/ Von

User Roles

Technisch

WordPress Benutzerrollen: Wer darf hier eigentlich was?

Wenn du eine WordPress Seite betreibst, ist das Rechtemanagement oft der Punkt, an dem Sicherheitsprobleme entstehen. Oft sehe ich Setups, in denen jeder Nutzer volle Admin-Rechte hat. Das ist ein Risiko. WordPress bringt von Haus aus ein solides System mit, um genau zu steuern, wer was darf. Hier ist der Überblick, damit du das sauber aufsetzen kannst.

Die Standard-Rollen im Überblick

WordPress unterscheidet strikt nach Hierarchie. Je weiter unten in der Liste, desto weniger „Schaden“ kann der Account anrichten.

  • Administrator: Der Chef im Ring. Dieser User darf alles. Plugins installieren, Themes ändern, Core-Updates fahren und andere User löschen. Mein Tipp: Nutze diesen Account nur für technische Wartung, nicht zum Schreiben von Beiträgen.
  • Redakteur (Editor): Der Content-Manager. Er hat Zugriff auf alle Inhalte der Seite. Er kann Beiträge von anderen schreiben, bearbeiten, veröffentlichen und sogar löschen. Er kommt aber nicht an die technischen Einstellungen (Plugins/Themes) ran.
  • Autor: Der eigenständige Schreiber. Ein Autor darf eigene Beiträge verfassen, Bilder hochladen und diese selbstständig veröffentlichen. Er darf aber nicht in die Texte anderer eingreifen oder Seiten (Pages) erstellen.
  • Mitarbeiter (Contributor): Der Zuarbeiter. Er darf Texte schreiben und im Backend speichern, aber nicht selbst veröffentlichen. Ein Administrator oder Redakteur muss den Text freigeben. Wichtig: Mitarbeiter können oft keine Mediendateien (Bilder) hochladen.
  • Abonnent (Subscriber): Der Zuschauer. Diese Rolle ist der Standard für registrierte Leser. Sie können ihr eigenes Profil pflegen (Passwort ändern, eMail anpassen), haben aber absolut keinen Zugriff auf Inhalte oder Einstellungen im Backend.

Warum ist das wichtig?

Es geht um das „Principle of Least Privilege“ (Prinzip der geringsten Rechte). Gib jedem Nutzer nur exakt so viele Rechte, wie er für seinen Job braucht. Wenn ein Account gehackt wird, der nur „Mitarbeiter“ ist, bleibt deine Seite technisch sicher. Ist es ein Admin-Account, gehört die Seite dem Angreifer.

Wichtig zu wissen: Wenn du WooCommerce nutzt, kommen automatisch weitere Rollen wie „Shop Manager“ oder „Customer“ dazu, die sich zwischen die oben genannten schieben. Auch Plugins wie Yoast SEO oder MemberPress können eigene Rollen definieren. Prüfe also immer unter „Benutzer“, wer aktuell welchen Hut aufhat.