Den Benutzernamen admin in Wordpress ändern

Ein Schwachpunkt bei der Wordpress-Sicherheit war seit jeher der festgelegte, nicht änderbare  Benutzername „admin“. Für Angreifer ist das eine angenehme Erleicherterung, da sie nur noch das Passwort herausfinden müssen. Und da sich eine ganze Reihe von Menschen die Mühe eines schwer zu erratenden Passworts ersparen, wird die Arbeit der Hacker noch einfacher.

Neue Brisanz hat das Thema durch die jüngste Angriffswelle auf Wordpress-Installationen erhalten. t3n berichtete kürzlich über das Ziel, mit gekarperten WP-Rechnern ein Botnet aufzubauen. Höchste Zeit also, zumindest das „admin“-Anmeldeproblem zu lösen. Das bedarf zwar einiger Arbeitsschritte, ist aber nicht allzu kompliziert. Im Prinzip muss ein neuer Benutzer mit einem beliebigen Benutzernamen angelegt werden, anschließend wird das Benutzerkonto „admin“ gelöscht und alle vorhandenen Admain-Artikel werden auf den neu angelegten Benutzer übertragen.

Doch der Reihe nach.

  1. Bei Wordpress über das vorhandene „admin“-Konto einloggen.
  2. Im Menü „Benuzter“ auf „Neu hinzufügen“ klicken.
  3. wpadminanmelden
  4. Hier können die Angaben für den neuen Benutzer gemacht werden. Wichtig: Eine bereits angegebene E-Mail-Adresse darf nicht erneut für einen anderen Benutzer verwendet werden. Wenn also die Mail-Adresse, die für „admin“ angegeben wurde, auch für den neuen Benutzer gelten soll, muss folgender Umweg gegangen werden: Dem Benutzer „admin“ vor dem Anlegen eines neuen Benutzers eine neue Mail-Adresse zuweisen. Das kann ruhig eine Wegwerf-Adresse sein, sie wird nur für einen kurzen Moment benötigt. Nun wird der neue Benutzer angelegt. Auf jeden Fall muss der neue Benutzer die Rolle eines Administrators bekommen! Und beim Passwort bitte nicht allzu bequem sein.
    Neuen Benutzer hinzufügen ‹ Hart gerockt — WordPress_20130427_145942
  5. Der neue Benutzer ist erfolgreich angelegt. Nun von Wordpress abmelden und mit den Daten des neuen Benutzer anmelden.
  6. Um Angreifern das Reinhacken zu erschweren, muss jetzt der Benutzer „admin gelöscht werden. Dazu im Menü „Benutzer“ den Punkt „Alle Benutzer“ wählen mit der Maus über „admin“ fahren. Es erscheint ein Untermenüpunkt „Löschen“, auf den geklickt wird.
  7. Damit die Beiträge, die über das admin-Konto veröffentlicht wurden, nicht verloren gehen, müssen alle Artikel auf den neu angelegten Benutzer übertragen werden. Das ist ein wichtiger Punkt! Wenn die Artikel nicht übertragen werden, gehen sie verloren. Also aufpassen.
    wpbenutzerloeschen
  8. Nachdem das Löschen bestätigt worden ist, wandern alle Beiträge auf den neuen Benutzer. Und das „admin“-Problem ist Vergangenheit.

Noch mehr Sicherheit: Plugin „Limit Login Attempts“

Es gibt für Wordpress Plugins wie Sand am Meer, die zusätzlichen Schutz vor Angreifern versprechern. Die Meinungen, welche und wie viele Plugins sinnvoll sind, gehen weit auseinander. An dieser Stelle soll lediglich auf ein recht hilfreiches Ad-On hingewiesen werden: Limit Login Attempts.

LimitLoginAttempts

Das Tool macht nichts anderes, als den Zugriff nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen zu stoppen. Sinnig ist das vor allem bei Brute-Force-Attacken, wie sie derzeit auf WP-Installationen beobachtet wird. Es lässt sich auch einstellen, wie lange die angreifende IP-Adresse gesperrt werden soll, darüber hinaus werden die Sperrungen protokolliert.

Hinweis und Haftungsausschluss: Die Anleitung für die Änderung des Admin-Benutzernamens bezieht sich auf die Wordpress-Version 3.5.1. Keinerlei Haftung für das korrekte Funktionieren oder für verloren gegangene Daten.

 

Ähnliches, das vielleicht dazu passt:

3 thoughts on “Den Benutzernamen admin in Wordpress ändern

  1. Pingback: Blogattacken und Wechsel des Admin Benutzers ! | Spoony's Bike Blog

  2. Pingback: Massive Angriffe auf Wordpress-Installationen – Den Blog schützen | Hart gerockt

  3. Vivian D. Calhoun

    Je nach Vorgehensweise kann die Bezeichnung “wordpress” auch abweichen – viele Nutzer benennen den Root-Wordpress-Ordner um, gerade wenn mehrere WordPress-Installation über einen Webspace laufen. Die Ordner wp-content und plugins sind allerdings immer gleich und dürfen auch nicht umbenannt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.