Wie man neue Benutzer zu WordPress hinzufügt: Ein vollständiger Leitfaden zu Rollen, Berechtigungen und Benutzerverwaltung

Die WordPress-Benutzerverwaltung ist eine der folgenreichsten administrativen Aufgaben auf jeder Website mit mehreren Autoren oder im Team. Das fehlerhafte Hinzufügen eines neuen Benutzers — falsche Rolle, schwache Passwortrichtlinie, keine E-Mail-Verifizierung — kann Ihre Website für Privilegienerweiterungen, Inhaltssabotage oder unbefugte Plugin-Installationen anfällig machen. Dieser Leitfaden führt Sie mit der technischen Präzision durch jeden Schritt des Prozesses, die eine gut verwaltete WordPress-Installation von einer anfälligen unterscheidet.

Direkte Antwort: Um einen neuen Benutzer in WordPress hinzuzufügen, navigieren Sie in Ihrem Admin-Dashboard zu Benutzer > Neu hinzufügen, füllen Sie die Felder für Benutzername, E-Mail und Passwort aus, weisen Sie eine Rolle aus der integrierten Rollenhierarchie zu und klicken Sie auf Neuen Benutzer hinzufügen. Der Benutzer erhält eine Benachrichtigungs-E-Mail, wenn diese Option aktiviert ist. Der gesamte Vorgang dauert weniger als zwei Minuten — aber die Wahl der richtigen Rolle und die Durchsetzung einer starken Anmeldedatenrichtlinie erfordert bewusstes Urteilsvermögen.

Warum die Architektur der Benutzerverwaltung wichtig ist

WordPress wird mit einem rollenbasierten Zugangskontrollmodell (RBAC) ausgeliefert. Jede Berechtigung auf der Plattform — Beiträge veröffentlichen, Plugins installieren, Optionen verwalten — ist ein eigenständiges Berechtigungs-Flag. Rollen sind einfach benannte Bündel dieser Berechtigungs-Flags. Wenn Sie einem Benutzer eine Rolle zuweisen, gewähren oder verweigern Sie gleichzeitig Dutzende von individuellen Berechtigungen.

Dies ist aus betrieblicher Sicht wichtig, weil:

• Überprivilegierte Benutzer die häufigste Ursache für versehentliche oder böswillige Änderungen sind, die die Website beschädigen.
• Unterprivilegierte Benutzer Workflow-Engpässe verursachen und Administratoren zwingen, jeden Inhalt manuell zu veröffentlichen.
• Verwaiste Konten — Benutzer, die keinen Zugang mehr benötigen — eine anhaltende Angriffsfläche darstellen, insbesondere in gemeinsam genutzten Umgebungen.

Wenn Ihre WordPress-Website in einer VPS Hosting-Umgebung betrieben wird, haben Sie die zusätzliche Verantwortung, die WordPress-Benutzerberechtigungen mit den serverseitigen Zugriffskontrollen abzustimmen. Eine WordPress-Administrator-Rolle gewährt keinen SSH- oder Datenbankzugriff, aber ein Angreifer, der ein Administrator-Konto kompromittiert, kann ein bösartiges Plugin hochladen, das dies tut.

Schritt 1: Zugriff auf das WordPress-Admin-Dashboard

Navigieren Sie zur Anmeldeseite Ihrer Website:

https://yourdomain.com/wp-admin/

Authentifizieren Sie sich mit Ihren Administrator-Anmeldedaten. Wenn Sie die Zwei-Faktor-Authentifizierung (2FA) über ein Plugin wie Wordfence oder Google Authenticator aktiviert haben, schließen Sie diese Überprüfung ab, bevor Sie fortfahren.

Sicherheitshinweis: Wenn Sie WordPress auf einem von Ihnen kontrollierten Server verwalten, sollten Sie den Zugriff auf /wp-admin/ auf IP-Ebene auf dem Webserver einschränken. Bei Nginx ist dies ein einfacher allow/deny-Block; bei Apache eine .htaccess-Direktive. Dies ist eine Defense-in-Depth-Maßnahme, die vollständig außerhalb der eigenen Authentifizierungsschicht von WordPress operiert.

Schritt 2: Navigieren Sie zu Benutzer > Neu hinzufügen

Fahren Sie im linken Navigationsbereich mit der Maus über Benutzer. Das Flyout-Untermenü zeigt zwei Optionen: Alle Benutzer und Neu hinzufügen. Klicken Sie auf Neu hinzufügen.

Sie können diesen Bildschirm auch direkt über folgende URL aufrufen:

https://yourdomain.com/wp-admin/user-new.php

Das Setzen eines Lesezeichens für diese URL ist nützlich für Website-Administratoren, die häufig Benutzer hinzufügen.

Schritt 3: Das Formular für neue Benutzer ausfüllen

Das Formular Neuen Benutzer hinzufügen enthält mehrere Felder. Einige sind obligatorisch; andere sind optional, aber betrieblich bedeutsam.

Benutzername

Das user_login-Feld wird in wp_users gespeichert. Dieser Wert ist dauerhaft — WordPress bietet keine native Benutzeroberfläche zum Umbenennen eines Benutzers nach der Erstellung. Wählen Sie einen Benutzernamen, der:

• Die Rolle des Benutzers nicht preisgibt (vermeiden Sie admin, editor1, webmaster).
• Nicht identisch mit dem Benutzernamen des primären Admin-Kontos der Website ist, das ein häufiges Brute-Force-Ziel darstellt.
• Einer einheitlichen internen Namenskonvention folgt (z. B. firstname.lastname oder f.lastname).

Wenn Sie einen Benutzer später umbenennen müssen, müssen Sie entweder ein Plugin (Username Changer) verwenden oder eine direkte Datenbankabfrage ausführen:

UPDATE wp_users SET user_login = 'new_username' WHERE user_login = 'old_username';

E-Mail-Adresse

WordPress sendet die Willkommensbenachrichtigung und alle System-E-Mails an diese Adresse. Sie dient auch als Kontowiederherstellungsmechanismus. Stellen Sie sicher, dass die Adresse:

• Ein zustellbares Postfach ist, das der Benutzer aktiv überwacht.
• In Ihrer wp_users-Tabelle eindeutig ist — WordPress erzwingt dies auf Anwendungsebene.

Wenn Ihre Organisation eine eigene Mail-Infrastruktur betreibt, sollten Sie WordPress mit einer dedizierten E-Mail-Hosting-Lösung kombinieren, um eine zuverlässige Zustellung von Transaktions-E-Mails zu gewährleisten und zu verhindern, dass Willkommensnachrichten im Spam landen.

Vorname, Nachname, Website

Diese Felder füllen wp_usermeta aus und sind vollständig optional. Sie erscheinen in Autoren-Bylines und Profilseiten. Bei internen Teammitgliedern verbessert das Ausfüllen dieser Felder die Lesbarkeit des Audit-Trails in der Ansicht Alle Benutzer.

Passwort

WordPress generiert automatisch ein kryptografisch starkes Passwort mit wp_generate_password(). Die Standard-Entropie ist hoch. Sie haben zwei Möglichkeiten:

• Das generierte Passwort akzeptieren und die Willkommens-E-Mail es dem Benutzer übermitteln lassen, der es bei der ersten Anmeldung ändern sollte.
• Ein benutzerdefiniertes Passwort festlegen, indem Sie auf Passwort anzeigen klicken und ein Ersatzpasswort eingeben. Wenn das benutzerdefinierte Passwort schwächer als die Stärke-Heuristik von WordPress ist, erscheint ein Bestätigungsfeld mit einer ausdrücklichen Warnung.

Legen Sie keine trivialen Passwörter für neue Konten fest, auch nicht vorübergehend. Es gibt keine Durchsetzung von „temporären Passwörtern” im WordPress-Kern — ein bei der Erstellung gesetztes schwaches Passwort bleibt schwach, bis der Benutzer es ändert. Für erzwungene Passwortrichtlinien verwenden Sie ein Plugin wie Password Policy Manager oder implementieren Sie serverseitige Regeln.

Benutzerbenachrichtigung senden

Wenn diese Option aktiviert ist, sendet WordPress eine new_user_notification-E-Mail mit der Anmelde-URL und dem generierten Passwort (oder einem Link zum Zurücksetzen des Passworts, abhängig von Ihrer WordPress-Version und Konfiguration). Lassen Sie diese Option aktiviert, es sei denn, Sie stellen Konten in großen Mengen bereit und planen, Anmeldedaten über einen sicheren Out-of-Band-Kanal zu übermitteln.

Schritt 4: Die richtige Benutzerrolle zuweisen

Dies ist die folgenreichste Entscheidung im gesamten Prozess. Die fünf integrierten Rollen von WordPress bilden eine strikte Berechtigungshierarchie.

Vergleichstabelle der WordPress-Benutzerrollen

Rollendefinitionen und praktische Zuweisungsrichtlinien

Administrator

Besitzt die Flags manage_options, install_plugins, edit_themes, delete_users und etwa 60 weitere Berechtigungs-Flags. Die Vergabe dieser Rolle an jemand anderen als einen vertrauenswürdigen technischen Eigentümer ist ein erhebliches Sicherheitsrisiko. Auf einer Produktionswebsite sollte die Anzahl der Administrator-Konten auf das notwendige Minimum beschränkt sein — typischerweise ein oder zwei.

Editor

Die richtige Rolle für Content-Manager, leitende Redakteure und erfahrene Autoren, die eine autorenübergreifende Aufsicht benötigen. Editoren können jeden Beitrag oder jede Seite unabhängig von der Autorenschaft veröffentlichen, bearbeiten und löschen. Sie können keine Plugins, Themes oder Website-Einstellungen ändern. Diese Rolle schlägt eine praktische Balance zwischen redaktioneller Autorität und Systemsicherheit.

Author

Geeignet für regelmäßige Beitragende, die ihren Inhalt von Anfang bis Ende selbst verantworten. Autoren können Medien hochladen, ihre eigenen Beiträge veröffentlichen und ihre eigenen veröffentlichten Inhalte löschen. Sie haben keinen Einblick in die Entwürfe anderer Benutzer. Ein wichtiger Aspekt: Autoren können ihre eigenen veröffentlichten Beiträge löschen, was für Website-Betreiber, die veröffentlichte Inhalte als unveränderlich betrachten, manchmal überraschend ist.

Contributor

Die sicherste Rolle für neue oder nicht vertrauenswürdige Autoren. Beitragende können Beiträge entwerfen und zur Überprüfung einreichen, aber die Schaltfläche Veröffentlichen wird durch eine Schaltfläche Zur Überprüfung einreichen ersetzt. Sie können keine Bilder direkt in die Medienbibliothek hochladen — ein erheblicher Workflow-Engpass, den viele Website-Betreiber übersehen. Wenn Ihr redaktioneller Workflow auf bildreichen Inhalten basiert, benötigen Beitragende einen Editor für Medien-Uploads, oder Sie benötigen ein Plugin, das ihre Medienfähigkeiten erweitert.

Subscriber

Gewährt ausschließlich Zugriff auf das WordPress-Dashboard zur Profilverwaltung. Wird für Mitglieder-Websites, Plattformen mit gesperrten Inhalten oder Foren verwendet, bei denen eine Registrierung erforderlich ist, um zu kommentieren oder auf eingeschränkte Seiten zuzugreifen. Abonnenten erstellen keine Inhalte und haben keine administrative Oberfläche.

Benutzerdefinierte Rollen und Berechtigungserweiterungen

Die fünf integrierten Rollen decken die meisten Anwendungsfälle ab, aber komplexe Websites erfordern oft eine granulare Anpassung. Die Funktionen add_role() und add_cap() in der WordPress-API ermöglichen es Entwicklern, benutzerdefinierte Rollen zu erstellen oder bestehende programmatisch zu erweitern. Plugins wie Members oder User Role Editor stellen diese Funktionalität über eine Benutzeroberfläche bereit, ohne Code zu erfordern.

Beispiel für das Hinzufügen einer benutzerdefinierten Berechtigung zur Editor-Rolle über functions.php:

function add_custom_editor_caps() {
    $role = get_role( 'editor' );
    $role->add_cap( 'manage_categories' );
}
add_action( 'admin_init', 'add_custom_editor_caps' );

Schritt 5: Das Formular absenden

Sobald alle Felder ausgefüllt und die Rolle ausgewählt ist, klicken Sie auf die Schaltfläche Neuen Benutzer hinzufügen am unteren Ende des Formulars. WordPress wird:

1. Eine neue Zeile in wp_users einfügen.
2. Entsprechende Metadaten in wp_usermeta befüllen (Rolle, Vorname, Nachname usw.).
3. Die Benachrichtigungs-E-Mail versenden, wenn diese Option aktiviert war.
4. Sie zum Bildschirm Alle Benutzer mit einer Erfolgsmeldung weiterleiten.

Wenn Sie eine Fehlermeldung erhalten, dass der Benutzername oder die E-Mail bereits existiert, hat WordPress eine Kollision in wp_users gefunden. Verwenden Sie eine eindeutige Kennung oder fragen Sie die Datenbank ab, um doppelte Konten zu untersuchen.

Schritt 6: Die Willkommens-E-Mail und die erste Anmeldung überprüfen

Bestätigen Sie nach der Kontoerstellung, dass der Benutzer die Benachrichtigungs-E-Mail erhalten hat. Häufige Fehlerquellen sind:

• WordPress sendet von einer wordpress@yourdomain.com-Adresse, die keinen gültigen SPF- oder DKIM-Eintrag hat, wodurch die Nachricht als Spam gefiltert wird.
• Shared-Hosting-Umgebungen, in denen die PHP-Funktion mail() gedrosselt oder blockiert ist.

Die robuste Lösung besteht darin, WordPress so zu konfigurieren, dass E-Mails über SMTP mit einem authentifizierten Relay gesendet werden. Installieren Sie ein Plugin wie WP Mail SMTP und verbinden Sie es mit einem Transaktions-E-Mail-Dienst (SendGrid, Mailgun, Postmark) oder Ihrem eigenen SMTP-Server. Wenn Ihre Hosting-Umgebung dies unterstützt, stellt die Kombination mit einer ordnungsgemäßen SSL-Zertifikate-Einrichtung sicher, dass die SMTP-Verbindung verschlüsselt ist und die Identität der Domain verifizierbar ist.

Bestehende Benutzer verwalten

Navigieren Sie zu Benutzer > Alle Benutzer für ein vollständiges Kontoinventar. Dieser Bildschirm unterstützt:

• Massenrollenänderungen über das Dropdown-Menü oberhalb der Benutzerliste — wählen Sie mehrere Benutzer aus, wählen Sie eine neue Rolle und wenden Sie sie an.
• Individuelle Profilbearbeitung — klicken Sie auf einen Benutzernamen, um den vollständigen Profileditor zu öffnen, wo Sie die Rolle ändern, das Passwort zurücksetzen oder Kontaktinformationen aktualisieren können.
• Kontolöschung — WordPress fordert Sie auf, entweder den Inhalt des Benutzers zu löschen oder ihn einem anderen Benutzer zuzuweisen. Wählen Sie immer Alle Inhalte zuweisen an und wählen Sie ein aktives Konto. Das Löschen von Inhalten bei der Benutzerentfernung ist unwiderruflich.
• Filterung nach Rolle — die Rollen-Links oben in der Tabelle (Alle | Administrator | Editor | Author | Contributor | Subscriber) ermöglichen es Ihnen, jede Ebene unabhängig zu prüfen.

Benutzerkonten prüfen und absichern

Über die Kern-Benutzeroberfläche hinaus sollte eine WordPress-Produktionsinstallation Folgendes implementieren:

• 2FA erzwingen für alle Administrator- und Editor-Konten mit einem Plugin wie WP 2FA oder Wordfence Login Security.
• Benutzeraktivitäten protokollieren mit einem Plugin wie WP Activity Log, um einen Audit-Trail von Anmeldungen, Rollenänderungen und Inhaltsänderungen zu führen.
• Den Standard-Benutzernamen admin deaktivieren, falls er existiert. Benennen Sie ihn über die zuvor gezeigte Datenbankabfrage um oder erstellen Sie ein neues Administrator-Konto und löschen Sie das admin-Konto.
• Sitzungsablauf festlegen mit dem Filter auth_cookie_expiration, um zu begrenzen, wie lange eine authentifizierte Sitzung ohne erneute Authentifizierung bestehen bleibt.
• Benutzerkonten vierteljährlich überprüfen. Ruhende Konten — insbesondere solche mit Author- oder Editor-Rollen — sollten deaktiviert oder gelöscht werden.

Wenn Ihre WordPress-Installation auf einem Dedicated Server betrieben wird, haben Sie die volle Kontrolle über die zugrunde liegende MySQL-Instanz. Fragen Sie wp_users und wp_usermeta regelmäßig direkt ab, um aktive WordPress-Konten mit Ihrer erwarteten Team-Liste abzugleichen:

SELECT u.user_login, u.user_email, m.meta_value AS role
FROM wp_users u
JOIN wp_usermeta m ON u.ID = m.user_id
WHERE m.meta_key = 'wp_capabilities'
ORDER BY u.user_registered DESC;

Diese Abfrage zeigt jedes Konto und seine zugewiesene Rolle an, was es einfach macht, verwaiste oder überprivilegierte Konten zu identifizieren, die die WordPress-Benutzeroberfläche in einer großen Benutzerliste möglicherweise verbirgt.

Benutzer programmatisch hinzufügen

Für die Massenbereitstellung — zum Beispiel das gleichzeitige Onboarding eines Teams von 20 Autoren — ist die WordPress-Admin-Benutzeroberfläche unpraktisch. Verwenden Sie wp_create_user() oder wp_insert_user() über WP-CLI:

wp user create jane.doe jane.doe@example.com --role=author --send-email

Der Befehl user create von WP-CLI akzeptiert alle dieselben Felder wie das UI-Formular und unterstützt die Ausgabe --porcelain für Skripte. Für den Massenimport aus einer CSV-Datei:

wp user import-csv /path/to/users.csv --send-email

Dieser Ansatz ist besonders effizient in VPS mit cPanel-Umgebungen, in denen WP-CLI vorinstalliert und über das Terminal zugänglich ist.

Technische Entscheidungsmatrix: Die richtige Rolle wählen

Verwenden Sie diese Matrix, wenn Sie unsicher sind, welche Rolle Sie zuweisen sollen:

Praktische Checkliste vor dem Hinzufügen eines neuen Benutzers

• Bestätigen Sie, dass der Benutzername Ihrer Namenskonvention folgt und keine Rolleninformationen preisgibt.
• Überprüfen Sie, ob die E-Mail-Adresse zustellbar ist und zur beabsichtigten Person gehört.
• Wählen Sie die minimal notwendige Rolle — weisen Sie nicht aus Bequemlichkeit standardmäßig die Administrator-Rolle zu.
• Stellen Sie sicher, dass Ihre WordPress-Installation E-Mails zuverlässig sendet (SMTP konfiguriert, SPF/DKIM-Einträge gesetzt).
• Wenn der Benutzer ein Administrator ist, erzwingen Sie 2FA, bevor Sie Zugriff auf die Produktion gewähren.
• Planen Sie ein Überprüfungsdatum, um zu prüfen, ob das Konto noch benötigt wird.
• Bestätigen Sie bei serverseitig verwalteten Installationen, dass der WordPress-Zugriff nicht versehentlich mit serverseitigen Anmeldedaten überschneidet.

FAQ

Kann ich die Rolle eines Benutzers nach der Kontoerstellung ändern?

Ja. Gehen Sie zu Benutzer > Alle Benutzer, klicken Sie auf den Namen des Benutzers, scrollen Sie zum Dropdown-Menü Rolle, wählen Sie die neue Rolle aus und klicken Sie auf Benutzer aktualisieren. Die Änderung tritt beim nächsten Seitenaufruf dieses Benutzers sofort in Kraft.

Was passiert mit den Inhalten eines Benutzers, wenn ich sein Konto lösche?

WordPress fordert Sie auf, entweder alle mit diesem Benutzer verknüpften Inhalte dauerhaft zu löschen oder sie einem anderen vorhandenen Benutzer zuzuweisen. Die Zuweisung ist fast immer die richtige Wahl. Das Löschen ist unwiderruflich und kann nicht über die Benutzeroberfläche rückgängig gemacht werden.

Warum fehlt die Option „Neuen Benutzer hinzufügen” in meinem Benutzermenü?

Dies bedeutet in der Regel, dass Ihr Konto nicht über die Berechtigung create_users verfügt, die standardmäßig exklusiv der Administrator-Rolle vorbehalten ist. Wenn Sie als Administrator angemeldet sind und sie dennoch nicht sehen können, hat möglicherweise ein Plugin oder eine functions.php-Anpassung die Berechtigung entfernt. Überprüfen Sie dies mit current_user_can( 'create_users' ) in einem Test-Snippet oder untersuchen Sie die Berechtigungen der Rolle über die Datenbank.

Kann ein Contributor Bilder in seine Beiträge hochladen?

Standardmäßig nicht. Die Berechtigung upload_files ist nicht in der Contributor-Rolle enthalten. Sie können sie individuell mit $role->add_cap( 'upload_files' ) in der functions.php Ihres Themes gewähren oder ein Rollenverwaltungs-Plugin verwenden. Beachten Sie, dass uneingeschränkte Medien-Uploads bei Setups mit vielen Beitragenden erheblichen Serverspeicher verbrauchen können.

Wie füge ich Benutzer zu WordPress hinzu, ohne ihnen Dashboard-Zugriff zu geben?

Weisen Sie die Subscriber-Rolle zu, die den Benutzer auf seine Profilseite im Dashboard beschränkt. Für vollständigen Frontend-only-Zugriff (z. B. Mitglieder-Websites) verwenden Sie ein Plugin wie MemberPress oder Restrict Content Pro, das das Standard-Dashboard vollständig umgeht und eine benutzerdefinierte Frontend-Kontooberfläche präsentiert.