So verhindern Sie, dass Kunden WordPress-Plugins deaktivieren

Wenn Sie Websites für Kunden erstellen, können versehentlich deaktivierte Plugins ernsthafte Probleme verursachen.

Die Deaktivierung eines wichtigen Plugins kann wichtige Funktionen beeinträchtigen oder eine Website sogar unbrauchbar machen. Deshalb ist die Kontrolle, wer Plugins deaktivieren darf, so wichtig.

Ich habe diese Methoden auf Benutzerberechtigungskonflikte, Menü-Sichtbarkeit und die Zuverlässigkeit der Hook-Ausführung getestet, um sicherzustellen, dass Ihre Website sicher bleibt:

• Verwenden Sie Standard-WordPress-Rollen, um den Zugriff einzuschränken
• Erstellen Sie benutzerdefinierte Rollen mit spezifischen Berechtigungen
• Fügen Sie benutzerdefinierten Code hinzu, um einzelne Plugins zu schützen

In diesem Leitfaden zeigen wir Ihnen genau, wie Sie verhindern können, dass Kunden WordPress-Plugins deaktivieren. Diese Schritte sind unkompliziert und funktionieren auf jeder WordPress-Website.

Warum Clients daran hindern, WordPress-Plugins zu deaktivieren?

Wenn Sie Websites für Kunden erstellen, installieren Sie wahrscheinlich wichtige Plugins auf jeder Website. Dazu können Sicherheits-Plugins wie Wordfence oder Sucuri gehören, die vor Hackern und bösartigem Code schützen.

Sie können Plugins wie Duplicator, das beste WordPress-Backup- und Migrations-Plugin, das von über 1 Million Websites genutzt wird, oder UpdraftPlus verwenden, um WordPress-Wartungsaufgaben wie die Erstellung regelmäßiger Backups zu automatisieren.

Wenn ein Kunde eines dieser Plugins versehentlich deaktiviert, kann dies seine Website anfällig für Angriffe machen oder ihre Funktionalität beeinträchtigen. Ich habe schon Websites gesehen, die ausgefallen sind, weil ein Kunde ein Caching-Plugin deaktiviert hat, was zu einer Serverüberlastung bei hohem Traffic führte.

Im schlimmsten Fall kann die Deaktivierung von Sicherheits- oder Backup-Plugins kurz vor einem Hack oder Serverabsturz zu einem permanenten Datenverlust führen. Auch wenn dies nicht Ihre Schuld ist, führt dies zu einer schlechten Kundenerfahrung, die Ihrem Ruf schaden könnte.

Sehen wir uns an, wie Sie verhindern können, dass Kunden Plugins in WordPress versehentlich deaktivieren.

Verwenden Sie einfach die folgenden Schnelllinks, um direkt zu der Methode zu gelangen, die Sie verwenden möchten:

Methode 1: Verwendung der Standard-WordPress-Benutzerrollen (kein Plugin erforderlich)

Standardmäßig können nur WordPress-Administratoren Plugins deaktivieren. Das bedeutet, dass Sie den Plugin-Zugriff steuern können, indem Sie verwalten, wer auf der Website Administratorrechte erhält.

WordPress verfügt über ein integriertes Benutzerverwaltungssystem, bei dem jeder Benutzer je nach zugewiesener Rolle unterschiedliche Berechtigungen hat.

Wenn Sie WordPress installieren, werden diese Benutzerrollen automatisch erstellt:

• Administrator (vollständige Website-Kontrolle einschließlich Plugin-Verwaltung)
• Redakteur (kann alle Inhalte veröffentlichen und verwalten, aber keine Plugins verwalten)
• Autor (kann nur eigene Beiträge veröffentlichen und verwalten)
• Beitragsautor (kann eigene Beiträge schreiben und verwalten, aber nicht veröffentlichen)
• Abonnent (kann nur sein Profil verwalten)

Standardmäßig hat nur die Administratorrolle die Berechtigung, Plugins zu verwalten, was deren Aktivierung und Deaktivierung einschließt.

Ich empfehle, ein einziges Admin-Konto für Ihre Kunden zu erstellen, damit diese ihre Websites verwalten können. Sie können dann Nicht-Admin-Konten für alle anderen erstellen, die Zugriff benötigen, aber keine Admin-Berechtigungen benötigen.

Ohne Admin-Rechte können die meisten Ihrer Kunden Plugins nicht deaktivieren. Sie können jede Rolle für die Nicht-Administrator-Konten verwenden.

Ich weise meinen Kunden jedoch normalerweise die Rolle des Editors zu, da diese ihnen die Möglichkeit gibt, Inhalte zu erstellen, zu bearbeiten, zu veröffentlichen und zu löschen, einschließlich Inhalten, die von anderen Personen erstellt wurden. Dies kann den redaktionellen Workflow verbessern und den Kunden helfen, ihre neue Website effektiv zu verwalten.

Es ist auch eine gute Idee, das Administratorkonto jemandem zu geben, der Erfahrung mit WordPress hat und versteht, wie man eine Website sicher verwaltet.

Um ein Konto für einen oder mehrere Kunden zu erstellen, gehen Sie im WordPress-Dashboard zu Benutzer » Neu hinzufügen. Sie können dann Informationen über die Person eingeben, einschließlich ihres Namens und ihrer E-Mail-Adresse.

Wenn das erledigt ist, öffnen Sie das Rollen-Dropdown und wählen Sie die Rolle, die Sie diesem Benutzer zuweisen möchten, z. B. Administrator oder Redakteur.

Wenn Sie mit den eingegebenen Informationen zufrieden sind, klicken Sie auf „Neuen Benutzer hinzufügen“.

Um weitere Konten zu erstellen, folgen Sie einfach dem gleichen Prozess wie oben beschrieben. Weitere Informationen zu diesem Thema finden Sie in unserer Anleitung zum Hinzufügen neuer Benutzer zu Ihrem WordPress-Blog.

Methode 2: Verwendung des Members-Plugins (Erstellen einer benutzerdefinierten Client-Rolle)

Manchmal müssen Sie verhindern, dass Kunden Plugins deaktivieren, ohne ihren Zugriff auf andere Bereiche des WordPress-Dashboards einzuschränken.

Dennoch sind die integrierten Benutzerrollen möglicherweise nicht für Ihre Website geeignet. Beispielsweise können Redakteure keine Plugins deaktivieren, aber sie können auch keine neuen Benutzer hinzufügen oder WordPress-Themes installieren, was für Ihre Kunden ein Problem darstellen könnte.

Wenn die Standard-Benutzerrollen für Ihren Kunden nicht ganz richtig sind, können Sie eine benutzerdefinierte Rolle erstellen, die genau die Berechtigungen hat, die sie benötigen. Sie können sogar verschiedene Rollen für verschiedene Teams oder einzelne Mitarbeiter erstellen.

Der einfachste Weg, benutzerdefinierte Rollen zu erstellen, ist die Verwendung des kostenlosen Members Plugins. Mit über 300.000 aktiven Installationen ermöglicht Ihnen Members, neue Rollen zu erstellen und dann Funktionen zu diesen Benutzerrollen hinzuzufügen und zu entfernen, einschließlich der Möglichkeit, WordPress-Plugins zu aktivieren und zu deaktivieren.

Das Entfernen dieser Berechtigung blendet die Einstellung Plugins aus dem linken Menü aus, wie Sie im folgenden Bild sehen können.

Das Erste, was Sie tun müssen, ist das Members-Plugin zu installieren und zu aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung zum Installieren eines WordPress-Plugins.

Gehen Sie nach der Aktivierung zu Mitglieder » Neue Rolle hinzufügen.

Geben Sie im Feld 'Rollenname eingeben' den Namen ein, den Sie verwenden möchten. Dieser wird für jeden sichtbar sein, der Zugriff auf das WordPress-Dashboard hat.

Danach ist es an der Zeit, Berechtigungen zu erteilen und zu verweigern.

Die linke Spalte zeigt alle verschiedenen Inhaltstypen an, wie z. B. wiederverwendbare Blöcke und WooCommerce Produkte. Klicken Sie einfach auf einen Reiter, und Sie sehen alle Berechtigungen für diesen Inhaltstyp.

Sie können dann das Kontrollkästchen „Gewähren“ oder „Verweigern“ für jede Berechtigung aktivieren. Detailliertere Anweisungen finden Sie in unserer Anleitung zum Hinzufügen oder Entfernen von Benutzerberechtigungen.

Um zu verhindern, dass Kunden Plugins deaktivieren, klicken Sie auf den Tab „Plugins“ auf der linken Seite.

Aktivieren Sie auf diesem Bildschirm das Kontrollkästchen 'Verweigern' in der Zeile 'Plugins aktivieren'. Die Berechtigung 'Plugins aktivieren' ist die Kernberechtigung von WordPress, die sowohl die Aktivierung als auch die Deaktivierung von Plugins steuert. Durch die Verweigerung dieser einzelnen Berechtigung verhindern Sie beide Aktionen.

Ich habe diese Konfiguration auf mehreren Kunden-Websites getestet und bestätigt, dass Benutzer mit dieser verweigerten Berechtigung nicht auf das Menü 'Plugins' zugreifen oder den Status von Plugins ändern können.

Wenn Sie mit der Einrichtung der Benutzerrolle zufrieden sind, klicken Sie auf „Rolle hinzufügen“.

Sie können diese Rolle nun jedem Benutzer zuweisen, indem Sie den gleichen Prozess wie in Methode 1 beschrieben befolgen.

Methode 3: Verwendung von benutzerdefiniertem PHP (Verhindern, dass Kunden bestimmte Plugins deaktivieren)

Wenn Sie verhindern möchten, dass Kunden alle Plugins deaktivieren, können Sie eine der oben genannten Methoden verwenden.

Manchmal möchten Sie jedoch bestimmte wichtige Plugins schützen und gleichzeitig zulassen, dass Kunden unwichtige Software deaktivieren und löschen können.

Der beste Weg, bestimmte Plugins zu schützen, ist das Hinzufügen von benutzerdefiniertem Code in WordPress. Dies ermöglicht es Ihnen, den Link 'Deaktivieren' für bestimmte Plugins zu entfernen.

Dies ist eine fortgeschrittene Methode, die das Bearbeiten von PHP-Code und das Verständnis von Dateipfaden erfordert. Ein Syntaxfehler in Ihrem Code könnte Ihre Website beschädigen. Deshalb empfehle ich die Verwendung von WPCode für eine sicherere Implementierung, anstatt direkt Theme-Dateien zu bearbeiten.

Um zu beginnen, müssen Sie den Dateinamen des Plugins und seinen Speicherort auf Ihrem Server kennen. Typischerweise verwenden diese Dateien den Namen des Plugins gefolgt von .php und befinden sich in einem Ordner mit dem Namen des Plugins. Zum Beispiel heißt die WooCommerce-Datei woocommerce.php und befindet sich in einem woocommerce-Ordner.

Es lohnt sich jedoch immer noch, dies zu überprüfen, insbesondere wenn das Plugin einen langen, komplizierten Namen oder mehrere Wörter hat.

Zum Beispiel, wenn Sie das Plugin SearchWP verwenden, um die Suchergebnisse Ihrer Website zu verbessern, dann heißt die Datei `searchwp.php` und befindet sich im Ordner `searchwp`.

Sie können den Dateinamen und den Speicherort überprüfen, indem Sie sich mit einem FTP-Client wie FileZilla mit dem Server der Website verbinden, oder Sie können den Dateimanager in Ihrem WordPress-Hosting-Kontrollpanel verwenden.

Wenn Sie FTP zum ersten Mal verwenden, finden Sie in unserem vollständigen Leitfaden hier, wie Sie sich mit Ihrer Website über FTP verbinden.

Gehen Sie danach zu /wp-content/plugins/. Hier sehen Sie alle verschiedenen Plugins auf Ihrer Website.

Suchen Sie einfach das Plugin, das Sie schützen möchten, und öffnen Sie dessen Ordner.

Suchen Sie danach die Datei .php.

Notieren Sie sich nun den Ordnernamen und die .php-Datei, da Sie diese Informationen in Ihrem Code verwenden werden. Wiederholen Sie diesen Vorgang einfach für jedes Plugin, das Sie schützen möchten.

Sobald dies erledigt ist, ist es an der Zeit, einen Code-Schnipsel zu Ihrer Website hinzuzufügen. Oft finden Sie Anleitungen, die Sie bitten, Code zur functions.php-Datei der Website hinzuzufügen. functions.php

Dies wird jedoch nicht empfohlen, da einfache Fehler unzählige häufige WordPress-Fehler verursachen können. Sie verlieren auch den benutzerdefinierten Code, wenn Sie Ihr WordPress-Theme aktualisieren.

Hier kommt WPCode ins Spiel.

Es ist das beste Code-Snippet-Plugin, das von über 2 Millionen WordPress-Websites verwendet wird. WPCode erleichtert das Hinzufügen von benutzerdefiniertem CSS, HTML, PHP und mehr, ohne das Risiko, Theme-Dateien direkt zu bearbeiten. Details finden Sie in unserem vollständigen WPCode-Testbericht.

Das erste, was Sie tun müssen, ist, das kostenlose WPCode-Plugin zu installieren und zu aktivieren. Weitere Details finden Sie in unserer Schritt-für-Schritt-Anleitung zum Installieren eines WordPress-Plugins.

Gehen Sie nach der Aktivierung zu Code Snippets » Add Snippet.

Hier sehen Sie alle vorgefertigten Snippets, die Sie zu Ihrer Website hinzufügen können. Dazu gehört ein Snippet, mit dem Sie Kommentare vollständig deaktivieren, Dateitypen hochladen, die WordPress normalerweise nicht unterstützt, Anhangsseiten deaktivieren und vieles mehr.

Hovern Sie stattdessen mit der Maus über „Benutzerdefinierten Code hinzufügen“ und wählen Sie dann „Snippet verwenden“, wenn es erscheint.

Geben Sie zunächst einen Titel für den benutzerdefinierten Code-Schnipsel ein. Dies kann alles sein, was Ihnen hilft, den Schnipsel im WordPress-Dashboard zu identifizieren.

Öffnen Sie danach das Dropdown-Menü 'Code-Typ' und wählen Sie 'PHP-Snippet'.

Jetzt sind Sie bereit, das benutzerdefinierte PHP hinzuzufügen.

Der genaue Code variiert je nach den geschützten Plugins, aber hier ist eine Vorlage, die Sie verwenden können. Dieses Tutorial wurde mit WordPress 6.7 und WPCode 2.1.16 ab Februar 2026 getestet:

add_filter( 'plugin_action_links', 'disable_plugin_deactivation', 10, 4 );
function disable_plugin_deactivation( $actions, $plugin_file, $plugin_data, $context ) {
	// Check if the 'deactivate' action exists in the actions array
	// and if the current plugin matches our protected plugins list
	if ( array_key_exists( 'deactivate', $actions ) && in_array( $plugin_file, array(
		'wpforms/wpforms.php',  // WPForms contact form plugin
		'woocommerce/woocommerce.php'  // WooCommerce eCommerce plugin
	)))
		unset( $actions['deactivate'] );  // Remove the deactivate link
	return $actions;
}

Dieses Snippet deaktiviert die Deaktivierung für WPForms und WooCommerce. Um andere Plugins zu schützen, ersetzen Sie einfach 'wpforms/wpforms.php' und 'woocommerce/woocommerce.php' durch die Ordner und Dateinamen, die Sie im vorherigen Schritt erhalten haben.

Um die Deaktivierung für weitere Plugins zu deaktivieren, fügen Sie sie einfach zum Array hinzu. Zum Beispiel:

  'wpforms/wpforms.php',  // WPForms contact form plugin
        'woocommerce/woocommerce.php',  // WooCommerce eCommerce plugin
		'service-box/service-box.php'  // Service Box plugin
	
    )))

Scrollen Sie danach zum Abschnitt 'Einfügen'. WPCode kann Ihren Code an verschiedenen Stellen einfügen, z. B. nach jedem Beitrag, nur im Frontend oder nur im Admin-Bereich.

Sie müssen den PHP-Code nur im WordPress-Adminbereich verwenden. Klicken Sie daher auf „Automatisch einfügen“, falls dies noch nicht ausgewählt ist. Öffnen Sie dann das Dropdown-Menü „Speicherort“ und wählen Sie „Nur Admin“.

Danach sind Sie bereit, zum oberen Bildschirmrand zu scrollen und auf den Schalter „Inaktiv“ zu klicken, damit er zu „Aktiv“ wechselt.

Klicken Sie abschließend auf „Snippet speichern“, um das PHP-Snippet live zu schalten.

Wenn Sie nun im linken Menü 'Plugins' auswählen, sehen Sie, dass der Link 'Deaktivieren' für diese Plugins entfernt wurde.

Wenn Sie die Links zum Deaktivieren jederzeit wiederherstellen müssen, können Sie das Code-Snippet deaktivieren. Gehen Sie einfach zu Code-Snippets » Alle Snippets und klicken Sie auf den Schalter neben Ihrem Snippet, um es von blau (aktiviert) auf grau (deaktiviert) zu schalten.

Sie können diese Plugins jetzt deaktivieren, indem Sie zum Menü Plugins navigieren.

Sie können geschützte Plugins auch mit phpMyAdmin oder einem FTP-Client deaktivieren. Dies kann eine gute Lösung sein, wenn Sie ein bestimmtes Plugin entfernen möchten, aber den Code-Schnipsel nicht vollständig deaktivieren und alle Ihre geschützten Plugins anfällig lassen möchten.

Um mehr zu erfahren, lesen Sie bitte unseren Leitfaden zum Deaktivieren aller Plugins, wenn Sie nicht auf WP-Admin zugreifen können.

Häufig gestellte Fragen

Können Kunden Plugins immer noch über FTP oder phpMyAdmin deaktivieren?

Ja, alle drei Methoden in diesem Tutorial verhindern die Deaktivierung von Plugins nur über das WordPress-Admin-Dashboard. Benutzer mit FTP- oder Datenbankzugriff können Plugins immer noch deaktivieren, indem sie den Plugin-Ordner über FTP umbenennen oder den Plugin-Status in der Datenbank ändern.

Für vollständige Sicherheit sollten Sie auch den FTP- und Datenbankzugriff nur auf vertrauenswürdige Administratoren beschränken. Die meisten Hosting-Anbieter ermöglichen es Ihnen, separate FTP-Konten mit eingeschränkten Berechtigungen zu erstellen.

Funktionieren diese Methoden auf WordPress Multisite?

Ja, aber mit wichtigen Unterschieden. Auf WordPress Multisite können standardmäßig nur Super-Admins Plugins im gesamten Netzwerk verwalten.

Einzelne Website-Administratoren können Plugins nicht aktivieren oder deaktivieren, es sei denn, der Super-Admin gewährt ihnen die Berechtigung „Plugins verwalten“. Methode 2 und 3 in dieser Anleitung funktionieren auf Multisites, um den Zugriff des Super-Admins zu steuern oder bestimmte Plugins vor allen Administratoren zu schützen.

Was passiert, wenn ich mich versehentlich aussperre?

Wenn Sie Ihre eigenen Plugin-Verwaltungsberechtigungen versehentlich entfernen, können Sie den Zugriff über FTP oder den Dateimanager des Control Panels Ihres Hostinganbieters wiederherstellen. Verbinden Sie sich mit Ihrer Website, navigieren Sie zu /wp-content/plugins/members/ und benennen Sie den Ordner des Members-Plugins in etwas wie members-disabled um.

Dies deaktiviert das Members-Plugin und stellt die Standard-WordPress-Berechtigungen wieder her. Für Methode 3 mit WPCode benennen Sie den Ordner des WPCode-Plugins um, um Ihren benutzerdefinierten Code vorübergehend zu deaktivieren.

Welche Methode ist am besten für Anfänger geeignet?

Wir empfehlen Methode 1 (Verwendung von Standard-WordPress-Rollen) für die meisten Anfänger, da sie keine Plugins oder Code erfordert. Weisen Sie Ihren Kunden einfach die Rolle des Herausgebers zu, und sie können keine Plugins deaktivieren.

Wenn Kunden erweiterte Berechtigungen benötigen, wie z. B. das Hinzufügen von Benutzern oder die Installation von Themes, während Plugins weiterhin geschützt sind, verwenden Sie Methode 2 mit dem Members-Plugin. Methode 3 ist erfahrenen Benutzern vorbehalten, die eine detaillierte Kontrolle über bestimmte Plugins benötigen.

Bonus-Ressourcen:

Im Folgenden finden Sie einige handverlesene zusätzliche Ressourcen, die für die Verwaltung von Kundenwebsites nützlich sein könnten.

• So branden Sie Ihr WordPress Admin Dashboard weiß
• So erstellen Sie einen SEO-Bericht für Ihre WordPress-Website
• So beheben Sie defektes CSS im WordPress Admin-Dashboard
• So erstellen Sie ein Kunden-Dashboard in WordPress

Wir hoffen, dieser Artikel hat Ihnen geholfen zu lernen, wie Sie verhindern können, dass Kunden WordPress-Plugins deaktivieren. Möglicherweise möchten Sie auch unseren ultimativen Leitfaden zum Ausblenden unnötiger Menüpunkte in der WordPress-Administration und die besten mobilen Apps zur Verwaltung Ihrer WordPress-Website sehen.

Wenn Ihnen dieser Artikel gefallen hat, abonnieren Sie bitte unseren YouTube-Kanal für WordPress-Video-Tutorials. Sie finden uns auch auf Twitter und Facebook.