Du möchtest hochgeladene Dateien, Ordner, Sammlungen und Galerien in deiner Medienbibliothek auf bestimmte Benutzer oder Benutzergruppen beschränken? Wir erklären, warum diese Funktion in Real Media Library (und in vielen/allen Alternativen) nicht implementiert ist.
Verwaltung von Berechtigungen für die Mediathek
WordPress kommt mit einer Rechteverwaltung, die Benutzer und Rollen wie Administratoren (Gruppen) kennt. Jeder Benutzer gehört zu einer (oder mit Plugins zu mehreren) Rollen. Die Rollen haben Berechtigungen (im WordPress-Kontext Fähigkeiten genannt), die true oder false sein können. Das bedeutet, dass die Rechteverwaltung eindimensional und viel einfacher und eingeschränkter ist, als z.B. im UNIX-Dateisystem.
In der Liste der Fähigkeiten findest du die folgenden, die zur Medienbibliothek gehören:
- upload_files
Es ist kein Fehler, dass du nur eine Fähigkeit in der Liste findest. WordPress kann nur Rollen erlauben und verbieten, Dateien hochzuladen. Eine Rechteverwaltung, um z.B. die Sichtbarkeit der gesamten Medienbibliothek oder auch einzelner Uploads einzuschränken, gibt es in WordPress nicht.
Warum es eine schlechte Idee ist, neue Fähigkeiten zu erfinden
Real Media Library könnte in WordPress eine vollständige Rechteverwaltung implementieren, um zumindest das Lesen und Schreiben auf die gesamte Medienbibliothek, einzelne Ordner, Sammlungen und Galerien sowie einzelne Dateien einzuschränken. Das wäre die Funktion, die sich viele Real Media Library Nutzer wünschen.
Dies ist jedoch aus zwei Gründen eine schlechte Idee:
- Uploads in die WordPress Mediathek befinden sich einfach im
wp-content/uploads/Ordner ohne jeglichen Schutz vor dem Zugriff Dritter. Wir müssten hier also einen Sicherheitsmechanismus etablieren, damit die Dateinamen am Ende nicht einfach erraten werden können. Dies würde zu ernsthaften Kompatibilitätsproblemen mit anderen Plugins führen. - Andere Plugins und der WordPress Core würden die von uns erfundenen Fähigkeiten nicht kennen. Somit würden definierte Einschränkungen nicht berücksichtigt werden. Verwendet dein Page Builder beispielsweise einen eigenen Mechanismus, um Bilder auszuwählen oder zeigt sie schließlich auf Basis der fortlaufenden Upload-ID an, wären die Uploads trotz einer Rechtebeschränkung in der Real Media Library völlig ungeschützt.
Es ist unrealistisch zu denken, dass die von uns erfundenen Berechtigungserweiterungen im Laufe der Zeit von allen Plugins akzeptiert werden würden. Das ist auch das Problem, warum WordPress Core eine solche Erweiterung der Rechteverwaltung vorerst nicht implementieren wird. Um alle Plugins zu zwingen, ein erweitertes Berechtigungssystem zu akzeptieren, müssten neue technische Schnittstellen geschaffen werden. Gleichzeitig müssten alte technische Schnittstellen abgeschaltet werden. Das nennt man Breaking Change und ist in einem Ökosystem wie WordPress tunlichst zu vermeiden, da es einen nicht unbedeutenden Kollateralschaden für das gesamte Ökosystem gibt (z.B. dass nicht aktualisierte Plugins in der neuen WordPress Version nicht mehr verwendet werden können).