Ist der WordPress-Passwortschutz unsicher?

Er ist nicht kaputt, aber speziell für das Teilen mit Kunden schwach: ein geteiltes Passwort, kein Ablaufdatum, keine kundenbezogene Nachverfolgung und eine generische Passwortabfrage, die unprofessionell wirkt. Außerdem sagt er dir nicht, ob oder wann dein Kunde die Seite tatsächlich angesehen hat.

Brauche ich ein WordPress-Konto, um einen sicheren Vorschau-Link zu nutzen?

Nein — das ist der zentrale Unterschied. Ein sicherer Vorschau-Link funktioniert, ohne dass der Empfänger ein WordPress-Konto, einen Login oder irgendwelche Zugangsdaten außer dem Link selbst braucht. Das entfernt den häufigsten Reibungspunkt bei der Agentur-Kunden-Abstimmung.

Kann ich für eine passwortgeschützte Seite ein Ablaufdatum festlegen?

Mit dem nativen Passwortschutz von WordPress nicht — er bleibt aktiv, bis du ihn manuell entfernst. Mit Erdo Draft Links kannst du ein konkretes Ablaufdatum setzen, sodass alte Vorschau-Links automatisch aufhören zu funktionieren, ohne dass du dich daran erinnern musst, den Zugriff zu entziehen.

Was passiert, wenn ein Entwurfs-Link mit der falschen Person geteilt wird?

Da jeder Vorschau-Link einzigartig und zeitlich begrenzt ist, kannst du einen bestimmten Link widerrufen oder ablaufen lassen, ohne den Zugriff anderer Kunden zu beeinträchtigen — im Gegensatz zu einem geteilten Passwort, das jede Seite schützt, die es verwendet.

Passwortgeschützte Seiten vs. sichere Vorschau-Links in WordPress

Das Problem beim Teilen von Entwürfen in WordPress

Wenn du Websites für Kunden baust, kennst du diesen Moment: Die Seite ist noch nicht live, aber der Kunde muss sie sehen. WordPress bietet dir ein paar eingebaute Optionen, und alle haben ihre Reibungspunkte.

Du könntest dem Kunden ein WordPress-Konto geben — jetzt verwaltest du Logins, setzt vergessene Passwörter zurück und sorgst dich, was er im Admin-Bereich versehentlich anklicken könnte. Du könntest die eingebaute Sichtbarkeitseinstellung "Passwortgeschützt" nutzen — einfach, aber bei genauerem Hinsehen mit echten Einschränkungen. Oder du schickst einfach die rohe Vorschau-URL und hoffst, dass niemand sie findet, bevor sie fertig ist — bei irgendetwas Sensiblem keine echte Option.

Hier ein ehrlicher Vergleich der beiden gängigsten Ansätze, und wo ein dediziertes Tool die Rechnung ändert.

Option 1: WordPress' nativer Passwortschutz

WordPress hat seit frühen Versionen eine "Passwortgeschützt"-Sichtbarkeitsoption für Beiträge und Seiten. Sie ist eingebaut, benötigt kein Plugin und ist mit einem Klick aktiviert.

Was sie tatsächlich tut: Jeder mit der Seiten-URL sieht eine Passwortabfrage. Passwort eingeben, Inhalt sehen. Das ist die gesamte Funktion.

Wo sie für Kundenarbeit nicht ausreicht:

Ein Passwort für alle. Wenn du mehrere Kundenprojekte verwaltest, nutzt du entweder dasselbe Passwort wieder (schlechte Praxis) oder führst eine Tabelle darüber, welches Passwort zu welcher Seite gehört.
Kein Ablaufdatum. Das Passwort bleibt unbegrenzt gültig, solange du nicht daran denkst, zurückzugehen und den Schutz zu entfernen. Lange nach Projektabschluss funktioniert die passwortgeschützte Seite — und ihr Passwort — oft noch.
Keine Besuchsverfolgung. Du hast keine Möglichkeit zu wissen, ob dein Kunde die Seite tatsächlich geöffnet hat, wann oder wie oft. Wenn er sagt "ich hatte nie die Chance, mir das anzusehen", hast du nichts, um das zu überprüfen.
Generische, unbrandete Abfrage. Der Passwortbildschirm ist das standardmäßig themengestaltete Formular von WordPress. Es funktioniert, sieht aber nicht danach aus, als sollte ein zahlender Kunde dort Zugangsdaten eingeben.
Keine granulare Widerrufung. Wenn das Passwort durchsickert oder eine Kundenbeziehung endet, musst du es manuell ändern — was den Zugriff für jeden anderen mit dem alten Passwort bricht, selbst wenn dieser ihn behalten sollte.

Für eine schnelle, risikoarme interne Prüfung ist das in Ordnung. Für kundenorientierte Arbeit, bei der Professionalität und Zugriffskontrolle zählen, reicht es schnell nicht mehr.

Option 2: Ein dedizierter sicherer Vorschau-Link

Ein zweckgebautes Vorschau-Link-System — wie Erdo Draft Links — geht das Problem anders an. Statt eines geteilten Passworts, das eine Seite schützt, erzeugt jede Freigabe-Aktion eine eindeutige, signierte URL, die an einen bestimmten Entwurf und ein bestimmtes Zeitfenster gebunden ist.

Was dir das bietet, was nativer Passwortschutz nicht bietet:

Kein Login oder Konto nötig. Der Kunde klickt den Link, sieht den Entwurf. Kein WordPress-Konto, kein Passwort, das man sich merken oder falsch eintippen könnte.
Ablauf pro Link. Lege fest, dass ein Link in 48 Stunden, 7 Tagen oder einem beliebigen Zeitfenster abläuft, das zum Review-Zyklus passt. Danach funktioniert der Link einfach nicht mehr — keine manuelle Aufräumarbeit nötig.
Unabhängige Widerrufung. Jeder Link ist seine eigene Zugriffsberechtigung. Den Link eines Kunden zu widerrufen hat null Auswirkung auf die aktiven Vorschau-Links anderer Kunden.
Saubere, professionelle Darstellung. Der Kunde landet direkt auf einer Vorschau des Entwurfs — ohne generisches Passwortformular zwischen ihm und dem Inhalt, den er prüfen soll.
Ruhe nach Projektende. Alte Links laufen von selbst ab, sodass du keine dauerhafte, passwortgeschützte Hintertür zu Inhalten offen lässt, die du vor Monaten fertig geprüft hast.

Wann nativer Passwortschutz noch in Ordnung ist

Fairerweise gibt es Fälle, in denen die eingebaute Funktion das richtige Werkzeug ist:

Ein einzelnes internes Teammitglied braucht gelegentlichen Zugriff, und du kontrollierst beide Enden des Passwortaustauschs.
Der Inhalt ist nicht sensibel und die Seite geht sowieso bald öffentlich.
Du brauchst wirklich kein Ablaufdatum, keine Nachverfolgung und keine empfängerbezogene Zugriffskontrolle.

Wenn nichts davon zutrifft — was für die meisten Agentur- und Freelance-Kundenarbeiten der Fall ist — schließt ein dediziertes Vorschau-Link-System die Lücken, die nativer Passwortschutz offen lässt.

Sichere Vorschau-Links einrichten

Mit installiertem Erdo Draft Links funktioniert das Teilen eines Entwurfs so:

Öffne den Entwurfsbeitrag oder die Entwurfsseite im WordPress-Editor.
Klicke im Draft-Links-Panel auf Vorschau-Link erzeugen.
Lege ein Ablauffenster fest (oder nutze den Standard).
Kopiere den erzeugten Link und schicke ihn deinem Kunden — per E-Mail, Slack oder über einen beliebigen bereits genutzten Kanal.

Der Kunde öffnet den Link und sieht den Entwurf exakt so gerendert, wie er live aussehen wird — ohne dass auf seiner Seite ein WordPress-Login nötig ist.

Fazit

Der native Passwortschutz von WordPress ist kein Sicherheitsfehler, aber das falsche Werkzeug für das eigentliche Problem der meisten Agenturen und Freelancer: einen bestimmten Entwurf mit einem bestimmten Kunden, für ein bestimmtes Zeitfenster zu teilen, ohne Kontoaufwand auf beiden Seiten. Wenn du immer noch dasselbe Passwort in jeden Projektordner kopierst, erspart dir ein dedizierter Vorschau-Link die Aufräumarbeit und wirkt dabei professioneller.

Passwortgeschützte Seiten vs. sichere Vorschau-Links in WordPress

Das Problem beim Teilen von Entwürfen in WordPress

Option 1: WordPress' nativer Passwortschutz

Option 2: Ein dedizierter sicherer Vorschau-Link

Wann nativer Passwortschutz noch in Ordnung ist

Sichere Vorschau-Links einrichten

Fazit

Erdo Draft Links

Häufig gestellte Fragen

Weitere Artikel

DSGVO vs. der EU Cyber Resilience Act: Was WordPress-Seitenbetreiber wissen müssen

Was ist security.txt und wie fügt man es zu WordPress hinzu