WordPress – Benutzerrechte richtig konfigurieren

WordPress bringt von Hause aus eine mächtige Verwaltung der Benutzerrechte mit. Diese user roles oder user roles capabilites werden jedoch selten richtig konfigugiert. Häufig werden mehrere Benutzer mit Adminrechten angelegt, obwohl das häufig nicht nötig ist. Werden die Zugangsdaten eines Nutzers geknackt, stehen dem Angreifer alle Möglichkeiten offen.

In der Regel sollte es bei kleinen Seiten nur einen Admin geben. Es kann aber nötig sein, die Rechte eines Redakteurs (Editor) zu erweitern, da etwa Widgets von Redakteuren nicht bearbeitet werden können. Einige Plugins sind in der Grundkonfiguration eventuell nur für Admins verwendbar. Das gilt z.B. für das beliebte Newsletter Plugin von Satollo. Hier muss unter Configuration > Advanced der Zugang für Redakteure aktiviert werden.

Screenhot Newsletter Plugin

Beim Newsletter Plugin von Satollo kann der Zugang für Redakteure aktiviert werden.

Wenn Redakteure auch Widgets bearbeiten wollen, müssen ihre Rechte erweitert werden. Das ist mit dem Plugin user role editor leicht möglich. Ich ziehe eine kleine Änderung in der functions.php des Theme vor. Je weniger Plugins, desto besser. Man kann die Änderung natürlich auch in einem eigenen Plugin vornehmen oder das Plugin Code Snippet dafür verwenden. Mit folgender Änderung werden die Rechte erweitert:

$editor = get_role('editor');
$editor->add_cap('edit_theme_options');

Es ist immer empfehlenswert, den Editor für Theme und Plugins zu deaktivieren. Gerade in diesem Fall sollte man unbedingt darauf achten. Mit dem folgenden Code in der wp-config.php wird der Editor abgeschaltet:

define('DISALLOW_FILE_EDIT',true);

Die Änderung der Nutzerrechte kann natürlich keinen Brute Force Angriff verhindern. Sie kann aber die negativen Folgen einer erfolgreichen Attacke verringern. Deshalb empfehle ich dringend die regelmäßige Überprüfung und Korrektur der WordPress User