WordPress bietet die Möglichkeit, mehrere verschiedene Benutzer anzulegen und ihnen je nach zugewiesener Rolle spezifische Berechtigungen einzuräumen. Je nach Benutzerrolle hat der User dann Zugang zu bestimmten Funktionen der Website, während der Zugriff auf andere Teile des Backends so eingeschränkt werden kann, dass Sicherheitsrisiken und die Gefahr einer Fehlbedienung reduziert werden. In diesem Beitrag zeige ich dir, wie du einen neuen Benutzer anlegst, welche Nutzerrollen es in WordPress gibt und worauf du achten solltest.
So legst du in WordPress einen neuen Benutzer an
Klicke im WordPress-Backend links im Menü auf den Punkt „Benutzer“ und dann auf „Neuen Benutzer hinzufügen“. Trage hier in die Felder die notwendigen Daten ein. Hierbei gibt es einige sicherheitsrelevante Aspekte, die du beachten solltest.
Benutzername
Für den Benutzernamen werden häufig Klarnamen benutzt, wie beispielsweise der Vor- oder Nachname des jeweiligen Nutzers. Hierbei sollte dir jedoch bewusst sein, dass Klarnamen für Hacker sehr einfach zu knacken sind. Es gibt einige Tools, die in Sekundenschnelle den Benutzernamen einer WordPress-Website herausfinden. Solange das Passwort besonders stark ist, bleibt es für den Hacker zwar weiterhin schwierig, den kompletten Zugang zu erlangen. Trotzdem ist die Hürde für einen erfolgreichen Angriff größer, wenn auch der Benutzername möglichst nicht aus einem Klarnamen besteht. Außerdem sollte der Nutzername auch im Frontend der Website an keiner Stelle ersichtlich sein. Weder über die Signatur bei Beiträgen, noch über die Abfrage /?author=1, 2, 3 etc. Es gibt hier jedoch ein Plugin namens Edit Author Slug, mit welchem man den Permalink, der zur Autorenseite führt, in einen beliebigen anderen Begriff ändern kann.
Der Benutzername kann im Nachhinein nicht mehr geändert werden!
E-Mail-Adresse
An die hinterlegte E-Mail-Adresse wird dem neuen Nutzer das Passwort und der Nutzername geschickt, sofern weiter unten bei „Benutzer benachrichtigen“ ein Haken in der Checkbox gesetzt ist. Außerdem wird zukünftig diese E-Mail-Adresse verwendet, falls der Nutzer sein Passwort oder seinen Nutzernamen vergessen sollte.
Vor- und Nachname
Dies sind keine Pflichtfelder und sie müssen daher nicht ausgefüllt werden. Es kann allerdings Sinn machen, die Felder auszufüllen, wenn bei Beiträgen der Vor- und der Nachname des Autors erscheinen soll. Sind die Felder nicht ausgefüllt, wird automatisch der Benutzername als Autorenname eingetragen. Das stellt wiederum ein Sicherheitsrisiko dar, da Hacker so direkt sehen können, für welche Benutzernamen ein Konto existiert.
Website
Auch dieses Feld ist kein Pflichtfeld. Es bietet Autoren mit einer eigenen Internetseite lediglich die Möglichkeit, auf ihre eigene Website zu verlinken, beispielsweise innerhalb einer Autorenbox bei einem Beitrag.
Passwort
Beim Passwort solltest du unbedingt ein gutes Passwort wählen. WordPress erzeugt automatisch ein starkes Passwort, welches du verwenden kannst. Diese Empfehlung solltest du nutzen oder ein anderes vergleichbar sicheres Passwort wählen.
Da ich mich selbst auch viel mit Sicherheitsthemen auseinandersetze, weiß ich, wie wichtig eine solche Absicherung sein kann. Es gibt Tools für Hacker, die vollautomatisiert in Sekundenschnelle sämtliche Zeichenkombinationen ausprobieren. Hierfür werden ganze Wörterbücher einschließlich üblicher Kombinationen aus Worten und angefügten Zahlen getestet. Wie einfach so etwas gehen kann, habe ich selbst einmal testweise auf meiner eigenen Seite probiert. Ich war selbst wirklich erschrocken, wie schnell ich sowohl den Benutzernamen als auch das Passwort mit einem solchen Tool knacken konnte. Deswegen rate ich auch dir dringend ein möglichst langes Passwort zu wählen, das Sonderzeichen enthält und nicht aus gebräuchlichen Wörtern oder Zahlenkombinationen besteht.
Einen Benutzer in WordPress bearbeiten oder löschen
Administratoren können jederzeit Änderungen an einem vorhandenen Benutzerprofil vornehmen oder es löschen. Hierfür musst du in der Benutzerübersicht bei dem jeweiligen Nutzer einfach auf „Bearbeiten“ klicken.
Achtung beim Löschen eines Benutzerkontos: Hat der entsprechende Benutzer Beiträge unter diesem Namen verfasst, dann sollten die Beiträge vor dem Löschen zunächst an einen bestehenden Benutzer zugewiesen werden. Sonst kann es passieren, dass auch alle mit dem zu löschenden Benutzer verknüpften Beiträge entfernt werden!
Die verschiedenen Benutzerrollen in WordPress
Administrator
Der Administrator hat uneingeschränkten Zugriff auf sämtliche Bereiche der Website und die vollständige Kontrolle über Inhalte, Einstellungen, Themes, Plugins etc. Er kann außerdem Benutzer anlegen, bearbeiten und löschen – auch andere Administratoren. Die Zuweisung der Administratoren-Rolle sollte demnach gut überlegt sein. Idealerweise sollte es nur einen Admin-Zugang pro Website geben, der auch wirklich für administrative Zwecke genutzt wird. Ein Laie, der keine tiefergehenden Kenntnisse in WordPress besitzt und lediglich Inhalte editieren möchte, sollte lieber eine der nachfolgenden Rollen zugewiesen bekommen. Sonst ist die Gefahr groß, dass es durch falsche Einstellungen zu schwerwiegenden Fehlern kommt.
Redakteur
Redakteure haben Zugriff auf alle Bereiche, die zum Editieren von Inhalten notwendig sind. Dazu gehört:
- Eigene und fremde Beiträge und Seiten veröffentlichen, editieren und löschen
- Bilder, Videos und Dateien hochladen
- Kommentare moderieren
- Kategorien und Schlagwörter erstellen und diese Beiträgen zuweisen
- Den Autor eines Beitrags durch einen anderen ersetzen
Autor
Im Gegensatz zum Redakteur kann ein Autor nicht die Beiträge und Seiten von anderen Autoren verwalten, sondern nur seine eigenen:
- Eigene Beiträge und Seiten veröffentlichen, editieren und löschen
- Bilder, Videos und Dateien hochladen
- Kommentare zu eigenen Beiträgen freischalten
- Eigenen Entwürfen Kategorien und Schlagwörter zuweisen
Mitarbeiter
Ein Mitarbeiter kann Beiträge erstellen, bearbeiten und ihnen Kategorien und Schlagwörter zuweisen, jedoch nur solange die Beiträge als Entwurf gespeichert sind. Die Veröffentlichung ist hingegen nur durch einen Redakteur oder Administrator möglich. Nach der Veröffentlichung kann der Mitarbeiter seinen Beitrag nicht mehr bearbeiten.
Abonnent
Der Abonnent hat keinerleich Rechte für die Inhaltsverwaltung. Er hat lediglich eine Leseberechtigung für private Seiten, die nur für angemeldete Nutzer sichtbar sind. Der Abonnent kann lediglich sein Profil bearbeiten.
Sonderrollen
Durch die Installation von einigen Plugins oder Themes können weitere Nutzerrollen zur Verfügung stehen.
Super-Administrator
Der Super-Administrator steht nur in einem WordPress Multisite-Netzwerk zur Verfügung. Er hat dieselben Berechtigungen wie ein normaler Administrator für sämtliche Webseiten des Systems.
SEO-Editor und SEO-Manager
Wer das kostenlose Yoast SEO Plugin auf seiner WordPress-Seite installiert hat, erhält zwei weitere Benutzerrollen zur Auswahl. Der SEO Editor hat Zugriff auf die Metabox für die SEO-Einstellungen, jedoch keinen Zugriff auf die Yoast Sidebar. Der SEO Manager hat hingegen vollen Zugriff auf alle Funktionen des Yoast Plugins.
Benutzerrollen in WordPress an die eigenen Anforderungen anpassen
Möchtest du die Zugriffsrechte für die Benutzerrollen anpassen, dann kannst du das über ein Plugin wie User Role Editor. Hier kannst du die Berechtigungen einzelner Nutzerrollen bis ins Detail an die jeweiligen Anforderungen anpassen. Du kannst Rollen löschen, umbenennen oder sogar eine ganz eigene Benutzerrolle inklusive individueller Rechte hinzufügen.