WordPress

Dec 01, 2021 • in 7 Min gelesen

0 Kommentare

Alles, was Sie über WordPress-Benutzerrollen und Berechtigungen wissen müssen, um sie sinnvoll einzusetzen

Inhaltsverzeichnis

Mit dem Wachstum der Popularität, Anwendungsoptionen und Komplexität von WordPress haben wir alle etwas sehr Wichtiges gelernt – dass es keine erfolgreiche Strategie ist, jeden Benutzer zum Administrator zu machen. Glücklicherweise bietet uns WordPress ein sehr leistungsstarkes Tool namens Benutzerrollen and -Berechtigungen, das uns hilft, den Benutzern genau die Berechtigungen zu geben, die sie brauchen – nichts mehr oder weniger. Dies hilft uns, die Sicherheit unserer Websites zu gewährleisten.

In diesem Artikel sprechen wir über:

Was sind WordPress-Benutzerrollen

Je größer und komplexer Websites werden, desto mehr Leute brauchen sie, um sie zu verwalten und zu warten.

Ja, Websites benötigen immer noch:

  • Autoren, die neue Inhalte schreiben, die das Leben der Menschen verbessern.
  • Redakteure, um alle Fehler in den Inhalten der Autoren zu beheben
  • Administratoren, damit alles aktualisiert wird und reibungslos funktioniert
  • Mitarbeiter, die Redakteure beim Bearbeiten von Beiträgen unterstützen
  • Abonnenten, die uns möglicherweise Geld gezahlt haben, und sich zumindest bei uns registriert und uns eine E-Mail-Adresse gegeben haben. (das auch etwas wert ist)

Aber heutzutage brauchen Websites auch:

  • Lagermitarbeiter, die sich anmelden, Etiketten drucken und Produkte versenden.
  • Buchhaltungspersonal, um sicherzustellen, dass wir alle Gelder einziehen, die uns geschuldet sind.
  • Social Media Manager, die hinter die Kulissen schauen können, aber nicht unbedingt etwas ändern.
  • Community-Mitglieder, die ein Premium-Abonnement bezahlt haben, um auf die wirklich guten Sachen zuzugreifen, die die Autoren schreiben und die Redakteure bearbeiten
  • Und natürlich… Premium-Community-Mitglieder, die sich einloggen und auf die wirklich WIRKLICH guten Dinge zugreifen können, die wir für die wenigen besonderen aufheben, die unsere Vision verstehen und auf Premium-Niveau abonnieren.

Die Liste der benötigten WordPress-Benutzerrollen ist endlos. Sie ändert sich bei jeder Site, da die Anforderungen jeder Site unterschiedlich sind.

Die wichtigsten Arten von WordPress-Benutzerrollen und ihre Berechtigungen

Eine WordPress-Benutzerrolle ist eine Sammlung von Berechtigungen. Eine Berechtigung ist die Fähigkeit, etwas zu tun. Die Standard-WordPress-Installation umfasst etwa 40 Berechtigungen sowie standardmäßig 6 Benutzerrollen, geordnet nach der Leistungsstufe dieser Berechtigungen:

Administrator:

Die Standardadministratorrolle (nicht zu verwechseln mit dem Administratorkonto, das Sie auf Ihrer Site nicht haben sollten. Wenn Sie es haben, stoppen Sie gleich hier und sehen Sie sich zuerst dieses Video (in Engl.) an) verfügt über alle Standardberechtigungen.

Was kann ein WordPress-Administrator tun?

Auf einer normalen WordPress-Site gibt es nichts, was die Administratorrolle nicht tun kann, wie zum Beispiel:

  • Benutzer hinzufügen oder löschen und deren Berechtigungen verwalten
  • WP-Dashboard anpassen
  • Den WP-Kern, die Themen und Plugins aktualisieren
  • Beiträge und Kategorien bearbeiten und verwalten
  • Daten hochladen
  • Kommentare moderieren
  • …und vieles mehr.
Wer sollte die Administratorrolle erhalten?

Die Administratorrolle sollte der Person vorbehalten sein, die für die technischen Aspekte der Site verantwortlich ist. Wenn Sie die Sicherheit der Site nicht verwalten, Plugins nicht aktualisieren und Probleme nicht beheben, sollten Sie wahrscheinlich kein Administrator sein.

Aus Sicherheitsgründen erstelle ich immer ein separates Konto, das ich auf meinen Websites als Administrator verwende. Mein normales Konto – das ich zum Posten von Inhalten und zum Verwalten von Benutzern verwende – ist ein Redakteur. Daher muss ich mich bewusst dafür entscheiden, mich einzuloggen, um Administrator-Aufgaben zu erledigen.

Meine Konten auf Administratorebene haben alle die Zwei-Faktor-Authentifizierung aktiviert (siehe unten) und haben sehr starke Passwörter.

Die Dinge werden etwas komplizierter, wenn Sie eine WordPress-Multisite betreiben, da die Benutzerberechtigungen des Administrators für diese Art von Sites begrenzt sind. Dafür gibt es in WordPress eine Bonus-WordPress-Benutzerrolle, die Super-Admin-Rolle.

Redakteur:

Der Redakteur verwaltet alles. Das Konto, mit dem ich mich normalerweise bei meinen Sites anmelde, ist ein Redakteur-Konto. Ich kann alles tun, außer Plugins, Themes und andere technische Dinge zu verwalten, die ernsthafte Vorüberlegungen erfordern. Da mein tägliches Konto mit der Redakteurrolle ist, kann ich nicht versehentlich ein Plugin oder ein Theme deaktivieren oder löschen.

Wer sollte die Rolle des Redakteurs bekommen?

Jeder, der Sachen auf Ihrer Website verwaltet (Inhalte, Benutzer usw.), ist ein Kandidat für die Rolle eines Redakteurs.

Lassen Sie sich nicht vom Rollennamen täuschen, der Redakteur ist immer noch eine sehr mächtige Rolle und kann in den falschen Händen Ihrer Website ernsthaften Schaden zufügen. Erwägen Sie ernsthaft, die Zwei-Faktor-Authentifizierung für Editoren zu aktivieren und starke Passwörter zu erzwingen, um diese Konten zu schützen.

Autor:

Als nächstes kommt die Autorenrolle. Die Rolle des Autors ist eine viel eingeschränktere Rolle. Grundsätzlich kann ein Autor: Dateien hochladen und eigene Beiträge erstellen, bearbeiten, veröffentlichen oder löschen.

Wer soll die Autorenrolle bekommen?

Die Autorenrolle eignet sich hervorragend für Gastposter in einem Blog oder regelmäßige Autoren, deren einzige Funktion darin besteht, Inhalte zu schreiben und zu bearbeiten.

Abonnent:

Ein Abonnent ist ein Gast, der sich bei Ihrer Site registriert hat. Sie haben keine anderen Fähigkeiten, als Inhalte zu lesen und ihre Informationen zu bearbeiten.

Einige Websites enthalten Inhalte, die für Benutzer nicht sichtbar sind, es sei denn, sie registrieren sich. Der Abonnent ist eine gute Rolle dafür. Sie benötigen ein Plugin, um Inhalte vor Benutzern ausblenden zu können, die keine bestimmte Rolle oder genug Berechtigungen haben, aber diese sind im WordPress Plugin-Repository leicht zu finden.

Andere Rollen:

Viele Plugins, die Sie installieren, fügen WordPress automatisch neue Rollen und neue Berechtigungen hinzu. Wenn Sie beispielsweise WooCommerce installieren, wird die Rolle “Kunde” hinzugefügt. Ein Kunde verfügt über bestimmte Berechtigungen, die sich hauptsächlich darauf beziehen, dass er seine eigenen Daten anzeigen und ändern, seine Rollen einsehen kann usw. Personen gehen in die Rolle eines „Kunden“ ein, wenn sie etwas kaufen und ein Konto auf Ihrer Website einrichten.

So weisen Sie Ihren Site-Benutzern WordPress-Benutzerrollen zu

WordPress wird nicht mit einem integrierten Rollen- und Berechtigungseditor geliefert (mehr dazu weiter unten). Sie können Ihren Benutzern jedoch verschiedene Rollen zuweisen. Es gibt zwei Möglichkeiten, dies mit einer Standard-WordPress-Installation zu tun.

1. Manuell

Sie können jeden Benutzer auf Ihrer Site im Benutzereditor aufrufen und die gewünschte Rolle auswählen.

Im obigen Screenshot habe ich Abonnent für mein Site-Mitglied Hans Mustermann ausgewählt. Sie können Rollen beliebig oft zuweisen und neu zuweisen.

2. Automatisch

Wenn Sie ein Konto mit der Rolle des Administrators verwenden, können Sie in das WordPress-Admin-Dashboard gehen und Einstellungen > Allgemein auswählen. Dort finden Sie ein Dropdown-Menü, in dem Sie entscheiden können, welche Rolle Benutzern automatisch zugewiesen werden, wenn sie sich auf Ihrer Site registrieren. Dies ist standardmäßig “Abonnent“, aber Sie können es auf jede beliebige Rolle einstellen.

So verwalten und bearbeiten Sie WordPress-Benutzerrollen und ihre Berechtigungen

Wie gesagt, fast alle Berechtigungen sind dem Administrator vorbehalten, das bedeutet nicht, dass Sie die Dinge nicht ändern können. Manchmal möchten Sie, dass Ihre Mitarbeiter Kommentare moderieren können, eine Berechtigung, die normalerweise Redakteuren vorbehalten ist. WordPress ist flexibel genug, um Berechtigungen zu vergeben und sogar neue Rollen zu erstellen.

Out of the box gibt es keine gute Möglichkeit, sich existierende Rollen und Berechtigungen in WordPress anzusehen, oder neue zu erstellen. Wenn Sie ein Programmierer sind, können Sie natürlich Code schreiben, um die Rollen anzuzeigen, und sogar Code schreiben, um neue Rollen zu erstellen. Aber wo bleibt der Spaß?

Wie immer in WordPress gibt es die einfache Möglichkeit, Rollen und Berechtigungen zu verwalten, durch die Installation eines Plugins. Wie immer in WordPress stehen viele gute Plugins zur Auswahl, die Ihnen helfen, Benutzerrollen und -Berechtigungen zu sehen, zu verwalten und zu erstellen.

Da es so viele Plugins gibt, kann ich Ihnen nicht sagen, welches das Beste ist. Ich kann Ihnen jedoch sagen, welches ich verwende. Ich benutze den User Role Editor von Vladimir Garagulya und benutze ihn seit einiger Zeit.

Der Hauptgrund, warum ich mich für dieses spezielle Plugin entschieden habe ist, dass es die Arbeit gut macht. Der zweitwichtigste Grund, warum ich mich dafür entschieden habe, war, dass es kostenlos ist und ich darauf stehe. Wenn ich kostenlos sage, meine ich, dass ich die kostenlose Version verwende. Vladimir hat mehrere Optionen für diejenigen, die die erweiterten Funktionen wünschen, und dieser Code ist das Geld wert.

So verwalten Sie WordPress-Benutzerrollen mit dem Benutzerrollen-Editor

Nach der Installation des Benutzerrollen-Editors werden Sie wahrscheinlich feststellen, dass Ihrer linken Seitenleiste kein weiteres Menüelement hinzugefügt wurde. Stattdessen wird dem Menü „Benutzer“ ein Untermenüpunkt „Benutzerrollen-Editor“ hinzugefügt.

Klicken Sie darauf und Sie erhalten eine vollständige Liste aller Berechtigungen, die derzeit auf Ihrem System verwendet werden.

Auf der rechten Seite der Liste befinden sich eine Reihe von Schaltflächen, mit denen Sie neue Rollen und Berechtigungen hinzufügen können.

Das Bildschirmlayout kann anfangs etwas verwirrend sein. Sobald Sie jedoch anfangen, herumzustöbern und zu sehen, wie die Dinge angeordnet sind, werden Sie es schnell lieben lernen.

Wie Sie sehen, werden Ihnen alle Berechtigungen angezeigt, auf die die Administratorrolle Zugriff hat, wenn Sie im Dropdown-Menü oben auf dem Bildschirm die Rolle „Administrator“ auswählen. (Hinweis: Alle)

Der Baum auf der linken Seite zeigt, wie die Berechtigungen aufgeschlüsselt und organisiert sind. Auf diese Weise müssen Sie nicht durch die gesamte Liste scrollen, um die zu finden, die Sie ein- oder ausschalten möchten.

Um das oben verwendete Beispiel zu verwenden: Wenn ich möchte, dass meine Mitarbeiter Kommentare moderieren können, wähle ich als Erstes „Mitarbeiter“ aus der Liste der Rollen aus.

Nach der Auswahl sehe ich, dass fast alle Kontrollkästchen verschwinden. Im Baum links gibt mir jede Kategorie 2 Zahlen, die Anzahl der Berechtigungen in dieser Kategorie und die Anzahl der Berechtigungen, die diese Rolle in dieser Kategorie hat. Im Fall von „Mitarbeiter“ sind die meisten der zweiten Zahl 0.

Durch den Baum auf der linken Seite können wir “Beiträge” auswählen, um die Berechtigungen für moderate Kommentare zu finden.

Um unseren Mitarbeiter die Möglichkeit zu geben, Kommentare zu moderieren, aktivieren Sie einfach das Kontrollkästchen und klicken rechts auf „Aktualisieren“.

Das ist alles. Jetzt kann jede Person, die sich anmeldet und ein „Mitarbeiter“ ist, Kommentare zu Beiträgen moderieren.

Das gibt Ihnen ein Gefühl dafür, wie einfach es ist, vorhandene Benutzerrollen und -Berechtigungen zu verwalten.

So erstellen Sie Neue WordPress-Benutzerrollen und -Berechtigungen mit dem Benutzerrollen-Editor

Was ist mit neuen Rollen und Fähigkeiten? Sind die so einfach zu verwalten? Ja, sie sind.

Klicken Sie rechts auf „Rolle hinzufügen“ und folgen Sie den Anweisungen.

Wenn Ihre neue Rolle einer vorhandenen Rolle ähnelt, haben Sie sogar die Möglichkeit, eine vorhandene Rolle zu klonen, um Zeit zu sparen. Dann können Sie die Fähigkeiten Ihrer neuen Rolle einfach an Ihre Bedürfnisse anpassen.

Neue Berechtigungen hingegen sind etwas schwieriger. Ja, Sie können sie in der Benutzeroberfläche definieren, aber wenn es keinen Code gibt, der die Verwendung der Berechtigungen definiert, wird das keine Auswirkungen haben. Sprechen Sie mit Ihrem Programmierer, bevor Sie mit dem Hinzufügen von Berechtigungen beginnen.

Sicherheit der WordPress-Benutzerrollen

Wie Sie gesehen haben, ist es wirklich einfach, neue Rollen hinzuzufügen und sie an Ihre Bedürfnisse anzupassen. Nur weil es einfach ist, heißt das nicht, dass Sie sofort eine Reihe von ihnen hinzufügen sollten. Bevor Sie beginnen, setzen Sie sich hin und entscheiden Sie, warum eine neue Rolle notwendig ist. Was wird diese neue Rolle tun oder nicht tun können, das sie von bestehenden Rollen unterscheidet. Je mehr Rollen Sie hinzufügen, desto mehr müssen Sie verwalten.

Außerdem gibt es 2 Dinge, die Sie für eine bessere WordPress-Sicherheit in Bezug auf Benutzerrollen tun können:

Wenden Sie das Prinzip der geringst möglichen Privilegien an

Wenn Sie sich entschieden haben, Ihrem System eine neue Rolle hinzuzufügen, stellen Sie sicher, dass Sie das Prinzip der geringst möglichen Privilegien (in Engl.) einhalten. Beim Erstellen von Rollen ist weniger mehr. Geben Sie Ihren neuen Rollen nur die Mindestberechtigungen, die sie zur Erfüllung ihrer Rolle benötigen. Wenn Sie eine Buchhaltungsrolle einrichten, geben Sie ihr nicht die Möglichkeit, Beiträge zu löschen. Halten Sie sich an das Minimum, Sie können später jederzeit Rechte hinzufügen, wenn Sie brauchen.

Implementieren der Zwei-Stufen-Authentifizierung (2FA)

Stellen Sie für jede neue Rolle sicher, die Sie einrichten und über bedeutende Berechtigungen verfügt, dass Sie die Zwei-Stufen-Authentifizierung (in Engl.) für diese Rollen einrichten und erzwingen.

Wenn die Administratorrolle die einzige signifikant mächtige Rolle ist, die Sie haben, dann ist das SiteGround Security Plugin eine großartige Option. Es macht die Einrichtung von 2FA für die Admin-Rolle sehr einfach. Hier ist eine Demo, wie es funktioniert (in Engl.).

Wenn Sie andere Rollen mit erheblichen Befugnissen haben oder die personenbezogene Daten (PII) für andere Benutzer ansehen können, stellen Sie sicher, dass auch diese 2FA erzwungen haben. Es gibt mehrere gute (kostenlose) 2FA-Plugins, die Ihnen dabei helfen können.

Fazit

WordPress verfügt über ein Power-User-Rollen- und -Berechtigungssystem, das flexibel genug ist, die Anforderungen fast jeder Website zu erfüllen. Wie jedes leistungsstarke Tool können Sie damit Ihrer Website jedoch Schaden zufügen. Sie können Benutzern die Berechtigungen sperren, die sie für den Zugriff auf die Site benötigen, oder Benutzern die Möglichkeit geben, Schaden anzurichten.

Bevor Sie beginnen, halten Sie inne, denken Sie nach und handeln erst dann. Das ist die erfolgreiche Strategie für die Verwaltung von Benutzerrollen und -Berechtigungen in WordPress.

Cal Evans

PHP-Evangelist

Einer der am meisten bewunderten Menschen in der PHP-Community, der sich seit mehr als 16 Jahren dem Aufbau der fantastischen PHP-Community und der Betreuung der nächsten Generation von Entwicklern widmet. Wir fühlen uns sehr geehrt, dass er auch ein ganz besonderer Freund von SiteGround ist.

Starten Sie die Diskussion

Einen Kommentar hinzufügen

Ähnliche Posts

Core Web Vitals: Was sie sind und wie man sie verbessern kann (Leitfaden)

  • Oct 28, 2024
  • 0
Autoren-Avatar

Nikola Knezhevich

SEO Manager

Verbessertes SiteGround-E-Mail-Marketing-Tool, jetzt mit Plugin zur Lead-Generierung für WordPress

  • Sep 12, 2023
  • 0
Autoren-Avatar

Hristo Pandjarov

Direktor für Produktinnovation

Website-Leistungsmetriken erklärt

  • Feb 27, 2023
  • 0
Autoren-Avatar

Dilyana Kodjamanova

Digital Marketing Spezialistin