Beim Einrichten und dem Betrieb von Internetseiten mit WordPress werden an verschiedenen Stellen E-Mailadressen angegeben. Dabei sollte man aus Sicherheitsgründen unbedingt Vorsicht walten lassen. Wenn man sich nicht vorsieht, könnten sich Hacker mit Hilfe bestimmter Mailadressen Zugang zum System verschaffen. Deshalb solltest Du Dich bei Deinen E-Mailangaben an ein paar wichtige Grundsätze halten.
An welchen Stellen einer WordPress-Website muss man denn nun Angaben zu E-Mails machen? Es geht bereits los, wenn Du Deine WordPress-Installation einrichtest. Und es geht weiter, wenn Du die Grundeinstellungen anpasst und falls Du ein Team zur Bearbeitung der Inhalte der Website zusammenstellst. Vergiss auch nicht, dass Du den Besuchern Deiner Website an verschiedenen Stellen Kontaktmöglichkeiten per E-Mail anbieten solltest oder gar aus gesetzlichen Gründen musst, siehe weiter unten im Abschnitt Über öffentliche Kontakte.
Vor diesem Hintergrund ist es mir ein wichtiges Anliegen, Dich darauf hinzuweisen, dass im Rahmen des Betriebes einer Internetpräsenz verschiedene Rollen auftauchen, die Du und Dein Team – oder gar nur Du alleine abdecken musst.
Andererseits sind vor allem Menschen, die erstmals mit ihrer Präsenz in einem weltweit verfügbaren Medium konfrontiert werden, nicht auf eine solche Rollenunterscheidung vorbereitet. Sehr viele von uns verwenden eine einzige E-Mailadresse für die verschiedensten Zwecke. (Die meisten haben zwar mittlerweile begriffen, dass sie ihre private Mailadresse baerchen81@web.de nicht unbedingt in Bewerbungsunterlagen für den neuen Job verwenden sollten. Aber selbst das kommt noch immer regelmäßig vor.)
Ich erkläre im Folgenden, warum Du Dich als Webseitenbetreiber daran gewöhnen solltest, mehrere Mailpostfächer zu besitzen und auch regelmäßig abzurufen statt an allen Stellen stets Deine gleiche, seit Jahrzehnten bewährte Mailadresse anzugeben.
Über Administratoren und Webmaster
Sobald Du im Einrichtungsprozess von WordPress Deine Installation aktivierst (siehe Schritt 4. im verlinkten Beitrag), gibst Du unter anderem eine E-Mailadresse an. Diese Adresse erscheint danach an zwei Stellen:
- WordPress legt eine erste Benutzerkennung unter der angegebenen Mailadresse an. Dieser Benutzer besitzt Administrationsrechte, ist also sozusagen der Schlossherr.
- Die gleiche Mailadresse wird automatisch als allgemeine „Administrator-E-Mail-Adresse“ eingetragen. Diese technische Adresse verwendet WordPress für die Kontaktaufnahme in Notfällen, falls etwas auf der Website nicht mehr funktioniert. Du findest diese Adresse im Administrationsmenü unter Einstellungen > Allgemein. (Siehe auch Beitrag zu den Grundeinstellungen.)
Über technische Ansprechpartner
Im Laufe der Funktionserweiterung Deiner Installation könnten verschiedene Plugins hinzukommen. Manche dieser Plugins benötigen ebenfalls eine E-Mailadresse, um mit Dir in Kontakt treten zu können. Ein Beispiel für solche Plugins könnte ein Kontaktformular sein. Wenn ein Seitenbesucher das Formular ausfüllt wird in der Regel eine Nachricht mit seinen Angaben in den Formularfeldern verschickt, und zwar an eine – E-Mailadresse! Die meisten Plugins übernehmen für solche Zwecke zunächst die „Administrator-E-Mail-Adresse“ aus den Einstellungen:
- Kontaktadresse(n) für Plugins
Über öffentliche Kontakte
Wenn Du auch meine Beiträge zur Impressumspflicht und zur Datenschutzerklärung gelesen hast, wird Dir sicher klar sein, dass auf diesen beiden Seiten für die Weltöffentlichkeit lesbar E-Mailadressen angegeben werden müssen:
- Mailpostfach des Verantwortlichen für die Website
- Gegebenenfalls Mailpostfach des redaktionell Verantwortlichen
- Kontaktadresse für Besucher, die ihre Rechte gemäß DSGVO ausüben wollen
Ohne lange nachdenken zu müssen, haben wir also sechs unterschiedliche Rollen ausgemacht. Dabei ist leicht zu erkennen, dass sich Konflikte ergeben können. Auf den wichtigsten Konflikt, den Du auf jeden Fall berücksichtigen musst, weise ich als erstes hin:
Administratoren vs. Verantwortliche
Die E-Mailadresse, die Du bei der Aktivierung von WordPress eingetippt hast (siehe 1.), darf auf keinen Fall auf öffentlichen Seiten genannt werden. Du würdest es Angreifern schon sehr leicht machen, wenn sie sich mit der ablesbaren Adresse eines Verantwortlichen (siehe 4. bis 6.) als Administrator Deiner Installation anmelden und Deine Website übernehmen könnten.
Denn bedenke: Auf https://meinewebsite.de/wp-login
kann man sich alternativ mit der Benutzerkennung oder eben der dazu passenden E-Mailadresse einloggen. Wenn die Mailadresse des Administrators im Impressum steht, kannst Du gleich Deinen Wohnungsschlüssel auf die Fußmatte legen statt wenigstens darunter.
Gleiches gilt natürlich für alle Benutzer mit Administrationsrechten. Keine der Mailadressen solcher Administratoren darf öffentlich auf irgendeiner Webseite auftauchen. (Darüber hinaus empfehle ich, auch die Mailadressen sonstiger Teammitglieder nicht in Impressum oder Datenschutzerklärung zu nennen. Auch wenn es sich nicht um Administratoren sondern um Inhaber anderer Rollen handelt. Man weiß schließlich nie, wer wann in der Zukunft welche Rolle innehaben wird. Über die verschiedenen Rollen im Team habe ich einen separaten Beitrag geschrieben.)
Administratoren vs. Webmaster
Außerdem empfehle ich auch, die „Administrator-E-Mail-Adresse“ (siehe 2.) nicht als Mailadresse eines tatsächlichen Administrators zu verwenden. Denn solltest Du einmal eine Nachricht von WordPress oder einem der Plugins an Dritte weiterleiten, weil Du Dir Rat einholen möchtest, dann ist diese Adresse außer Kontrolle. Du weißt nicht, wo sie landen wird.
Deshalb sollte sich auch niemand mit dieser Mailadresse als Administrator einloggen können.
Zusammenfassend mache ich Dir einen schematischen Vorschlag für eine strukturierte Verwendung von E-Mailadressen auf Deiner Website:
- Erster Administrator (aus dem Installationsprozess) mit persönlicher Mailadresse, die keiner breiten Öffentlichkeit bekannt sein sollte: wp-geheim1492@gmx.net
- Administrator-E-Mail-Adresse (in den Grundeinstellungen): irgendwer@irgendwo.org (jedenfalls kein Postfach aus der eigenen Domain)
- Kontaktadresse für Plugins: webmaster@meinewebsite.de (kein Administrator!)
- Verantwortliche(r) für die Website: kontakt@meinewebsite.de
- Verantwortliche(r) für redaktionelle Inhalte: redaktion@meinewebsite.de, falls benötigt (siehe Erklärung zum Impressum)
- Anlaufstelle für Datenschutzanfragen: datenschutz@meinewebsite.de
Das kommt Dir übertrieben vor? Mag sein. Aber eine solche Struktur berücksichtigt sowohl Sicherheitsrisiken als auch eine mögliche Aufteilung von Rollen, sobald Deine Organisation einmal wächst. Und die Verwendung unterschiedlicher Postfächer …@meinewebsite.de gibt Deinem Internetauftritt zusätzlich auch einen professionellen Anstrich.
Bedenke dabei: E-Mailadressen können bei Deinem Webhoster als direkte Umleitungen angelegt werden und könnten dann alle zum Beispiel im Postfach von meinname@meinewebsite.de landen. Bei Bedarf kann dann später aus einer Weiterleitung ganz einfach ein echtes Postfach gemacht werden, auf das dann beispielsweise Dein(e) frisch gebackene(r) Chefredakteur(in) Zugriff bekommt (siehe 5.).
Schritt für Schritt: Der oben stehende Text ist ein Ratschlag, der an 6.Stelle der logischen Reihenfolge bei der Einrichtung einer WordPress-Installation steht. Die komplette Reihenfolge zweckmäßiger Aktionen findest Du in meinem Inhaltsverzeichnis. Wenn Du wissen möchtest, welche Schritte direkt vor oder nach diesem Ratschlag sinnvoll sind, findest Du hier Vorgänger- und Nachfolgebeitrag: