aber alles, was zum Erstellen und Verwalten von Inhalten oder das Moderieren von Kommentaren nötig ist. Sie dürfen:

  • Seiten und Beiträge erstellen und diese veröffentlichen
  • Dateien, Bilder und Videos hochladen
  • Kommentare und Beiträge löschen
  • Kategorien und Schlagwörter (Tags) verwalten
  • Artikel anderer Nutzer bearbeiten und freischalten
  • Den WordPress-Autor ändern
  • In WordPress einem Benutzer Seiten zuordnen

Autor

Ein Autor ist ein WordPress-Benutzer, der nur bestimmte Seiten bearbeiten darf. Autoren können keine Seiten oder Beiträge anderer Nutzer bearbeiten, löschen oder veröffentlichen. Sie dürfen aber:

  • eigene Beiträge verfassen und veröffentlichen
  • Dateien/Bilder/Videos hochladen
  • Kommentare zu eigenen Beiträgen veröffentlichen

Mitarbeiter

Mitarbeiter können Beiträge erstellen und bearbeiten, diese jedoch nicht veröffentlichen. Die Veröffentlichung ist nur durch einen Redakteur oder Administrator möglich. Einmal veröffentlichte Beiträge können Mitarbeiter auch nicht mehr bearbeiten.

Abonnent

Von allen WordPress-Rollen bietet die des Abonnenten die wenigsten Rechte. Abonnenten können lediglich ihr eigenes Profil anpassen. Die Rolle des Abonnenten eignet sich etwa sehr gut, um WordPress-Benutzern nur bestimmte Seiten oder Lesezugang zu privaten Blogs zu geben.

Weitere WordPress-Rollen

Neben den Standardprofilen gibt es noch weitere vordefinierte WordPress-Benutzerrollen, die beispielsweise über die Installation bestimmter Plugins bereitgestellt werden. So bringt das WordPress-Plugin Yoast SEO die Rollen „SEO Editor“ und „SEO Manager“ ins Spiel. Shopsysteme bieten derweil häufig spezifische WordPress-Benutzerrollen für Kunden und Shop-Manager an. Damit bieten sich weitere Optionen in der WordPress-Rechteverwaltung.

Die Top List Tools für die Benutzerverwaltung

Die standardisierten Benutzerrollen bieten bereits viele Optionen zur Benutzerverwaltung im WordPress-Backend, doch du kannst diese Rollen durch das Installieren von externen Plugins noch individueller anpassen. Du kannst einem Benutzer mehrere Rollen zuweisen oder bei den wichtigsten Bereichen und Funktionen im Backend detailliert festlegen, welchem Benutzer diese zugänglich sein sollen. Eine Auswahl der besten Tools zur Erweiterung deiner Benutzerverwaltung findest du hier:

MemberPress

Das WordPress Plugin MemberPress bietet zahlreiche Funktionen für die Verwaltung von Websites, an denen viele Teammitglieder zusammenarbeiten.

  • Selektiver Zugriff auf Inhalte
  • Gute Kompatibilität mit WordPress Themes
  • Zeitgebundene Inhaltsfreigabe und -kontrolle
  • Learning Management System (LMS) Add-On
  • Generierung, Anpassung und Kontrolle von Coupons
  • Einfaches Affiliate Plugin

WP User Manager

Auch der WP User Manager ist auf Projekte mit mehreren WordPress CMS Logins ausgerichtet.

  • Zwei-Faktor-Authentifizierung
  • Übersichtliche Benutzerverzeichnisse
  • Kontrollierter Zugriff auf Inhalte
  • Spam-Schutz und Benutzerüberprüfung
  • SEO-freundliche URL für Benutzerprofile
  • Automatische Login- und Passwortverwaltung
  • WooCommerce- und Mailchimp-Integration

WP User Frontend Pro

Vor allem für das Arbeiten über das Website-Frontend ist WP User Frontend Pro gut geeignet. So kannst du zum Beispiel direkt neue Beiträge erstellen, ohne dich dafür ins Backend einwählen zu müssen und vieles mehr.

  • Anpassbare Benutzerformulare
  • Inhaltsbeschränkungen und benutzerdefinierte Anmeldeseiten
  • Drag & Drop Builder mit Live-Vorschau
  • Unterstützung von Gastbeiträgen
  • Profilerstellung und Coupon Support
  • PayPal-, MailPoet-, Stripe- und Mailchimp-Integration
  • Social Logins und Spam-Schutz

Tipp: Verwalte professionell und unkompliziert bis zu 50 WordPress-Webseiten parallel. WordPress-Hosting mit den WordPress-Paketen von GoDaddy bietet dir viele weitere Vorteile, wie zum Beispiel die automatische und kostenlose Absicherung jeder Domain mit einem SSL-Zertifikat, Staging-Umgebungen und vieles mehr. Erfahren mehr über WordPress-Business-Hosting.

Bildnachweis: Titelbild von Tumisu auf Pixabay

Produktempfehlungen: