Benutzerrollen in WordPress richtig festlegen und verwalten

Ohne Benutzer wäre eine Webseite verdammt langweilig. Wenn kein Administrator die nervige Leuchtreklame und den Quellcode verwaltet, kein Autor die Seiten mit Inhalten füllt, kein Shopmanager den Online Shop mit Produkten füllt und kein Kunde die Produkte kauft, kann die Webseite auch genauso gut im Nirvana gehostet sein. Damit wir unsere wertvollen Daten im eigenen Haus behalten können, zeige ich in diesem Beitrag wie man Benutzerrollen in WordPress richtig verwalten muss, damit der uns der Griff zur Klorolle erspart bleibt.

WordPress enthält von Haus aus eine effiziente und recht umfangreiche Benutzerverwaltung, mit der frisch registrierte Nutzer, (Shop-) Kunden, Mitarbeiter oder auch Redakteure und administrative Nutzer gezielt verwaltet werden können. Deshalb ist es wichtig, die Benutzerrollen in WordPress richtig zu setzen.

Natürlich kannst du keine Benutzerrollen in WordPress vergeben, wenn du keine Benutzer auf deiner Seite hast. Für die Praxis reicht ja bereits ein unschuldiger Test-Nutzer, den du dir selber anlegen kannst. Wie du das schaffst, erfährst du in unserer Artikelserie WordPress richtig nutzen: Medien, Benutzer und Kommentare.

Die wichtigsten Benutzerrollen in WordPress

Benutzer können einfach über das Admin-Menü unter Benutzer ➞ Neu hinzufügen angelegt werden. Dabei ist neben der Wahl von Nutzername und E-Mail Adresse auch eine Benutzerrolle zu vergeben (oft auch Benutzerrecht genannt), die darüber entscheidet, welche Rechte der jeweilige Nutzer in der WordPress-Installation hat. Rechte können das Erstellen, bearbeiten oder veröffentlichen von Seiten und Beiträgen sein, die Verwaltung von Medien oder auch Installation von Themes und Plugins. Die Basis – Benutzerrollen in WordPress sind:

Administrator (Admin)

Der Admin hat die vollständigen Benutzerrechte und kann i.d.R. jegliche Aktionen im Backend von WordPress durchführen, wenn sie nicht aus Sicherheitsgründen gesperrt sind. Das umfasst das Editieren von Beiträgen, Seiten, Medien, Kommentaren als auch Installation und Deinstallation von Themes, Plugins und Anpassungen vom Quellcode über den Editor.

Zudem kann der Admin neue Benutzer anlegen oder andere Administratoren bearbeiten und sogar löschen. Dem Schutz des Admin-Kontos kommt somit oberste Priorität zu. In unserem WordPress Security Guide geben wir dir einige Grundregeln für den Umgang mit Admin-Konten vor.

Redakteur (Editor)

Der Redakteur ist die leicht entschärfte Variante des Administrators. Insbesondere Zweitkonten, die für die Interaktion mit der Außenwelt der Webseite genutzt werden, können durch eine Redakteur-Benutzerrolle in WordPress verwaltet werden. Ein Redakteur kann Beiträge bzw. Seiten ansehen und bearbeiten sowie veröffentlichen oder löschen.

Idealerweise wird der Redakteur (aus Sicherheitsgründen) auch für die Interaktion mit öffentlichen Benutzern und Kommentaren verwendet. So lässt sich der Author-Slug gezielt verbergen und gibt gar nicht erst Rückschlüsse auf mögliche Login-Namen von Admin-Konten, für die ein Hacker dann nur noch das treffende Passwort finden müsste. Warum sollen wir es Angreifern unnötig leicht machen?

Autor (Author)

Als Autor führt man einDasein im Schatten des Redakteurs. Er kann nur seine eigenen Beiträge erstellen, bearbeiten und veröffentlichen oder löschen, wenn der mühsam ausgedachte Artikel für die virtuelle Tonne war. Statische Seiten (z.B. die Startseite oder Content-Seiten) gehören nicht zu seinem Machtbereich.

Damit die Autorenbeiträge gegenüber denen der Redakteure aber keinen fulminanten Wettbewerbsnachteil erfahren, kann er zumindest eigene Bilder und Dokumente in der Medientheke hochladen, bearbeiten sowie Links und Tags (Schlagwörter) verwalten.

Mitarbeiter (Contributor)

WordPress-Mitarbeiter können nur die eigenen Beiträge bearbeiten, jedoch nicht veröffentlichen. Eine Veröffentlichung geschieht nur, wenn sie dem Redakteur oder Admin zum Review vorleget und diese von selbigen auch abgesegnet werden. Einmal veröffentlicht, hat der Mitarbeiter keinen Einfluss mehr auf seine (mehr oder minder gute) Arbeit.

Abonnent (Follower)

Die Zuschauer unter den WordPress-Benutzerrollen. Follower haben nichts mit Instagram und Facebook zu tun, sondern werden per E-Mail benachrichtigt, sobald neue Inhalte über die abonnierte WordPress-Plattform veröffentlicht werden. Abonnenten haben zudem keinerlei Bearbeitungsrechte, außer für die eigenen Angaben (Name, Webseite, Adresse etc.).

Gerade bei großen Content-Plattformen mit dem Online-Shopsystem WooCommerce können Follower zum echten Erfolgsfaktor werden, da jeder Abonnent sein Konto automatisch bei der Bestellung in ein WooCommerce Kundenkonto umwandeln kann und so unmittelbar an der Wertschöpfung im E-Commerce beteiligt ist.

Weitere Benutzerrollen in WordPress

Abhängig vom Einsatz gewisser Plugins oder eigenen Modifikationen können noch weitere Benutzerrollen existieren, die ich hier nur kurz anreissen will. Die bekanntesten Benutzerrollen in WordPress werden oftmals durch ein Shopsystem wie Woocommerce um neue Benutzerrollen erweitert:

  • Kunde (Customer): Der Kunde hat ähnliche Rechte wie ein Abonnent/Follower, jedoch zusätzlich ein eigenes Kundenkonto, das bei einer Bestellung im Shop automatisch eröffnet wird und Zugriff auf die eigene Bestellhistorie, ggf. Memberships oder digitale Produkte gewährt. Außerdem ist eine Verwaltung von Rechnungs- und Lieferadressen im Kundenkonto möglich. Das setzt jedoch voraus, dass der Abonnent bei der Bestellung auch ein Kundenkonto eröffnet. Nach aktueller Datenschutz-Lage sollte er dafür nämlich aktiv einwilligen, wenn nicht ersichtlich ist, dass das Konto automatisch eröffnet werden muss.
  • Shop-Manager (WooCommerce): Je nach Definition kann der Shop-Manager Produkte und Bestellungen anlegen, verwalten, bearbeiten oder löschen. Das allgemeine Shop-Management ist seine Aufgabe und wird nur durch individuelle Einschnitte oder Erweiterungen der Shop-Manager Benutzerrolle angepasst.

Benutzerrollen in WordPress ändern und verwalten

Einfacherweise lassen sich die Benutzerrollen in WordPress recht unkompliziert ändern und verwalten. Dazu navigieren wir lediglich ins Backend von WordPress und rufen die zugehörige Benutzerübersicht unter Benutzer ➞ Alle Benutzer auf:

Benutzerrollen durch Benutzerverwaltung ändern

In der Übersicht angekommen, nutzen wir wahlweise die Suchmaske, um nach den betreffenden User zu suchen oder wir orientieren uns einfach in der allgemeinen Übersicht. Angesichts der wenigen Benutzer in unserem Testfall ist das natürlich die einfachste Variante!

Über die Markierung mit dem Cursor lassen sich die angezeigten User direkt „Bearbeiten“, „Löschen“ oder „Anschauen“. Ersteres ist in diesem Fall unsere Wahl.

Alle WordPress Benutzer in der Übersicht

Nach dem Öffnen der Bearbeitungsfunktion können wir im Optionstab unter „Name“ auch die Benutzerrolle ändern. Hier stehen alle Benutzerrollen zur Verfügung, die wir durch Installation zusätzlicher Plugins freigeschaltet haben.

Wir können in unserem Beispiel einfach die Benutzerrolle von „Abonnent“ auf „Mitarbeiter“ umstellen und speichern die Veränderung durch einen Klick auf die Funktion „Benutzer aktualisieren“.

Benutzerrollen in WordPress lassen sich einfach über das Benutzermenü verändern

Benutzerrollen in WordPress mit User Role Editor anpassen

Die einzelnen Berechtigungen für jegliche Aktionen sind im WordPress-Core sehr genau definiert. Auf Basis dieser Definitionen funktioniert das User Role Editor-Plugin, mit dem alle Benutzerrollen in WordPress nach Bedarf angepasst werden können. Bei der Anpassung von Rechten sollte jedoch mit Vorsicht agiert werden, damit keine groben Fehler zum Kollaps der wordpress-internen Rechtstaatlichkeit führen. Anders wie in hiesigen Demokratien gibt es hier nämlich keine Gewaltenteilung. Wer Adminrechte hat, hat nunmal das Sagen. Zumindest so lange, bis uns ein anderer Admin das Sagen entzieht.

Wichtig: Vor jeglicher Anpassung der Benutzerrollen sollte zwingend ein Datenbank-Backup angelegt werden, damit im Worst Case ein Backup die Benutzerrechte wiederherstellen kann. Alternativ reicht aber auch die Deaktivierung des Plugins, falls man keine selbständigen Änderungen in der internen Berechtigungsstruktur von WordPress vornimmt.

Benutzerrollen in WordPress mit User Role Editor anpassen

Wenn du bei der Einrichtung von Benutzerrollen Probleme hast, kannst du dich gerne an unseren WordPress Support wenden.