Stel je voor: je geeft je stagiair de sleutel van je kantoor. Maar in plaats van alleen de voordeur, geef je hem ook de sleutel van de kluis, toegang tot je bankrekening en de bevoegdheid om het pand te verkopen.
Klinkt idioot? Toch is dit precies wat er gebeurt op duizenden websites. Ondernemers maken voor iedereen die “even een tekstje moet aanpassen” een nieuw account aan met de rol Beheerder (Administrator).
Dit is een enorm beveiligingsrisico. Als dat account gehackt wordt, ben je alles kwijt. WordPress heeft niet voor niets verschillende gebruikersrollen. In dit artikel leg ik uit wie wat mag, zodat jij je site veilig houdt.
De 5 Standaard WordPress Rollen
WordPress kent standaard vijf niveaus. Van de baas tot de bezoeker. Hier is de verdeling:
1. Beheerder (Administrator) – De Baas
Macht: Alles.
De beheerder mag plugins installeren, thema’s verwijderen, andere gebruikers wissen en de code aanpassen.
Voor wie: Alleen voor jou (de eigenaar) en je webbouwer (ik dus). Geef deze rol nooit aan iemand die alleen teksten schrijft.
2. Redacteur (Editor) – De Manager
Macht: Inhoud beheren.
Een redacteur mag alle berichten en pagina’s aanmaken, bewerken, publiceren én verwijderen. Ook die van anderen. Ze kunnen ook reacties beheren en categorieën aanmaken. Ze kunnen niet bij de plugins of instellingen.
Voor wie: Je marketingmanager of contentbeheerder die de site dagelijks bijhoudt.
3. Auteur (Author) – De Vaste Schrijver
Macht: Eigen inhoud.
Een auteur kan alleen zijn eigen berichten schrijven, bewerken en publiceren. Ze kunnen niet aan de pagina’s of berichten van anderen komen.
Voor wie: Vaste bloggers of tekstschrijvers die je vertrouwt om zelfstandig te publiceren.
4. Schrijver (Contributor) – De Stagiair
Macht: Schrijven, niet publiceren.
Dit is de veiligste rol voor externe krachten. Ze kunnen een bericht typen in het dashboard, maar er is geen knop ‘Publiceren’. Er staat alleen ‘Inzenden voor beoordeling’. Een Redacteur of Beheerder moet het stuk goedkeuren.
Voor wie: Gastbloggers of stagiairs.
5. Abonnee (Subscriber) – De Bezoeker
Macht: Niks.
Ze kunnen alleen inloggen en hun eigen profiel (wachtwoord/naam) aanpassen. Ze kunnen niets aan de site veranderen.
Voor wie: Klanten in een webshop of leden van een membership-site.
Waarom is dit zo belangrijk?
Het gaat om het principe van Least Privilege: geef iemand alleen de rechten die hij minimaal nodig heeft om zijn werk te doen.
- Als een Schrijver gehackt wordt, kan de hacker alleen wat concept-teksten aanpassen. Vervelend, maar geen ramp.
- Als een Beheerder gehackt wordt, kan de hacker malware installeren, je site gijzelen of verwijderen. Einde oefening.
Hoe pas je dit aan?
Ga in je WordPress dashboard naar Gebruikers > Alle gebruikers.
Klik op de naam van de persoon die je wilt wijzigen en kies bij ‘Rol’ het juiste niveau. Scroll naar beneden en klik op ‘Gebruiker bijwerken’.
Conclusie
Wees zuinig met je beheerdersrechten. Het is verleidelijk om iedereen admin te maken “zodat ze nergens tegenaan lopen”, maar het is vragen om problemen. Houd je site veilig en gebruik de rollen waarvoor ze bedoeld zijn.
Twijfel je wie toegang heeft tot jouw site? Tijdens mijn Website Onderhoud checks loop ik altijd de gebruikerslijst na en verwijder ik verdachte of onnodige accounts. contact/">Neem contact op als je je beveiliging wilt aanscherpen.
