Ein Leitfaden zu WooCommerce-Benutzerrollen, Berechtigungen und Sicherheit

Veröffentlicht: 2019-09-04

Wenn Sie Personen Zugriff auf Ihre Website gewähren, ist es wichtig, die volle Kontrolle zu behalten und gleichzeitig Ihren Mitarbeitern, Auftragnehmern und Freiwilligen zu ermöglichen, ihre Arbeit effektiv zu erledigen. Es gibt ein paar wichtige Schritte, die Sie unternehmen sollten, um dies zu erreichen.

Wir werden uns die verschiedenen Benutzertypen ansehen, auf die WordPress und WooCommerce Ihnen Zugriff gewähren, was diese Berechtigungen bedeuten und andere Best Practices für die Website-Sicherheit.

WordPress-Benutzer vor einem Computer

Benutzerrollen und Berechtigungen

Das Benutzerverwaltungssystem basiert auf zwei Aspekten: Rollen und Fähigkeiten.

Eine Rolle ist der Klassifizierungstitel, der einer Gruppe von Benutzern auf Ihrer WordPress-Site zugewiesen wird. Jede Rolle korreliert mit ihren eigenen Fähigkeiten.

Eine Funktion ist eine bestimmte Aktion, die ein Benutzer ausführen darf. Beispielsweise ist das Bearbeiten eines Beitrags eine eigenständige Funktion, während das Moderieren von Kommentaren zu Blogbeiträgen eine andere ist.

WordPress hat sechs Standardbenutzerrollen, jede mit ihren eigenen Berechtigungen und Fähigkeiten:

  • Super-Admin: Ein Super-Admin verfügt über Funktionen, die speziell für Umgebungen mit mehreren Standorten gelten. Sie können Einstellungen für alle Websites im Netzwerk verwalten. Bei einzelnen Sites ist der Admin die höchste Benutzerebene.
  • Admin: Die mächtigste Benutzerrolle, weil Sie damit auf alles zugreifen können. Als Website-Eigentümer sollte dies Ihre Rolle sein
  • Editor: Dieser Benutzer ist normalerweise für die Verwaltung von Inhalten verantwortlich. Redakteure können alle Beiträge und Medien hinzufügen, bearbeiten, veröffentlichen und löschen, einschließlich derer, die von anderen Benutzern geschrieben wurden. Redakteure können auch Kommentare moderieren, bearbeiten und löschen sowie Kategorien und Tags hinzufügen und bearbeiten
  • Autor: Typischerweise verantwortlich für Aufgaben im Zusammenhang mit dem Schreiben von Inhalten. Sie können ihre eigenen Beiträge erstellen, bearbeiten und veröffentlichen. Sie können auch ihre eigenen Posts löschen (selbst wenn sie bereits veröffentlicht wurden), aber keine Posts bearbeiten oder löschen, die von anderen Benutzern geschrieben wurden
  • Mitwirkender: Der Mitwirkende ist eine einfachere Version der Autorenrolle. Mitwirkende können drei Aufgaben auf Ihrer Website ausführen: alle Beiträge lesen, ihre eigenen Beiträge erstellen und bearbeiten und ihre eigenen Beiträge löschen. Diese Rolle beschränkt sich jedoch darauf, ihnen zu erlauben, ihre Beiträge direkt auf Ihrer Website zu veröffentlichen. Dies gibt Ihnen die Möglichkeit, alle von ihnen erstellten Inhalte zu überprüfen und die endgültige Kontrolle darüber zu haben, bevor sie live gehen
  • Abonnent: Wird neuen Benutzern zugewiesen, wenn Sie Registrierungen auf Ihrer Website aktivieren. Diese Rolle hat die wenigsten Berechtigungen. Benutzer können nur ihr eigenes Profil aktualisieren, den Inhalt Ihrer Website lesen und Kommentare hinterlassen.

Wenn Sie WooCommerce installieren, erhalten Sie zwei Benutzerrollen:

  • Kunde: Wird neuen Kunden zugewiesen, wenn sie ein Konto auf Ihrer Website erstellen. Diese Rolle entspricht im Grunde der eines normalen Blog-Abonnenten, aber Kunden können ihre eigenen Kontoinformationen bearbeiten und vergangene oder aktuelle Bestellungen einsehen.
  • Shop-Manager: Damit kann der Benutzer die Betriebsseite Ihres WooCommerce-Shops ausführen, ohne Backend-Funktionen wie Dateien und Code bearbeiten zu können. Ein Manager hat die gleichen Berechtigungen wie ein Kunde, außerdem hat er die Möglichkeit, alle Einstellungen innerhalb von WooCommerce zu verwalten, Produkte zu erstellen/bearbeiten und auf alle WooCommerce-Berichte zuzugreifen. Wichtig: Sie haben AUCH Zugriff auf die oben erwähnten WordPress-Editor-Funktionen.

WooCommerce bietet auch zusätzliche Funktionen , die es einem Administrator ermöglichen:

  • Verwalten Sie alle WooCommerce-Einstellungen
  • Produkte erstellen und bearbeiten
  • WooCommerce-Berichte anzeigen

Wann sollte die Shop-Manager-Rolle verwendet werden?

Weisen Sie die Shop-Manager-Rolle zu, wenn:

  • Sie möchten einem Benutzer erlauben, Bestellungen zu verwalten, Rückerstattungen vorzunehmen und Berichte zu erstellen, ohne Plugins, Designs oder Einstellungen auf Ihrer Website bearbeiten zu können.
  • Sie möchten einem Benutzer erlauben, Bestellungen und Produkte anzuzeigen und zu aktualisieren, aber nicht auf Ihre Benutzereinstellungen zuzugreifen (er kann keine Benutzerrollen und -berechtigungen hinzufügen/bearbeiten).
Code auf einem Computer, um zu demonstrieren, wann Sie die Administratorrolle zuweisen können

Wann die Administratorrolle verwendet werden sollte

Es kann Fälle geben, in denen Sie einem anderen Benutzer eine Administratorrolle auf Ihrer Website zuweisen müssen.

Beispiele für Admin-Benutzer:

  • Webseitenentwickler
  • Website-Designer
  • Agentur für Social-Media-Marketing
  • Agentur für digitales Marketing

Normalerweise benötigen Personen in diesen Rollen Zugriff auf umfangreichere WordPress-Funktionen und -Einstellungen, um Projekte auf Ihrer Website durchzuführen.

Sie sollten damit äußerst vorsichtig sein, da der Administrator die mächtigste Rolle in Ihrem Geschäft ist.

Best Practices für Benutzerberechtigungen

  • Geben Sie Benutzern nur den Zugriff, den sie benötigen. Dies ist aus Sicherheitsgründen wichtig, um zu verhindern, dass Benutzer unbefugte Änderungen vornehmen und Inhalte versehentlich gelöscht werden.
  • Begrenzen Sie die Anzahl der Benutzer, die eine Administratorrolle haben. Viele Anbieter können diese Rolle anfordern, aber nur wenige benötigen tatsächlich eine so erweiterte Zugriffsebene. Bevor Sie der Anfrage stattgeben, überdenken Sie sorgfältig die Jobfunktionen, die sie ausführen werden, und prüfen Sie, ob eine niedrigere Zugriffsebene ausreichend wäre.
  • Wenn Sie mehr Kontrolle darüber haben möchten, worauf Ihr Benutzer Zugriff erhält, laden Sie das kostenlose Plug-in „User Role Editor“ herunter, mit dem Sie die individuellen Funktionen auswählen können, die Sie jedem Benutzer gewähren.

Best Practices für die Website-Sicherheit

Das Hinzufügen von Benutzern zu Ihrer Website erfordert zusätzliche Sicherheitsmaßnahmen – je mehr Benutzer Sie haben, desto mehr Risiko gehen Sie ein.

Sichere Benutzernamen und Passwörter

Stellen Sie immer sicher, dass Ihr gesamtes Team sichere Benutzernamen und Passwörter verwendet.

  • Aktivieren Sie nach Möglichkeit die Zwei-Faktor-Authentifizierung . Das kostenlose Jetpack-Plugin macht dies einfach.
  • Vermeiden Sie bei Benutzernamen gängige Titel wie „Admin“ oder „Administrator“. Dies macht Ihre Website anfällig für Sicherheitsverletzungen. Erstellen Sie stattdessen für jede Person einen eigenen Benutzernamen .
  • WordPress erstellt automatisch ein sicheres Passwort für Sie, wenn Sie einen neuen Benutzer erstellen, aber Sie haben die Möglichkeit, dieses außer Kraft zu setzen und Ihren Benutzern zu erlauben, ihr eigenes Passwort festzulegen .
  • Stellen Sie beim Erstellen eines neuen Passworts sicher, dass es aus Großbuchstaben, Kleinbuchstaben, Zahlen und Symbolen besteht und mindestens 12 Zeichen lang ist. Das mag extrem klingen, aber je komplizierter das Passwort für jeden Ihrer Benutzer ist, desto besser ist Ihre Sicherheit .

Rollen regelmäßig überprüfen

Überprüfen Sie regelmäßig die Benutzerrollen, insbesondere für Administratoren. Möglicherweise müssen Sie ihnen eine neue Rolle zuweisen oder ihr Konto vollständig entfernen.

Wenn Sie beispielsweise aufhören, mit einer Agentur oder einem Entwickler zusammenzuarbeiten, stellen Sie sicher, dass ihr Konto von Ihrer Website entfernt wird, damit sie keinen Zugriff mehr darauf haben. Dasselbe gilt für andere Benutzerrollen.

Kein Benutzer sollte Zugriff auf Ihre Website haben, es sei denn, er benötigt ihn gerade.

Dies gilt auch für Ihre Hosting- und Domainnamen-Konten. Wenn Sie jemandem Zugriff auf Ihre Anmeldeinformationen gewährt haben und Sie nicht mehr mit ihm zusammenarbeiten, ändern Sie Ihr Passwort. Wenn Sie einem Entwickler zu irgendeinem Zeitpunkt FTP-Anmeldeinformationen zur Verfügung gestellt haben, damit dieser Ihre Website-Dateien verwalten kann, stellen Sie sicher, dass Sie diese Anmeldeinformationen vollständig aktualisieren oder löschen. InMotion Hosting bietet eine leicht verständliche Anleitung für alle, die cPanel verwenden.

Denken Sie daran: Website-Profis können weiterhin über Ihre Hosting-Kontoinformationen oder FTP-Anmeldeinformationen auf Ihre Website zugreifen.

Erstellen Sie regelmäßig Backups Ihrer Website

Das Erstellen regelmäßiger Backups Ihrer Website und Ihres Online-Shops ist äußerst wichtig, nicht nur für die Sicherheit, sondern auch für den Seelenfrieden.

Wenn ein Benutzer am Ende nicht genehmigte Änderungen an Ihrer Website vornimmt oder Ihre Website kompromittiert wird, müssen Sie unbedingt eine Kopie zur Hand haben, damit Sie den ursprünglichen Zustand wiederherstellen können.

Mit kostenpflichtigen Jetpack-Plänen können Sie ein Site-Backup schnell mit einem Klick wiederherstellen. Jetpack führt auch ein Audit-Protokoll in Ihrem WordPress-Dashboard, das detaillierte Informationen über alle an Ihrer Website vorgenommenen Änderungen enthält. Sie können sehen, welcher Benutzer die Änderung vorgenommen hat, wann sie stattgefunden hat und was genau die Änderung war.

Screenshot eines Jetpack-Audit-Logs

Es ist wichtig, sich nicht auf kostenlose Backups zu verlassen, die Ihr Hosting-Provider bereitstellt. Sie sollten die volle Kontrolle über Ihre Dateien und Backups haben, und viele Hosts bewahren Backups nur 48 Stunden lang auf. Möglicherweise möchten Sie Backups auch unabhängig von Konten aufbewahren, auf die Sie möglicherweise gemeinsamen Zugriff haben. Eine Möglichkeit, dies zu tun, besteht darin, eine Kopie bei einem Online-Cloud-Anbieter wie Dropbox oder Google Drive zu speichern oder eine Kopie auf einer physischen Festplatte aufzubewahren.

Anmeldedaten teilen

Wenn Sie Anmeldeinformationen für Benutzerrollen oder für Ihre Hosting-/Domänenkonten freigeben müssen, senden Sie diese nicht per E-Mail oder einem anderen unsicheren System.

Nutzen Sie stattdessen kostenlose Tools zum Teilen von Passwörtern wie LastPass.

Mit LastPass können Sie ein Konto erstellen, alle Ihre Online-Benutzernamen und Passwörter in einem Tresor speichern und Anmeldeinformationen über das verschlüsselte und sichere Netzwerk teilen.

Sie können in diesem Tool auch Benutzerberechtigungen festlegen – Sie können beispielsweise ein Kontrollkästchen aktivieren, wenn Sie möchten, dass der Benutzer das Passwort sehen kann oder nicht.

Sei sicher da draußen

Der Besitz eines Online-Shops bringt viel Verantwortung mit sich, insbesondere wenn es darum geht, den Zugriff auf das Back-End Ihrer Website zuzuweisen.

Glücklicherweise machen es WordPress und WooCommerce einfach, bestimmte Benutzerrollen zuzuweisen, Berechtigungen zu sperren, Kundeninformationen und Ihr digitales Eigentum sicher aufzubewahren.