Monthly Archives: April 2013

Den Benutzernamen admin in Wordpress ändern

Ein Schwachpunkt bei der Wordpress-Sicherheit war seit jeher der festgelegte, nicht änderbare  Benutzername „admin“. Für Angreifer ist das eine angenehme Erleicherterung, da sie nur noch das Passwort herausfinden müssen. Und da sich eine ganze Reihe von Menschen die Mühe eines schwer zu erratenden Passworts ersparen, wird die Arbeit der Hacker noch einfacher.

Neue Brisanz hat das Thema durch die jüngste Angriffswelle auf Wordpress-Installationen erhalten. t3n berichtete kürzlich über das Ziel, mit gekarperten WP-Rechnern ein Botnet aufzubauen. Höchste Zeit also, zumindest das „admin“-Anmeldeproblem zu lösen. Das bedarf zwar einiger Arbeitsschritte, ist aber nicht allzu kompliziert. Im Prinzip muss ein neuer Benutzer mit einem beliebigen Benutzernamen angelegt werden, anschließend wird das Benutzerkonto „admin“ gelöscht und alle vorhandenen Admain-Artikel werden auf den neu angelegten Benutzer übertragen.

Doch der Reihe nach.

  1. Bei Wordpress über das vorhandene „admin“-Konto einloggen.
  2. Im Menü „Benuzter“ auf „Neu hinzufügen“ klicken.
  3. wpadminanmelden
  4. Hier können die Angaben für den neuen Benutzer gemacht werden. Wichtig: Eine bereits angegebene E-Mail-Adresse darf nicht erneut für einen anderen Benutzer verwendet werden. Wenn also die Mail-Adresse, die für „admin“ angegeben wurde, auch für den neuen Benutzer gelten soll, muss folgender Umweg gegangen werden: Dem Benutzer „admin“ vor dem Anlegen eines neuen Benutzers eine neue Mail-Adresse zuweisen. Das kann ruhig eine Wegwerf-Adresse sein, sie wird nur für einen kurzen Moment benötigt. Nun wird der neue Benutzer angelegt. Auf jeden Fall muss der neue Benutzer die Rolle eines Administrators bekommen! Und beim Passwort bitte nicht allzu bequem sein.
    Neuen Benutzer hinzufügen ‹ Hart gerockt — WordPress_20130427_145942
  5. Der neue Benutzer ist erfolgreich angelegt. Nun von Wordpress abmelden und mit den Daten des neuen Benutzer anmelden.
  6. Um Angreifern das Reinhacken zu erschweren, muss jetzt der Benutzer „admin gelöscht werden. Dazu im Menü „Benutzer“ den Punkt „Alle Benutzer“ wählen mit der Maus über „admin“ fahren. Es erscheint ein Untermenüpunkt „Löschen“, auf den geklickt wird.
  7. Damit die Beiträge, die über das admin-Konto veröffentlicht wurden, nicht verloren gehen, müssen alle Artikel auf den neu angelegten Benutzer übertragen werden. Das ist ein wichtiger Punkt! Wenn die Artikel nicht übertragen werden, gehen sie verloren. Also aufpassen.
    wpbenutzerloeschen
  8. Nachdem das Löschen bestätigt worden ist, wandern alle Beiträge auf den neuen Benutzer. Und das „admin“-Problem ist Vergangenheit.

Noch mehr Sicherheit: Plugin „Limit Login Attempts“

Es gibt für Wordpress Plugins wie Sand am Meer, die zusätzlichen Schutz vor Angreifern versprechern. Die Meinungen, welche und wie viele Plugins sinnvoll sind, gehen weit auseinander. An dieser Stelle soll lediglich auf ein recht hilfreiches Ad-On hingewiesen werden: Limit Login Attempts.

LimitLoginAttempts

Das Tool macht nichts anderes, als den Zugriff nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen zu stoppen. Sinnig ist das vor allem bei Brute-Force-Attacken, wie sie derzeit auf WP-Installationen beobachtet wird. Es lässt sich auch einstellen, wie lange die angreifende IP-Adresse gesperrt werden soll, darüber hinaus werden die Sperrungen protokolliert.

Hinweis und Haftungsausschluss: Die Anleitung für die Änderung des Admin-Benutzernamens bezieht sich auf die Wordpress-Version 3.5.1. Keinerlei Haftung für das korrekte Funktionieren oder für verloren gegangene Daten.

 

Das unterschätzte Potenzial von Spam

Mal wieder einen Blick in den Spam-Ordner geworfen. Müsste ich viel öfter tun, damit mir nicht fantastische Angebote durch die Lappen gehen.

Wahnsinnig günstige Kreditangebote werden da offeriert, ebenso günstige wie neuartige Medikamente gegen Krankheiten, die ich nicht habe, und verlockende Beteiligungen an Investment-Fonds mit traumhaften Rendite-Aussichten.

Zumindest die Investments sind in greifbarer Nähe, da mir die „Loteria Nacional“ die freudige Nachricht übermittelte, dass „Ihre E-Mail hat gewonnen €915.810, 00“.

Wunderbare Neuigkeiten, die gleich die Laune heben. Vom Gewinn bleibt auch so viel übrig, dass ich gleich mehrere dieser schönen und hochwertigen Uhren bestellen kann, die mir ein international tätiger Konzern aus Fernost feilbietet.

Schade nur, dass ich diese wichtigen Nachrichten verrmutlich viel zu spät gelesen habe, weil die Spam-Kontrolle vernachlässigt wurde. In diesem Zuge auch eine aufrichtige Entschuldigung an „Michael Seith“. Mehrfach hat er auf meine Anfrage (an die ich mich dummerweise leider nicht mehr erinnern kann) geantwortet. Ich kann mir auch nicht erklären, warum diese Nachrichten im Spam-Ordner gelandet sind. Er hat doch extra geschrieben: „Bitte lesen Sie fertig. das ist kein SPAM.“ Muss mal mit meinem Spamfilter-Betreiber darüber sprechen. Vielleicht hat der ja auch noch eine Kopie von den ganzen Mails. Denn dummerweise hab‘ ich unbedacht auf „Alle Spam-Nachrichten jetzt löschen“ geklickt. Noch bevor ich zuende lesen konnte. Dabei war’s doch gar kein Spam.

So ein Ärger.