WordPress: Wie deaktiviert man einen Benutzer?

Nachtrag: Das hier vorgestellte WordPress-Plugin User Locker wurde schon längere Zeit nicht mehr aktualisiert. Disable User erfüllt aber den gleichen Zweck.

WordPress Plugin User Locker: Erweiterte Einstellungen in den Benutzerkonten

Die Welt ist dauernd in Bewegung: Menschen, die einst an einem Blog mitgeschrieben haben, erhalten andere Aufgaben oder verlassen das Unternehmen und sollen dann keinen Zugriff mehr auf das Blog-Backend haben. WordPress bietet von Haus aus folgende Möglichkeiten, um mit diesem Problem umzugehen:

  • Benutzer löschen: Die radikalste Methode besteht darin, den WordPress User schlicht und einfach zu löschen. Dadurch geht allerdings auch die Information über die Autorenschaft seiner Artikel verloren, was in der Regel unerwünscht ist.
  • Benutzer entfernen: Ist WordPress als Blog-Netzwerk konfiguriert (mehrere Blogs in einer einzigen Installation), so reicht es aus, die Zuordnung des Users zu den jeweiligen Blogs zu lösen. Dadurch bleibt der User zwar Autor seiner früheren Artikel, kann aber keine neuen mehr anlegen.
  • Benutzerrechte zurückstufen: WordPress unterscheidet sechs verschiedene Benutzerrollen. Stuft man einen ehemaligen Mitarbeiter auf die Rolle Subscriber (= Abonnent) zurück, dann hat er nur noch minimale Rechte. Er könnte dann höchstens seinen Namen ändern und auf diese Weise eine unerwünschte Botschaft in seine früheren Beiträge einschleusen – etwa indem er „Max Muster“ ändert auf „Glauben Sie nicht, was sie hier lesen! Ich wurde gezwungen, das zu schreiben, aber es ist nicht wahr! Diese Produkte sind unbrauchbar und völlig überteuert!“
  • Passwort und E-Mail-Adresse ändern: Ein weiterer Ansatz besteht darin, das Passwort des Users zu ändern, so dass sich dieser nicht mehr im Backend einloggen kann. Damit er sich über die “Passwort vergessen”-Funktion nicht einfach ein neues Passwort zuschicken lässt, muss man aber zusätzlich auch die E-Mail-Adresse ändern. Dies ist insofern etwas umständlich, als in WordPress jeder User zwingend eine eindeutige E-Mail-Adresse braucht – man kann also nicht für sämtliche deaktivierten Users die gleiche Adresse (z.B. inactive.user@mydomain.com) benutzen.

WordPress Plugin User Locker: Fehlermeldung bei einem gesperrten Benutzerkonto

Was in WordPress leider fehlt ist die naheliegendste Lösung, dass man nämlich als Administrator per Checkbox andere Benutzerkonten sperren (und ggf. auch wieder freischalten) kann. Das Plugin User Locker rüstet genau diese Funktionalität nach. Dabei kann der Administrator bei Bedarf eine individuelle Textmeldung erfassen, welche dem User nach einem erfolglosen Login-Versuch angezeigt wird (z.B. “Ihr Benutzerkonto wurde deaktiviert. Für weitere Informationen setzen Sie sich bitte mit Peter Mustermann in Verbindung.”)

Das Plugin hat aber noch eine zweite Funktion: Es verhindert Brute-Force-Attacken (systematisches Durchprobieren von Passwörtern), indem nach einer bestimmten Anzahl erfolgloser Logins das Konto automatisch gesperrt wird. In der Benutzerverwaltung werden solche Konten dann als “aus Sicherheitsgründen gesperrt” gekennzeichnet.

3 Gedanken zu “WordPress: Wie deaktiviert man einen Benutzer?

  1. Jap, schöne Sache. Das Plugin habe ich jetzt mal zur Probe genutzt. Für ein zukünftiges Projekt werde ich es wohl auch brauchen (hoffentlich nicht, aber man weiß ja nie). In jedem Fall sehe ich das ebenso, dass eine Check-Box als Standard fehlt.

  2. Danke für den guten Beitrag, weißt Du zufällig, ob man User Locker problemlos installieren kann, auch wenn bereits Limit Login Attempts installiert ist?

Schreibe einen Kommentar

− 4 = 2

css.php