Isometrische 3D-Illustration, die einen Benutzer im digitalen Kontext visualisiert. Ein stilisiertes Benutzerprofil mit einem Avatar-Bild schwebt im Zentrum. Um das Profil herum kreisen verschiedene Symbole, die Benutzerrollen und Berechtigungen darstellen: ein Schlüssel (Zugriff), ein Stift (Bearbeiten) und ein Auge (Lesen).

Benutzer

Ein Benutzer in WordPress ist eine Person oder ein Account mit Zugriff auf das Backend einer Website. Jeder Benutzer besitzt definierte Rollen und Berechtigungen, die festlegen, welche Aktionen er ausführen darf – von der vollständigen Website-Verwaltung bis zum reinen Lesen von Inhalten.

Warum Benutzer und Rollen in WordPress wichtig sind

WordPress wurde von Anfang an als Multi-User-System konzipiert. Das bedeutet: Mehrere Personen können gleichzeitig an einer Website arbeiten, ohne sich gegenseitig in die Quere zu kommen. Das Rollensystem sorgt dafür, dass:

  • Sicherheit gewährleistet ist (nicht jeder darf alles ändern)
  • Arbeitsabläufe strukturiert werden (Redakteure schreiben, Admins verwalten)
  • Verantwortlichkeiten klar sind (wer darf was veröffentlichen?)
  • Fehler minimiert werden (keine versehentlichen Plugin-Löschungen durch Autoren)

Besonders für Unternehmen, Redaktionen und Agenturen ist ein durchdachtes Benutzer-Management essenziell. Ein falscher Klick eines unerfahrenen Nutzers mit zu vielen Rechten kann die gesamte Website lahmlegen.

Die fünf Standard-Benutzerrollen in WordPress

WordPress liefert standardmäßig fünf vordefinierte Rollen mit unterschiedlichen Berechtigungsstufen. Diese sogenannten Capabilities (Fähigkeiten) sind granular definiert und lassen sich durch Plugins erweitern.

1. Administrator

Der Administrator hat vollständige Kontrolle über die WordPress-Installation:

  • Installation und Verwaltung von Plugins und Themes
  • Erstellung, Bearbeitung und Löschung aller Inhalte
  • Verwaltung aller Benutzer (inkl. Rechtevergabe)
  • Zugriff auf alle Einstellungen und Konfigurationen
  • Bearbeitung von Core-Dateien (über FTP oder Dateimanager)

Achtung: Der Administrator sollte nur an vertrauenswürdige Personen vergeben werden. Ein kompromittierter Admin-Account bedeutet vollständige Website-Kontrolle für Angreifer.

2. Redakteur (Editor)

Redakteure sind für die Content-Verwaltung verantwortlich:

  • Erstellen, bearbeiten, veröffentlichen und löschen eigener Beiträge
  • Bearbeiten und Löschen fremder Beiträge (auch von anderen Autoren)
  • Verwaltung von Kategorien, Tags und Medien
  • Moderation von Kommentaren

Kein Zugriff auf: Plugin-Installation, Theme-Änderungen, Website-Einstellungen, Benutzerverwaltung

Typischer Einsatz: Chefredakteur, Content-Manager, erfahrene Redaktionsmitglieder

3. Autor (Author)

Autoren können eigene Inhalte verwalten:

  • Erstellen, bearbeiten und veröffentlichen eigener Beiträge
  • Hochladen und Einbinden eigener Medien (Bilder, Videos)
  • Löschen eigener veröffentlichter Beiträge

Kein Zugriff auf: Fremde Beiträge, Kategorien, Tags, Kommentare, Website-Einstellungen

Typischer Einsatz: Freie Mitarbeiter, Gastautoren, Blog-Schreiber

4. Mitarbeiter (Contributor)

Mitarbeiter sind eingeschränkte Content-Ersteller:

  • Erstellen und Bearbeiten eigener Beiträge (Entwürfe)
  • Beiträge zur Veröffentlichung einreichen

Kein Zugriff auf: Veröffentlichung, Medien-Upload, fremde Beiträge, Website-Einstellungen

Besonderheit: Beiträge müssen von Redakteuren oder Administratoren freigegeben werden – ideal für Qualitätskontrolle.

Typischer Einsatz: Neue Teammitglieder, Praktikanten, Gastbeiträge mit Review-Prozess

5. Abonnent (Subscriber)

Abonnenten haben minimale Rechte:

  • Eigenes Profil bearbeiten
  • Kommentare schreiben (falls aktiviert)
  • Zugriff auf geschützte Inhalte (z. B. bei Mitgliederseiten)

Kein Zugriff auf: Backend-Funktionen, Content-Erstellung, Website-Einstellungen

Typischer Einsatz: Newsletter-Abonnenten, Mitglieder von geschlossenen Communities, Kunden mit Login-Bereich

Benutzerdefinierte Rollen erstellen

Die Standard-Rollen decken viele Szenarien ab, aber manchmal brauchst du spezifische Kombinationen. Beispiele:

  • SEO-Manager: Darf Plugins wie RankMath bedienen, aber keine Themes installieren
  • Shop-Manager: Verwaltet WooCommerce-Bestellungen, hat aber keinen Zugriff auf die Website-Struktur
  • Social-Media-Manager: Darf Beiträge veröffentlichen, aber keine Kategorien löschen

Für benutzerdefinierte Rollen gibt es spezialisierte Plugins:

Empfohlene Plugins für Rollenverwaltung

User Role Editor (kostenlos)

  • Einfache Bearbeitung bestehender Rollen
  • Erstellung neuer Rollen mit individuellen Capabilities
  • Bulk-Rechtevergabe für mehrere Benutzer

Members (kostenlos)

  • Intuitive UI für Rechteverwaltung
  • Content-Restriction (Inhalte für bestimmte Rollen sperren)
  • Multiple Rollen pro Benutzer möglich

PublishPress Capabilities (Freemium)

  • Visuelle Capability-Verwaltung
  • Backup-Funktion für Rollenänderungen
  • Sichere Wiederherstellung bei Fehlkonfiguration

Advanced Access Manager (AAM) (kostenlos)

  • Granulare Zugriffskontrolle auf Post-Level
  • Frontend-Restriktionen
  • IP-basierte Zugangsbeschränkungen

Benutzer verwalten: Best Practices

Sichere Benutzerverwaltung

1. Prinzip der minimalen Rechte Vergib nur die Rechte, die wirklich benötigt werden. Ein Autor braucht keine Admin-Rechte, nur weil er ab und zu eine Kategorie erstellen muss – Redakteure können das für ihn übernehmen.

2. Regelmäßige Benutzer-Audits Überprüfe vierteljährlich:

  • Gibt es inaktive Accounts? → Löschen oder deaktivieren
  • Haben Mitarbeiter noch die richtigen Rechte? → An aktuelle Aufgaben anpassen
  • Gibt es unbekannte Admin-Accounts? → Potenzielle Sicherheitslücke!

3. Starke Passwörter erzwingen WordPress zeigt bei Passwort-Erstellung einen Sicherheitsindikator. Nutze zusätzlich Plugins wie:

  • Password Policy Manager: Erzwingt Mindestanforderungen (Länge, Sonderzeichen)
  • WP Force Strong Password: Verhindert schwache Passwörter

4. Zwei-Faktor-Authentifizierung (2FA) aktivieren Selbst das beste Passwort kann kompromittiert werden. 2FA fügt eine zweite Sicherheitsebene hinzu:

  • WP 2FA: Offizielles Plugin von WordPress.org
  • Two Factor Authentication: Unterstützt Google Authenticator, E-Mail-Codes, Backup-Codes
  • Wordfence: Bietet 2FA als Teil der umfassenden Security-Suite

5. Benutzernamen nicht = Admin Vermeide offensichtliche Benutzernamen wie „admin“, „administrator“ oder den Domain-Namen. Angreifer probieren diese zuerst bei Brute-Force-Attacken.

Technische Benutzerverwaltung

Benutzer hinzufügen:

  1. Dashboard → Benutzer → Neu hinzufügen
  2. Benutzername, E-Mail, Rolle festlegen
  3. Optional: Passwort sofort mitteilen oder E-Mail mit Reset-Link senden

Benutzer löschen:

  • Achtung: Beiträge des Benutzers werden mit gelöscht oder müssen neu zugeordnet werden
  • WordPress fragt beim Löschen, ob Inhalte gelöscht oder einem anderen Benutzer zugewiesen werden sollen

Bulk-Aktionen: WordPress ermöglicht Massen-Bearbeitungen (Rolle ändern, löschen) für mehrere Benutzer gleichzeitig – praktisch nach Projekt-Ende.

Benutzer vs. Mitglieder: Der Unterschied

Benutzer sind Backend-Zugang, sie können sich im WordPress-Dashboard anmelden.

Mitglieder sind oft Frontend-User, die sich nur auf der Website (nicht im Dashboard) anmelden – z. B. bei:

  • Mitgliedschafts-Websites (Online-Kurse, Premium-Inhalte)
  • Community-Plattformen (Foren, soziale Netzwerke)
  • Kunden-Portalen (Bestellübersicht, Download-Bereich)

Für Mitgliedschaften gibt es spezialisierte Plugins:

  • MemberPress: Premium-Mitgliedschaften mit PayPal/Stripe-Integration
  • Restrict Content Pro: Flexible Content-Restriction
  • Ultimate Member: Umfassendes User-Profil- und Community-System

Häufige Probleme und Lösungen

Problem: „Du hast nicht ausreichend Berechtigungen“

Ursachen:

  • Rolle wurde versehentlich geändert
  • Plugin-Konflikt (z. B. Security-Plugin blockiert Zugriff)
  • Datenbank-Korruption

Lösung:

  1. Über phpMyAdmin in die wp_usermeta-Tabelle gehen
  2. Zeile mit wp_capabilities für deinen Benutzer finden
  3. Wert ändern auf: a:1:{s:13:"administrator";b:1;}
  4. Alternativ: Neuen Admin-User über Datenbank anlegen

Problem: Benutzer kann sich nicht anmelden

Checkliste:

  • Ist die E-Mail-Adresse korrekt? (WordPress unterscheidet hier!)
  • Wurde das Konto aktiviert? (Manche Plugins erfordern E-Mail-Bestätigung)
  • Blockiert ein Security-Plugin den Login? (IP-Sperre, zu viele Fehlversuche)
  • Funktioniert „Passwort vergessen“? (Test: E-Mail-Versand überprüfen)

Problem: Zu viele Spam-Registrierungen

Lösungen:

  • ReCaptcha implementieren (Google ReCaptcha, hCaptcha)
  • Honeypot-Felder nutzen (unsichtbare Felder, die nur Bots ausfüllen)
  • E-Mail-Verifizierung erzwingen vor Freischaltung
  • Manuelle Freigabe für neue Benutzer aktivieren

Benutzer und DSGVO

Seit Einführung der DSGVO müssen Benutzer:

1. Datenauskunft erhalten können WordPress bietet unter „Werkzeuge → Daten exportieren“ die Möglichkeit, alle gespeicherten Benutzer-Daten herunterzuladen.

2. Löschung beantragen können Unter „Werkzeuge → Daten löschen“ können Benutzer die Entfernung ihrer Daten anfordern. Administratoren müssen dem zustimmen.

3. Bei Registrierung einwilligen Nutze Checkbox-Plugins für Datenschutz-Einwilligung bei Benutzer-Registrierung:

  • WP Legal Pages: Datenschutzerklärung und AGB bei Registrierung
  • Complianz: Automatisierte DSGVO-Compliance

4. Speicherfristen einhalten Lösche inaktive Accounts nach angemessener Frist (z. B. 24 Monate ohne Login).

Performance-Überlegungen

Viele Benutzer = höhere Datenbank-Last? Normalerweise nein.

WordPress speichert Benutzer effizient in der wp_users-Tabelle. Selbst tausende Benutzer beeinflussen die Performance kaum. Problematisch wird es erst bei:

  • Meta-Daten-Überflutung: Jeder Benutzer hat unzählige Custom Fields (z. B. durch schlecht programmierte Plugins)
  • Schlecht indizierte Abfragen: Plugins, die bei jedem Seitenaufruf alle Benutzer laden
  • Session-Management: Bei großen Mitglieder-Websites mit vielen gleichzeitigen Logins

Optimierung:

  • Datenbank-Indizes überprüfen (MySQL-Optimierung)
  • Object-Caching nutzen (Redis, Memcached)
  • Session-Handling auslagern (nicht in Datenbank speichern)

Entwickler-Perspektive: Capabilities und Hooks

Für Theme- und Plugin-Entwickler ist das Capability-System zentral.

Wichtige Capabilities prüfen

php

// Prüfen, ob aktueller Benutzer Beiträge veröffentlichen darf
if ( current_user_can( 'publish_posts' ) ) {
    // Aktion ausführen
}

// Prüfen, ob Benutzer Admin ist
if ( current_user_can( 'manage_options' ) ) {
    // Nur für Admins
}

Benutzerdefinierte Capability hinzufügen

php

// Neue Capability zu einer Rolle hinzufügen
$role = get_role( 'editor' );
$role->add_cap( 'manage_woocommerce' );

Wichtige Hooks

  • user_register – Wird gefeuert, wenn neuer Benutzer erstellt wird
  • profile_update – Wird gefeuert, wenn Profil aktualisiert wird
  • wp_login – Wird bei jedem Login gefeuert
  • wp_logout – Wird bei jedem Logout gefeuert

Fazit: Strukturiertes Benutzer-Management ist Pflicht

Das WordPress-Benutzersystem ist eines der ausgereiftesten Multi-User-Systeme im CMS-Bereich. Die fünf Standard-Rollen decken 90 % aller Anwendungsfälle ab, und für Spezialfälle gibt es flexible Plugin-Lösungen.

Die wichtigsten Prinzipien:

  • Vergib nur die nötigsten Rechte (Principle of Least Privilege)
  • Aktiviere 2FA für alle Administratoren
  • Führe regelmäßige Benutzer-Audits durch
  • Dokumentiere, wer welche Rechte hat und warum
  • Lösche oder deaktiviere inaktive Accounts

Mit diesen Grundlagen vermeidest du Sicherheitslücken, optimierst Workflows und schaffst klare Verantwortlichkeiten in deinem WordPress-Projekt.

Mach deine Website fit für mehr Sichtbarkeit, Geschwindigkeit und Nutzerfreundlichkeit

Sichere dir jetzt deinen kostenlosen 30-Minuten Website-Check im Zoom.
Wir prüfen deine Seite auf SEO, Ladezeit, UX und Barrierefreiheit – und geben dir konkrete Tipps, die du sofort umsetzen kannst.

Kostenlosen Check buchen
Zurück zum Glossar-Index
Autor: Tim Ehling
Der Autor: Tim Ehling

Seit über zwei Jahrzehnten beschäftige ich mich mit Webentwicklung – und seit 2006 ganz besonders intensiv mit WordPress. Ich entwickle und optimiere Webseiten, betreue sie langfristig durch zuverlässige Wartung und biete Schulungen für alle, die WordPress sicher und effizient nutzen möchten. Außerdem unterstütze ich Unternehmen dabei, ihre Social-Media-Kanäle und SEO-Strategien so zu verbessern, dass sie bei Kunden und Suchmaschinen gleichermaßen gut ankommen.

Schwerpunkte:
✔ Webentwicklung ✔ WordPress-Updateservice
✔ WordPress-Schulungen ✔ Social-Media-Checkups
✔ Suchmaschinenoptimierung (SEO) ✔ KI ✔ Generative Engine Optimization (GEO)

Alle Beiträge von Tim Ehling lesen Tim Ehling auf LinkedIn