Kategorien
Sicherheit Optimierung

Im Team arbeiten

Wirst Du Deine Word­Press-In­stal­la­tion im Alleingang betreiben und mit Inhalt bestücken? Oder hast Du schon ein paar Mitstreiter gefunden, die gemeinsam mit Dir an Deiner Website arbeiten wollen? Wenn Ihr im Team arbeitet, musst Du Dich unbedingt mit dem Thema Benutzerrollen beschäftigen. Aber auch wenn Du als Einzelgänger werkelst, solltest Du Dich zumindest mit der Redakteursrolle auseinandergesetzt haben.

Wie das Rollenmodell bei Word­Press aussieht und welche Berechtigungen mit den einzelnen Rollen verbunden sind, soll dieser Beitrag erläutern.

Standardmäßig gibt es in jeder Word­Press-In­stal­la­tion fünf¹ verschiedene Benutzerrollen: Administratoren, Redakteure, Autoren, Mitarbeiter und Abonnenten. Diese fünf Rollen bringen gestaffelte Berechtigungen mit sich:

  • Abonnenten können zunächst die einzelnen Webseiten einer Internetpräsenz lesen. Mehr nicht. (Das klingt erst einmal absurd, ich weiß. Denn man kann sich schon fragen, was einen nicht angemeldeten Seitenbesucher von einem Abonnenten unterscheidet. Dazu findest Du weiter unten im Text ein paar Anregungen.)
  • Mitarbeiter können darüber hinaus Texte schreiben. Keine Medien hinzufügen, keine Texte veröffentlichen, ausschließlich Text tippen. Und sobald einmal ein Text (von einem Redakteur) veröffentlicht wurde, können Mitarbeiter diesen eigenen Text weder verändern noch löschen.
  • Autoren dürfen zusätzlich die eigenen Texte mit Medien illustrieren, diese Texte veröffentlichen und auch nach der Veröffentlichung nachbearbeiten.
  • Redakteure verwalten die Arbeit von Mitarbeitern und Autoren. Sie können auch Texte von Dritten bearbeiten, veröffentlichen, löschen. Außerdem können sie auch Rechte an Texten von einem zum anderen Verfasser verschieben und Kommentare zu Beiträgen freigeben, löschen, bearbeiten. Redakteure können in Hinblick auf die Inhalte alles, was überhaupt möglich ist. Sie können aber keinen Einfluss auf den technischen Teil einer WordPress-Installation nehmen.
  • Administratoren dürfen dann tatsächlich alles. Auch Themes und Plugins hinzufügen oder löschen, zusätzliche Benutzer hinzufügen oder Benutzerkennungen löschen, einzelnen Benutzern neue Rollen zuweisen. Also zum Beispiel bewährte Mitarbeiter zu Autoren machen. Tatsächlich wird der Erste Administrator Deiner Website beim Aktivieren der Installation angelegt.

Eine detaillierte Aufstellung, welche Befähigungen die einzelnen Rollen mit sich bringen, findet man in der englischen Dokumentation von WordPress. Allerdings sei dazu gesagt, dass man mit dem Zugriff auf die Datenbank hinter der Installation jede Berechtigung der einzelnen Rollen ändern kann. Sogar zusätzliche Rollen kann man erfinden und mit genau den gewünschten Befähigungen ausstatten, die man sich wünscht. In großen Redaktionsteams könnte man damit zum Beispiel einen Medienbeauftragten hinzufügen, der zwar keine Texte schreiben, aber Bilder und sonstige Dateien hochladen dürfte.

In diesem Beitrag beschäftigen wir uns allerdings nur mit den Standardrollen.

Sonderrolle Administrator

Mindestens einen Administrator gibt es in jeder Word­Press-In­stal­la­tion. Aus Sicherheitsgründen sollte man mit der Vergabe von Administratorkennungen sparsam bleiben. Denn falls es einem Hacker gelingt, sich als Administrator in Deine Installation zu schmuggeln, ist Polen offen. Der Eindringling kann Deine Website komplett übernehmen. (Was man in einem solchen Fall noch tun kann, erkläre ich in einem separaten Beitrag.)

Ich empfehle deshalb vier goldene Grundregeln zum Umgang mit Administratorkennungen:

  1. Lege eine Art Superuser mit Administratorrechten an und vergib für diese Kennung ein absolut sicheres Passwort; gerne sehr lang und vollkommen unmerkbar. Diese Zugangsdaten dokumentierst Du (am besten auf Papier). Melde Dich grundsätzlich nicht mit dieser Kennung an und verfasse vor allen Dingen keine Inhalte. Sie ist ausschließlich für den Notfallzugang gedacht.
  2. Lege nach Bedarf ein oder zwei zusätzliche Administratoren an. Diese sollten sich nicht bloß mit Passwort anmelden können, sondern Zugang nur über Zwei-Faktor-Authentisierung erhalten. (Was dieser spezielle Zugangssicherung ist und wie man sie einsetzt, erkläre ich in einem separaten Beitrag.)
  3. Verwende niemals Deine Administratorenkennung zum Schreiben von Inhalten. Lege Dir auf jeden Fall eine Redakteurskennung an, auch wenn Du ganz alleine an Deiner Website arbeitest. Dadurch erreichst Du, dass Hacker nicht weit kommen, auch wenn Sie einmal Deine Anmeldedaten abgefangen oder erraten haben. (Und Du verhinderst nebenbei, dass Du als Redakteur versehentlich Unfug anrichtest.)
  4. Vergib niemals sprechende Namen für Administratorenkennungen. Also keinesfalls „Admin“, oder „Superadmin“, oder „Superuser“ (siehe Regel 1). Und verwende als E-Mailadresse für Administratoren niemals Postfächer, die Hacker erraten könnten. Also zum Beispiel die Kontaktmailadresse aus dem Impressum oder womöglich webmaster@meinewebsite.de, siehe detaillierte Erklärung. Verschleiere Administratorendetails, so wie hier beschrieben.

Falls Du einmal Dein Passwort für die Adminkennung vergessen hast, verzweifle nicht. Es gibt eine Möglichkeit, die Kontrolle über Deine Installation auch ohne Adminzugang zurückzubekommen, die ich auf einer separaten Seite beschreibe.

Sonderrolle Abonnent

In einem der Absätze ganz oben habe ich schon darauf hingewiese: Auf den ersten Blick wirkt die Rolle des Abonnenten absurd. Abonnenten können nichts anderes als Inhalte lesen. Wahrscheinlich fragst Du Dich, was einen normalen, nicht angemeldeten Seitenbesucher von einem angemeldeten Abonnenten unterscheidet.

Die naheliegendste Antwort auf diese Frage lautet: Man kann in den Einstellungen im Punkt Diskussion festlegen, dass Besucher zum Kommentieren registriert und angemeldet sein müssen. Damit verhindert man zuverlässig, dass Spammer die Kommentare mit Werbemüll zuballern. Mehr zu diesem Thema findest Du in meinem Beitrag über Kommentare filtern.

Aber es gibt durchaus auch andere Szenarien, die es erforderlich machen, Besucher anzumelden ohne dass sie Inhalte auf der Website ändern können. Beispielsweise könnte man eine Website ausschließlich für Mitglieder zugänglich machen, also eine Art geschlossenen Bereich für Familien- oder Vereinsmitglieder, den man nur sehen kann, wenn man angemeldet ist. Wie das ganz einfach funktioniert, erkläre ich in einem separaten Text.

In diesen Beispielen wird man schnell feststellen, dass Abonnenten nach der Anmeldung im Administrationsbereich der Website landen, wo sie wahrscheinlich nichts verloren haben und wo sie auch gar nichts Sinnvolles tun können. Also sollte man für Abonnenten eine Landeseite definieren, die ihnen nach der Anmeldung angezeigt wird, vielleicht eine Information, was auf Deiner Website alles erfahren können. Außerdem sollte der schwarze Adminbar, der für alle angemeldeten Mitglieder auf jeder Seite ganz oben eingeblendet wird, für Abonnenten entfernt werden.


Schritt für Schritt: Der oben stehende Text ist ein Ratschlag, der an 16.Stelle der logischen Reihenfolge bei der Einrichtung einer Word­Press-In­stal­la­tion steht. Die komplette Reihenfolge zweckmäßiger Aktionen findest Du in meinem Inhaltsverzeichnis. Wenn Du wissen möchtest, welche Schritte direkt vor oder nach diesem Ratschlag sinnvoll sind, findest Du hier Vorgänger- und Nachfolgebeitrag:


Fußnote:

¹ — Genau genommen gibt es noch eine sechste Standardrolle, nämlich den „Super-Admin“. Den gibt es allerdings nur in sogenannten Multisite-Installationen, also in Netzwerken mehrerer WordPress-Instanzen. Damit beschäftige ich mich im Rahmen des WordPress-ABC nicht. Wer Information zum Thema Super-Admin sucht, könnte seine Recherche zum Beispiel bei hej chris beginnen.

Von Ulf Brossmann

Betreiber von und Autor der Beiträge auf WordPress fassbar. Eine Kurzbiografie von Ulf findest Du am unteren Ende der Seite über diese Website. Hier folgen nun alle Artikel, die Ulf bisher verfasst hat, in umgekehrt chronologischer Reihenfolge, also der neuste zuoberst:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert