So verwenden Sie WordPress-Benutzerrollen für verbesserte WordPress-Sicherheit

Als Content-Management-System hat WordPress festgelegte Benutzerrollen. Im Wesentlichen definieren diese WordPress-Benutzerrollen die Fähigkeiten (Berechtigungen zur Ausführung bestimmter Website-Aufgaben) jedes einzelnen Benutzers auf Ihrer Website.

Wenn Ihre Website wächst, ist es wichtig, diese Rollen und Fähigkeiten zu verstehen, um die kontinuierliche Sicherheit Ihrer Website zu gewährleisten. Denn die Vergabe falscher Benutzerrollen könnte fatale Folgen haben.

In diesem Artikel beschreiben wir, was Benutzerrollen sind (einschließlich benutzerdefinierter Rollen), damit Sie wissen, wie Sie sie richtig zuweisen. Wir werden auch behandeln, wie Sie WordPress-Plugins verwenden, um die Aktivitäten Ihrer WordPress-Benutzer zu verwalten und zu überwachen.

Die Grundlagen der WordPress-Benutzerrollen

Die Art des Zugriffs, den Sie auf eine WordPress-Site haben, wird durch Ihre Rolle und damit durch die Ihnen gegebenen Fähigkeiten bestimmt.

• Eine „Rolle“ ist eine Gruppe/vordefinierte Liste von Fähigkeiten. Als Benutzer wird Ihnen dann eine Rolle zugewiesen, die bestimmt, welche Fähigkeiten Sie haben.
• „Fähigkeiten“ sind im Wesentlichen das, was diese Benutzerrolle tun kann (Posts veröffentlichen, Einstellungen ändern usw.)

Beispielsweise ist ein Redakteur eine Benutzerrolle mit Funktionen wie dem Moderieren von Kommentaren, dem Veröffentlichen von Inhalten und dem Erstellen neuer Inhalte, um nur einige zu nennen. Auf einer größeren Nachrichten- oder Blog-Website ist es normal, mehrere Redakteure zu haben, die jeweils für ihre jeweiligen Themenbereiche verantwortlich sind.

Während einige Plugins benutzerdefinierte WordPress-Benutzerrollen hinzufügen (wir werden gleich darauf zurückkommen), gibt es bei jeder Standard-WordPress-Site sechs Standard-Benutzerrollen. Sie sind wie folgt:

• Superadministrator
• Administrator
• Editor
• Autor
• Mitwirkender
• Teilnehmer

Die Funktionshierarchie der WordPress-Benutzerrolle verstehen

Es ist wichtig zu verstehen, dass die Struktur von Rollen hierarchisch ist. Jede Benutzerrolle verfügt über die Funktionen der darunter liegenden Position(en) und zusätzlich über einige rollenspezifische Funktionen.

Schauen wir uns zum Beispiel das untere Ende der Benutzerrollenpyramide an, den Abonnenten. Einer Abonnentenrolle ist nur die Funktion „Lesen“ zugeordnet (was bedeutet, dass sie nur Beiträge auf Ihrer Website lesen können).

Kommen wir zur nächsten Ebene der Benutzerrolle, Mitwirkender. Diese Rolle hat die Fähigkeit „Lesen“, aber auch die Fähigkeiten „edit_posts“ und „delete_posts“. Das bedeutet, dass sie ihre eigenen Beiträge bearbeiten und löschen können.

Die Benutzerrolle „Autor“ hat die Fähigkeiten sowohl des Abonnenten als auch des Mitwirkenden mit den folgenden zugewiesenen zusätzlichen Berechtigungen:

• Delete_publish_posts
• Publish_posts
• Daten hochladen
• Edit_published_posts

Wie Sie sehen können, nehmen die Möglichkeiten zu, je weiter Sie sich in der Benutzerrollenstruktur nach oben bewegen, wobei der Superadministrator die höchsten Berechtigungen hat. Schauen wir uns also jede Rolle in absteigender Reihenfolge etwas detaillierter an.

WordPress-Superadministrator-Rolle

WordPress-Superadministrator ist die WordPress-Benutzerrolle auf höchster Ebene, daher verfügen sie über alle verfügbaren Funktionen. Der Unterschied zwischen einem Superadministrator und einem Administrator besteht darin, dass diese Funktionen innerhalb eines WordPress-Multisite-Netzwerks über Websites hinweg übertragen werden können.

Zur Verdeutlichung hier der Unterschied zwischen verschiedenen WordPress-Sites/Netzwerken:

WordPress Multisite-Netzwerk – eine Art WordPress-Installation, mit der Sie ein Netzwerk aus mehreren Websites von einem einzigen WordPress-Dashboard aus erstellen und verwalten können.
Eine WordPress-Site in einem Multisite-Netzwerk (untergeordnete Site) – eine WordPress-Site innerhalb Ihres Multisite-Netzwerks. Diese untergeordnete Website teilt die Plugins und das Design anderer Websites im Netzwerk, kann jedoch ein eigenes untergeordnetes Design haben.
Eine eigenständige WordPress-Site – Eine eigenständige Site ist Ihre normale WordPress-Installation. Es hat seinen eigenen einzigartigen Satz von Plugins, Einstellungen und Themen.

Ein Superadministrator (nur in Netzwerken mit mehreren Standorten zu finden) kann Unterseiten erstellen und verwalten, Netzwerkbenutzer erstellen und verwalten, Designs und Plugins installieren und entfernen und sie im gesamten Netzwerk aktivieren.

Angenommen, Sie betreiben ein Netzwerk aus drei E-Commerce-Geschäften, die sich jeweils auf ein bestimmtes Verbrauchersegment konzentrieren – Herren-, Damen- und Kinderbekleidung. Ein Superadministrator wäre in der Lage, Änderungen vorzunehmen, die sich auf alle drei dieser Websites auswirken, wie z. B. das Aktualisieren oder Konfigurieren des WooCommerce-Plugins.

WordPress-Administratorrolle

Ähnlich wie Superadministratoren verfügen Administratoren über alle Funktionen. Diese Berechtigungen sind jedoch auf den Umfang einer Website beschränkt. Zu diesen Fähigkeiten gehören unter anderem die folgenden:

• Installieren und deinstallieren, aktivieren und deaktivieren, bearbeiten und aktualisieren Sie jedes WordPress-Plugin.
• Erstellen Sie neue Inhalte, lesen, ändern und löschen Sie vorhandene Inhalte. Zum Beispiel WordPress-Seiten und Blog-Beiträge, die von anderen Benutzern erstellt wurden. Dazu gehören unveröffentlichte, private und passwortgeschützte Materialien.
• Erstellen Sie neue Benutzer, ändern und löschen Sie bestehende Benutzer.
• Installiere, aktiviere und deaktiviere WordPress-Themes.
• Ändern Sie WordPress-Designdateien.
• Erstellen Sie neue, ändern oder löschen Sie vorhandene Kategorien.
• Erstellen Sie neue, ändern oder löschen Sie bestehende WordPress-Menüs.
• Laden Sie Dateien in WordPress hoch.
• Möglichkeit zum Posten von HTML-Markup und JavaScript-Code in Seiten, Beiträgen und Kommentaren (ungefiltertes HTML).
• Moderate Kommentare.

Denken Sie daran, dass diese Funktionen die gleichen sind wie beim Superadministrator. Ein Superadministrator hat diese Privilegien jedoch auf mehrere Websites innerhalb eines WordPress-Netzwerks verteilt.

WordPress-Editor-Rolle

Die Ebene der Struktur, auf der die Fähigkeiten eingeschränkt werden, ist die Benutzerrolle „Editor“. Die Rolle des Redakteurs konzentriert sich auf den Inhalt, wie in einer traditionellen Veröffentlichungsumgebung. Sie haben keine Berechtigungen, die die Konfiguration, Einrichtung, Funktionalität oder das Design Ihrer WordPress-Website betreffen.

Zu ihren Fähigkeiten gehören:

• Moderate Kommentare.
• Erstellen Sie neue Inhalte wie Blogbeiträge und WordPress-Seiten.
• Lesen, ändern und löschen Sie vorhandene Inhalte wie WordPress-Seiten und Blog-Beiträge, die von anderen Benutzern erstellt wurden. Dazu gehören auch unveröffentlichte, private und passwortgeschützte Materialien.

WordPress-Autorenrolle

Vom Autor abwärts werden die Möglichkeiten der WordPress-Benutzerrollen viel eingeschränkter. Eine Person, der die Benutzerrolle „Autor“ zugewiesen wurde, hat nur Zugriff auf ihre Blogbeiträge und ihr Profil.

Sie können also ihre Blogbeiträge veröffentlichen, ihre eigenen bestehenden Blogbeiträge ändern und ihr Benutzerprofil ändern.

Rolle „WordPress-Mitwirkender“.

Ähnlich wie die Benutzerrolle „Autor“ können Mitwirkende Blogbeiträge schreiben. WordPress-Mitwirkende können jedoch keine eigenen Blog-Beiträge veröffentlichen. Alle von einem WordPress-Beitragenden geschriebenen Blog-Beiträge müssen entweder von einem WordPress-Editor oder -Administrator genehmigt und veröffentlicht werden.

WordPress-Abonnentenrolle

Dies ist die Standardrolle, die jedem zugewiesen wird, der sich anmeldet, um sich für ein Konto auf einer WordPress-Website zu registrieren. Ein Abonnent kann nur Inhalte lesen und hat keinen Zugriff, um Inhalte auf einer WordPress-Site zu ändern. Sie können nur ihre Profilinformationen ändern.

Benutzerdefinierte WordPress-Benutzerrollen

Die oben beschriebenen WordPress-Benutzerrollen sind die Standardrollen, die in einer Standard-WordPress-Site bereitgestellt werden. In einigen Fällen installieren WordPress-Plugins ihre eigenen angepassten Benutzerrollen mit spezifischen Funktionen, um diese Rolle auszuführen.

Zum Beispiel werden diejenigen von Ihnen, die WooCommerce verwenden, eine Store Manager-Benutzerrolle bemerken. Ebenso führt das SEO-Plugin Yoast die Benutzerrollen SEO Editor und SEO Manager ein, komplett mit ihren eigenen unterschiedlichen WordPress-Berechtigungen.

Das Erstellen benutzerdefinierter WordPress-Benutzerrollen kann für Sie interessant sein, wenn die bereits vorhandenen Rollen nicht ganz zu Ihren gewünschten Zwecken passen. Beispielsweise können Sie eine Mitgliederseite betreiben, die von Ihnen verlangt, Abonnenten viel mehr Rechte als nur Leserechte zu gewähren. Wenn dies der Fall ist, können Sie mit WordPress-Plugins wie dem User Role Editor die Berechtigungen innerhalb jeder Rolle anpassen, um Ihre spezifischen Geschäftsanforderungen besser zu erfüllen.

So verwenden Sie WordPress-Benutzerrollen, um die Sicherheit zu verbessern

WordPress-Benutzerrollen spielen eine wichtige Rolle bei der Gesamtsicherheit Ihrer Website. Der einfache Akt, der falschen Person zu viele Fähigkeiten zuzuweisen, kann potenziell katastrophale Folgen haben. Vor diesem Hintergrund müssen Sie Ihre Benutzerrollenzuweisungen richtig vornehmen.

Weisen Sie der richtigen Person die richtige Rolle zu

Wie in jedem traditionellen Unternehmen übertragen Sie nicht die gleichen Rechte und Pflichten an Ihre unteren Mitarbeiter oder externe Auftragnehmer wie an den Geschäftsinhaber.

Wenn Sie beispielsweise auf eine WordPress-Site verweisen, benötigen Webentwickler Zugriff auf Administratorebene, um die erforderlichen Änderungen an den Funktionen der Back-End-Website vorzunehmen. Sie sollten jedoch über ein eigenes spezifisches Benutzer-Login verfügen, über das Sie die Kontrolle behalten können.

Dasselbe gilt für Autoren und Mitwirkende, wenn Sie einen Blog betreiben, oder für Shop- und Produktmanager, wenn Sie einen E-Commerce-Shop betreiben. Sie müssen als Webmaster aus mehreren Gründen die Kontrolle behalten.

Für weitere Informationen hierzu ist unser Leitfaden zum Prinzip der geringsten Rechte ein guter Anfang.

Das Teilen von Anmeldeinformationen ist eine Sicherheitsbedrohung

Das Ausleihen Ihrer WordPress-Benutzerinformationen an jemand anderen mag harmlos erscheinen, ist aber alles andere als sicher. Per E-Mail übermittelte Zugangsdaten können abgefangen werden, und gedruckte Versionen können genauso schnell kompromittiert werden.

Eine Studie aus dem Jahr 2019 ergab, dass 74 % der Datenschutzverletzungen auf den Missbrauch von Zugangsdaten für privilegierten Zugriff zurückzuführen waren. Schlimmer noch, derselbe Bericht fand heraus, dass bis zu 65 % den Root- oder privilegierten Zugriff auf Systeme (wie WordPress) zumindest etwas oft teilen.*

Ein Grund dafür, dass die Datenschutzverletzungen so hoch sind, ist, dass gemeinsam genutzte Anmeldeinformationen dazu neigen, schwache Passwörter zu fördern. Während leicht zu merkende Passwörter den Besitzern von WordPress-Sites Zeit sparen, stellen sie eine Schwachstelle in der Sicherheit Ihrer Site dar und machen sie offen für Brute-Force- und Wörterbuchangriffe.

Wenn Sie schließlich vielen Personen Zugriff auf eine WordPress-Benutzerrolle auf Ihrer Website gewähren, können Sie nicht nachverfolgen, wer was an Ihrer Website geändert hat. Wenn mehrere Personen Zugriff auf einen Benutzernamen und ein Kennwort haben, wie können Sie entschlüsseln, welche Person für die Aktivitäten verantwortlich ist, die unter dieser Benutzerrolle ausgeführt werden?

Führen Sie Protokolle von Benutzern mit unterschiedlichen Rollen

Aus den oben genannten Gründen müssen Sie jedem Mitwirkenden Ihrer WordPress-Site ein eigenes Login und eine eigene Benutzerrolle zuweisen. Es ist dann eine gute Idee, ein Plugin zu verwenden, um die Aktivität jedes Benutzers zu überwachen, um die durchgeführten Arbeiten zu verfolgen und gleichzeitig die Sicherheit der Website zu erhöhen.

Mit dem WP-Aktivitätsprotokoll-Plugin können Sie ein Aktivitätsprotokoll über jede einzelne Änderung führen, die von Ihren WordPress-Benutzern vorgenommen wird. Durch die Installation dieses Plugins können Sie ein umfassendes Aktivitätsprotokoll speichern und analysieren und Echtzeit-Warnungen erhalten, wenn ein Benutzer kritische Site-Änderungen vornimmt. Sie können Benutzer auch in Echtzeit überwachen, um sicherzustellen, dass sie ihre Aufgaben ordnungsgemäß ausführen.

Diese Funktionen sind besonders vorteilhaft, wenn Sie große einzelne Websites mit mehreren Abteilungen betreiben (wie dies häufig im E-Commerce der Fall ist). Oder Sie betreiben ein Netzwerk mit mehreren Standorten als Superadministrator. Da so viele Personen ständig Änderungen vornehmen, können Sie das Plugin WP Activity Log verwenden, um Aktivitätsprotokolle zu durchsuchen und festzustellen, wann bestimmte Änderungen an einer WordPress-Site vorgenommen wurden (und von wem).

Optimierung der Benutzerrollen in WordPress

WordPress-Benutzerrollen spielen eine wichtige Rolle in der Organisationsstruktur Ihrer Website. Um Sicherheitsprobleme zu minimieren, sollten jede Benutzerrolle und die zugehörigen Funktionen sorgfältig zugewiesen werden. Je mehr Ihre Website wächst, desto wichtiger werden die Benutzerrollen.

In vielen Fällen sollte die gemeinsame Nutzung von Anmeldeinformationen zwischen Einzelpersonen um jeden Preis vermieden werden. Während Sie möglicherweise einige Benutzer beaufsichtigen können, benötigen Sie, wenn jeder Benutzerrolle mehrere Teammitglieder zugewiesen sind, Software wie das Plugin WP Activity Log, um Änderungen an Ihrer Website genau zu verfolgen.

Warum starten Sie nicht noch heute Ihre 14-tägige kostenlose Testversion für Ihre WordPress-Website?

Bonus-Tipp

Schwache Passwörter sind eine der größten Bedrohungen für deine WordPress-Seite. Bei so vielen Benutzern auf Ihrer Website müssen Sie sicherstellen, dass alle starke Passwörter verwenden, um sich vor Hackern zu schützen.

Mit dem WPassword können Sie sicherstellen, dass jeder, der sich auf Ihrer Website anmeldet, ein sicheres Passwort verwendet. Sie können Ihre Sicherheitsvorkehrungen auch verdoppeln, indem Sie mit dem WP 2FA-Plugin eine Zwei-Faktor-Authentifizierung für Ihre Benutzer implementieren.

* https://www.forbes.com/sites/louiscolumbus/2019/02/26/74-of-data-breaches-start-with-privileged-credential-abuse/#6c25c92b3ce4