Jeder mit Admin-Rechten kann im Backend einer WordPress-Website Plugins installieren oder deaktivieren, Änderungen an den Inhalten sowie im Theme vornehmen. Benutzerrechte wie die Admin-Rolle sollten deshalb nur sparsam an wenige, erfahrene WordPress-User vergeben werden. Aber wie können dann weitere Mitarbeitende in die Website-Pflege eingebunden werden? Ganz einfach: Mit den passenden Benutzerrollen erhalten sie die Bearbeitungsrechte, die sie für ihre Tätigkeiten benötigen.
Was sind Benutzerrollen in WordPress?
Im Backend ist die Rechtevergabe für User über sogenannte Benutzerrollen geregelt. Vom Admin bis zum Abonnenten ist genau definiert, wer was und mit welchen Auswirkungen verändern darf.
Diese Rollenregelung folgt dem Prinzip aufsteigender Rechte: Abonnenten erhalten die geringsten Optionen zum Ändern einer WordPress-Website. Superadmins verwalten dagegen sogar Multisites, d. h. mehrere miteinander verbundene WordPress-Sites gleichzeitig.
Admins vergeben die Benutzerrolle für jeden neu registrierten User individuell, als Standardrolle wird die der Abonnenten empfohlen. Sie kann am wenigsten am Design oder an sicherheitsrelevanten Einstellungen verändern.
Sicherheitsaspekte bei der Rechtezuweisung
Websites fallen oft automatisierten Hackingangriffen zum Opfer, wobei häufig Sicherheitslücken in Themes und Plugins ausgenutzt werden. Sind User-Accounts ohne echte Notwendigkeit mit umfassenden Rechten ausgestattet, gilt auch das als Sicherheitslücke.
Dazu kommt ein weiterer Aspekt. In größeren Teams kann es praktisch sein, mehrere Personen an der Website arbeiten zu lassen. Kann hier jeder frei schalten, werden unter Umständen wichtige Plugins entfernt oder Strukturänderungen vorgenommen, die nicht so leicht rückgängig gemacht werden können. Schon deshalb ist es sinnvoll, umfassende Rechte auf einen möglichst kleinen Personenkreis zu begrenzen.
Dieser Punkt wird umso wichtiger, wenn Shop- und damit Kundendaten involviert sind. Dann ist im Rahmen einer sensiblen Datenverarbeitung genau zu definieren, wer Zugang zu welchen Daten erhält.
Die Rechteverteilung auf einen Blick
Superadmin – kann alles, über mehrere miteinander verbundene WordPress-Sites hinweg. Insbesondere Änderungen am Design (Theme), an Plugins, den Inhalten von Seiten und Beiträgen sowie die Rechteerteilung aller anderen User.
Hier ist die Rolle angebracht: Für Netzwerk-Administratoren, die mehrere WordPress-Sites betreuen und verwalten müssen. Sind normalerweise erfahren im Umgang mit Multi-Sites und entsprechend umsichtig, wenn sie Veränderungen vornehmen.
Admin – kann alles, aber nur auf einer einzelnen WordPress-Site.
Hier ist die Rolle angebracht: Für WordPress-Administratoren einer einzelnen Site, die von administrativen Aufgaben bis zu Designänderungen oder Updates alle Änderungen an der Website vornehmen müssen. Grundverständnisse über Sicherheitslücken und die generelle Struktur einer WordPress-Seite sollten vorhanden sein. Diese Rolle wird deshalb oft von WordPress-Agenturen (extern) oder dem IT-Verantwortlichen (intern) besetzt.
Redakteur – kann eigene Seiten und Beiträge erstellen, editieren und veröffentlichen plus die Inhalte von anderen Usern editieren und löschen.
Hier ist die Rolle angebracht: Für Content-Verantwortliche, die die Veröffentlichungen von mehreren Redakteuren, Autoren und Mitarbeitern steuern. Sie können bereits fertige Artikel und Seiten publizieren, vorhandene Inhalte editieren und bei Bedarf neu veröffentlichen. Redakteure sind in der Regel für mehrere Themenbereiche zuständig und behalten durch die umfangreicheren Rechte die Kontrolle über die Inhaltserstellung.
Autor – kann eigene Seiten und Beiträge erstellen, editieren, veröffentlichen oder löschen.
Hier ist die Rolle angebracht: Für Content-Ersteller, die selbstständig eigene Artikel erstellen und veröffentlichen können, ohne auf Freigabe durch einen Redakteur warten zu müssen.
Mitarbeiter – kann eigene Beiträge erstellen und editieren, aber nicht veröffentlichen.
Hier ist die Rolle angebracht: Für Content-Ersteller, deren Inhalte einem Freigabeprozess unterliegen. Sprich: Im Workflow ist die Freigabe durch einen Redakteur vorgesehen, der Veränderungen vornehmen oder Bild- und Videomaterial ergänzt, bevor der Beitrag in WordPress online gehen kann.
Abonnent – kann Inhalte sehen, die nur nach dem Einloggen verfügbar sind und sein eigenes Profil editieren.
Hier ist die Rolle angebracht: Ideal für User, die keine Inhalte veröffentlichen sollen, aber Zugriff zu geschützten Bereichen der WordPress-Site benötigen.
Zusammenfassung der WordPress-Rollen
| User kann … | User kann nicht … | |
| Superadmin | alles (mehrere WordPress-Websites) |
– |
| Admin | alles (eigene WordPress-Website) |
– |
| Redakteur (Editor) | Eigene Inhalte erstellen,
Inhalte von anderen editieren/löschen. |
Design ändern, Plugins installieren, aktivieren oder deaktivieren. |
| Autor (Author) | eigene Inhalte erstellen, editieren und veröffentlichen/löschen. | Inhalte von anderen editieren,
Design ändern, |
| Mitarbeiter (Contributor) | eigene Inhalte erstellen und editieren. | Inhalte veröffentlichen, Inhalte von anderen editieren,Design ändern, Plugins installieren, aktivieren oder deaktivieren. |
| Abonnent (Subscriber) | geschützte Inhalte sehen,
eigenes Profil editieren. |
eigene Inhalte erstellen, editieren oder veröffentlichen, Inhalte von anderen editieren,Design ändern, Plugins installieren, aktivieren oder deaktivieren. |
Benutzerrechte im Workflow
„So viel wie nötig, so wenig wie möglich“ ist ein guter Ansatz, um im Team über den Zugang zu verschiedenen Rollen zur Bearbeitung der Website zu sprechen. Das gilt vor allem für die Rollen als Redakteur, Autor oder Mitarbeiter.
Beispiel: Übernimmt ein Teammitglied die generelle inhaltliche Bearbeitung, ohne sich mit anderen abstimmen zu müssen? Dann ist die Redakteursrolle sinnvoll.
Arbeiten Sie dagegen mit einem umfangreichen Team aus internen und freien Kräften und müssen einzelne Änderungen noch besprochen und bei Bedarf angepasst werden? Dann sollten vielleicht nicht alle Zugang als Redakteure erhalten, sondern je nach Status wahlweise als Mitarbeiter oder Autoren eingestuft werden.
Admin-Rechte bleiben dagegen im besten Fall in der Hand von IT-Verantwortlichen, die Design-Anpassungen und Backups sowie Updates übernehmen.
Tipp: Aktualisieren Sie die Inhalte Ihrer Website vorrangig allein, dann ist es trotzdem sinnvoll, sich neben dem Admin-Account eine Redakteurs-Zugang für reine Beitrags- und Seitenaktualisierungen anzulegen.