Leitfaden zu WordPress User Roles

Warum Benutzerrollen wichtig sind

Das WordPress-Benutzersystem basiert auf dem Prinzip von Rollen und Berechtigungen, wobei jede Rolle einen definierten Satz von Berechtigungen hat, die bestimmen, was ein Benutzer auf der Website tun kann und was nicht. Die richtige Rollenzuweisung ist entscheidend für die Website-Sicherheit, denn wenn jeder Benutzer Administratorrechte hat, kann ein kompromittiertes Konto zur vollständigen Kontrolle über die Website führen. Erfahren Sie mehr über den Schutz Ihrer Website vor Hackern. Es verhindert auch versehentliche Fehler, da ein Benutzer, der nicht auf die Einstellungen zugreifen kann, diese auch nicht versehentlich ändern kann.

WordPress wird mit fünf Standardrollen geliefert, von denen jede einen spezifischen Satz von Fähigkeiten hat. Das Verständnis dieser Rollen ist für jeden Website-Administrator unerlässlich, insbesondere auf Websites mit mehreren Benutzern, wie Blogs mit mehreren Autoren, Firmenwebsites mit einem Team, das Inhalte einpflegt, oder E-Commerce-Plattformen mit Mitarbeitern, die Bestellungen verwalten.

Administrator

Möglichkeiten

Der Administrator hat die volle Kontrolle über die WordPress-Website ohne jegliche Einschränkungen. Diese Rolle umfasst die Möglichkeit, Plugins und Themes zu installieren und zu löschen, Benutzer einschließlich anderer Administratoren hinzuzufügen und zu löschen, Zugriff auf alle Website-Einstellungen, Verwaltung des gesamten Inhalts einschließlich Beiträge und Seiten aller Benutzer, Zugriff auf den Code-Editor zur direkten Bearbeitung von Theme- und Plugin-Dateien, Verwaltung von Kommentaren und Moderation sowie Export und Import von Website-Daten.

Wann verwenden

Die Administrator-Rolle sollte nur Website-Eigentümern und technischen Personen zugewiesen werden, die für das vollständige Management der Website verantwortlich sind. Begrenzen Sie die Anzahl der Administratoren auf ein Minimum, da jedes Administratorkonto eine potenzielle Einbruchsmöglichkeit in die Website darstellt. Auf einer typischen Geschäftswebsite reichen ein oder zwei Administratoren aus. Verwenden Sie niemals ein Administratorkonto für das tägliche Schreiben von Inhalten. Sehen Sie sich unseren Leitfaden zur WordPress-Website-Optimierung an, denn es ist sicherer, ein Konto mit niedrigeren Berechtigungen für Routinearbeiten zu verwenden. Wenn Sie Zugriff auf Administratorfunktionen benötigen, melden Sie sich nur dann mit dem Admin-Konto an, wenn dies erforderlich ist.

Editor

Möglichkeiten

Der Editor oder Redakteur hat die Kontrolle über den gesamten Inhalt der Website, aber keinen Zugriff auf technische Einstellungen. Editoren können beliebige Beiträge und Seiten einschließlich derer, die von anderen Benutzern verfasst wurden, erstellen, bearbeiten, veröffentlichen und löschen, Kategorien und Tags verwalten, Kommentare moderieren und zur Veröffentlichung freigeben, Links verwalten und Mediendateien hochladen. Ein Editor kann keine Plugins installieren, das Theme ändern, Benutzer hinzufügen oder auf technische Website-Einstellungen zugreifen.

Wann verwenden

Die Editor-Rolle ist ideal für den Chefredakteur eines Blogs oder die für die Qualitätskontrolle der Inhalte auf der Website verantwortliche Person. Diese Person überprüft Beiträge, die von Autoren und Mitarbeitern verfasst wurden, gibt sie zur Veröffentlichung frei, korrigiert Fehler und gewährleistet die Konsistenz des Inhalts. Auf einer Unternehmenswebsite ist der Marketing- oder Kommunikationsmanager ein typischer Kandidat für die Editor-Rolle, da er Kontrolle über den Inhalt, aber nicht über die technischen Aspekte der Website haben sollte.

Author

Möglichkeiten

Author oder Autor kann eigene Beiträge erstellen, bearbeiten und veröffentlichen ohne Genehmigung eines Editors oder Administrators. Autoren können Mediendateien hochladen, ihre eigenen veröffentlichten Beiträge bearbeiten und löschen, können aber Beiträge anderer Benutzer nicht bearbeiten oder löschen. Autoren können keine Seiten erstellen, nur Beiträge, können Kategorien und Tags nicht auf Website-Ebene verwalten, aber sie können bestehende Kategorien und Tags zu ihren eigenen Beiträgen hinzufügen. Sie haben keinen Zugriff auf Kommentare außer denen zu ihren eigenen Beiträgen.

Wann verwenden

Die Author-Rolle eignet sich für zuverlässige Autoren, die regelmäßig zum Inhalt beitragen und denen Sie vertrauen, dass sie ohne vorherige Überprüfung qualitativ hochwertige Inhalte veröffentlichen. Journalisten, erfahrene Blogger oder Marketingmitarbeiter, die selbstständig schreiben und veröffentlichen, sind typische Kandidaten. Der Hauptunterschied zwischen Autor und Mitarbeiter besteht darin, dass Autoren Beiträge selbst veröffentlichen können, während Mitarbeiter auf Genehmigung warten müssen. Weisen Sie die Author-Rolle daher nur Personen zu, deren Inhalt keine regelmäßige Überprüfung erfordert.

Contributor

Möglichkeiten

Contributor oder Mitarbeiter kann eigene Beiträge schreiben und bearbeiten, kann sie aber nicht veröffentlichen. Stattdessen reicht der Mitarbeiter den Beitrag zur Überprüfung ein und ein Editor oder Administrator genehmigt und veröffentlicht ihn. Mitarbeiter können keine Mediendateien hochladen, was bedeutet, dass sie keine Bilder zu Beiträgen hinzufügen können. Nachdem der Beitrag veröffentlicht wurde, kann der Mitarbeiter ihn nicht mehr bearbeiten, da der veröffentlichte Beitrag in die Verantwortung des Editors fällt. Diese Einschränkungen machen die Contributor-Rolle sicher für externe Autoren oder Mitarbeiter, denen Sie nicht vollständig vertrauen.

Wann verwenden

Die Contributor-Rolle ist ideal für Gastautoren, freiberufliche Autoren oder neue Teammitglieder, deren Inhalt vor der Veröffentlichung eine Überprüfung erfordert. Auf Blogs, die Gastbeiträge akzeptieren, ermöglicht ein Contributor-Konto externen Autoren, direkt in WordPress zu schreiben, ohne das Risiko, etwas Unangemessenes zu veröffentlichen. Die Einschränkung beim Datei-Upload verhindert den potenziellen Missbrauch zum Hochladen schädlicher Inhalte. Wenn Mitarbeiter Bilder zu Beiträgen hinzufügen müssen, übernimmt das ein Editor oder Administrator nach Überprüfung des Inhalts.

Subscriber

Möglichkeiten

Subscriber oder Abonnent hat die niedrigste Zugriffsstufe und kann nur sein eigenes Profil verwalten und Inhalte lesen, die eine Anmeldung erfordern. Abonnenten können keine Inhalte auf der Website erstellen, bearbeiten oder löschen. Der einzige Unterschied zwischen einem Abonnenten und einem nicht registrierten Besucher besteht darin, dass ein Abonnent ein Benutzerkonto hat, das er zum Kommentieren ohne erneute Eingabe persönlicher Daten und für den Zugriff auf Inhalte verwenden kann, die auf registrierte Benutzer beschränkt sind.

Wann verwenden

Die Subscriber-Rolle wird auf Websites verwendet, die eine Registrierung für den Zugriff auf bestimmte Inhalte, zum Kommentieren oder für den Zugriff auf eine geschlossene Community erfordern. Mitgliedschafts-Websites verwenden Subscriber als Basisrolle für registrierte Benutzer mit der Möglichkeit eines Upgrades auf Premium-Zugriffsstufen. Foren und Communities verwenden Subscriber für Benutzer, die an Diskussionen teilnehmen. WordPress setzt die neue Rolle für registrierte Benutzer standardmäßig auf Subscriber, was eine sichere Option ist, da ein Abonnent keine Möglichkeit hat, Schaden auf der Website anzurichten.

Benutzerdefinierte Benutzerrollen

Warum benutzerdefinierte Rollen erstellen

Die Standardrollen decken nicht alle Nutzungsszenarien ab. Beispielsweise möchten Sie vielleicht eine Rolle, die Beiträge veröffentlichen, aber nicht löschen kann, oder eine Rolle, die Zugriff auf WooCommerce-Bestellungen, aber nicht auf Shop-Einstellungen hat. Benutzerdefinierte Rollen lösen diese spezifischen Anforderungen durch Erstellen von Rollen mit präzise definierten Fähigkeiten, die zu Ihrem Arbeitsprozess passen.

Plugins für die Rollenverwaltung

User Role Editor ist das beliebteste Plugin für die Verwaltung von WordPress-Rollen mit über 700.000 aktiven Installationen. Es bietet eine visuelle Schnittstelle zum Erstellen neuer Rollen, Hinzufügen oder Entfernen von Fähigkeiten aus bestehenden Rollen und Zuweisen mehrerer Rollen zu einem Benutzer. Members vom MemberPress-Team bietet ähnliche Funktionalitäten mit Fokus auf Inhaltszugriffskontrolle nach Rollen. PublishPress Capabilities ist eine weitere Option mit einer übersichtlichen Schnittstelle zur Verwaltung von Fähigkeiten. Alle diese Plugins ermöglichen das Erstellen benutzerdefinierter Rollen ohne Programmierung.

Beispiele für benutzerdefinierte Rollen

SEO-Manager ist eine benutzerdefinierte Rolle, die Zugriff auf SEO-Einstellungen in Yoast oder Rank Math hat, aber den Inhalt von Beiträgen nicht ändern kann. Kommentar-Moderator kann Kommentare verwalten, hat aber keinen Zugriff auf Beiträge oder Seiten. WooCommerce-Produktmanager kann Produkte hinzufügen und ändern, hat aber keinen Zugriff auf Bestellungen oder Finanzdaten. Designer kann das Aussehen der Website ändern und Medien hochladen, kann aber keine Plugins installieren oder Benutzerkonten ändern. Diese benutzerdefinierten Rollen ermöglichen eine präzise Zugriffskontrolle, die der Struktur Ihres Teams entspricht.

Rollen mit Code erstellen

Für Entwickler bietet WordPress eine API zum Erstellen benutzerdefinierter Rollen per Code. Die Funktion add_role nimmt den Rollennamen, den Anzeigenamen und ein Array von Fähigkeiten entgegen. Sie können die Funktionen add_cap und remove_cap verwenden, um einzelne Fähigkeiten aus bestehenden Rollen hinzuzufügen oder zu entfernen. Diese Änderungen sollten nur einmal ausgelöst werden, normalerweise beim Aktivieren eines Plugins oder Themes, nicht bei jedem Seitenaufruf, da sie in der Datenbank gespeichert werden. Das WordPress-Capability-System ist flexibel und ermöglicht die Erstellung feingranularer Berechtigungen für jede Aktion auf der Website.

Sicherheitsempfehlungen

Prinzip der minimalen Privilegien

Weisen Sie einem Benutzer immer die niedrigste Rolle zu, die ihm die Erfüllung seiner Aufgabe ermöglicht. Dies ist als Prinzip der minimalen Privilegien bekannt und einer der Grundpfeiler der IT-Sicherheit. Wenn ein Benutzer nur Beiträge schreibt, geben Sie ihm die Author- oder Contributor-Rolle, nicht Editor oder Administrator. Wenn ein Benutzer nur Inhalte lesen muss, reicht Subscriber aus. Die Überprüfung der Rollen sollte periodisch erfolgen, um unnötige Konten zu entfernen und die Rollen von Benutzern zu senken, die nicht mehr die gleichen Funktionen ausüben.

Zusätzliche Sicherheitsmaßnahmen

Implementieren Sie neben der richtigen Rollenzuweisung die Zwei-Faktor-Authentifizierung, besonders für Administrator- und Editor-Konten. Verwenden Sie starke Passwörter für alle Konten und fordern Sie eine regelmäßige Änderung. Deaktivieren Sie die Benutzerregistrierung, wenn sie für Ihre Website nicht erforderlich ist, da eine offene Registrierung für Spam oder Angriffe missbraucht werden kann. Verfolgen Sie die Benutzeraktivität mit Plugins wie WP Activity Log, das alle Aktionen auf der Website protokolliert und es Ihnen ermöglicht, verdächtige Aktivitäten zu identifizieren.

Fazit

Das WordPress-Benutzersystem mit Rollen und Fähigkeiten bietet eine flexible Zugriffskontrolle, die für Websites mit mehreren Benutzern unerlässlich ist. Administrator für den Website-Eigentümer, Editor für den Content-Redakteur, Author für zuverlässige Autoren, Contributor für externe Mitarbeiter und Subscriber für registrierte Besucher decken die meisten Szenarien ab. Für spezifische Anforderungen bieten benutzerdefinierte Rollen eine präzise Kontrolle über Berechtigungen. Bei BeoHosting unterstützen unsere Pakete für WordPress-Websites eine unbegrenzte Anzahl von Benutzerkonten mit einer schnellen und sicheren Umgebung, die alle Konten auf Ihrer Website schützt.