SIEBEN – WordPress-Theme | Olli's Theme-Testblog

  • Mein Facebook-Profil
  • Mein Twitter-Profil
  • Mein Google+-Profil
  • Mein Xing-Profil
  • Mein Last.fm-Profil
  • Mein Youtube-Profil
  • Hol dir den RSS-Feed
Navigation anzeigen ↓
  • Herzlich willkommen
  • Shortcodes
  • Über mich
  • Artikelübersicht
  • Gaming
    • LittleBigPlanet: Die Geschichte von Sackboy
  • Gästebuch
  • Impressum
  • ↑ Menü schließen

    Meistkommentierte Artikel

    • 30. Dezember 2011
      [XBMC] Der ultimative Einsteiger-Guide - Teil 1
      53
    • 14. Mai 2010
      [WordPress] Ein Gästebuch ohne Plugins
      27
    • 30. Dezember 2011
      [XBMC] Der ultimative Einsteiger-Guide - Teil 2
      15
    • 29. Juli 2011
      Hannspree Hannspad SN10T1 und die Custom Roms
      12

    [WordPress] Absichern und den Benutzer „admin“ entfernen

    2. Oktober 2011 1 Sicherheit | Web internet | plugins | tutorial | wordpress

    Seit einiger Zeit nutze ich das Plugin Limit Login Attempts von Johan Eenfeldt. Das Plugin dokumentiert fehlgeschlagene Login-Versuche und sperrt die IP-Adressen bei wiederholten Fehlversuchen. Für mich ein Plugin, dass jeder WordPress-Betreiber auf jeden Fall einsetzen sollte.

    Warum ich das hier schreibe? Ganz einfach: ich habe erschreckt feststellen müssen, wieviele Unbekannte in jüngster Vergangenheit versucht haben sich in meiner WordPress-Installation anzumelden und damit meine Webseite unter ihre Kontrolle zu bringen. Und eins fiel mir noch auf: der dabei verwendete Benutzername, der vom Plugin auch protokolliert wird, lautete immer „admin“.

    Und da muss ich einen recht simpel umzusetzenden, aber extrem wirkungsvollen WordPress-Sicherheits-Tipp weitergeben, den ich vor einiger Zeit gelesen und dann auch gleich angewandt habe:

    Bei einer Standard WordPress-Installation wird der Benutzer „admin“ automatisch vom System angelegt. Diesen Benutzernamen sollte man unbedingt ändern; entweder man benennt ihn über die Datenbank um oder man legt einen neuen Benutzer mit der Rolle Administrator und einem abweichenden Benutzernamen an und löscht anschließend den alten „admin“.

    Den dann reicht dem Angreifer nicht nur dass Passwort, sondern er muss auch noch den dazu passenden Benutzernamen herausbekommen.

    Bevor ihr jedoch zur Tat schreitet, sichert auf den Fall eure Datenbank.

    Benutzername über die Datenbank ändern

    Den Benutzer „admin“ kann man über die Benutzerverwaltung von WordPress nicht umbenennen. Hier hilft nur das Umbenennen über die Datenbank. Öffnet dazu die Datenbankverwaltung (meist phpMyAdmin) und in eurer WordPress-Datenbank die Datenbanktabelle wp_users über den Button Anzeigen.

    Da der „admin“ der erste angelegte Benutzer in der Datenbank war, hat dieser auch die Datenbank-ID 1 erhalten. Öffnet also den Benutzer mit der ID 1 mit einem Klick auf den Button Bearbeiten. Im Feld user_login könnt ihr nun den Benutzernamen „admin“ beliebig verändern.

    Vergesst nicht die Änderungen zu speichern und beim nächsten WordPress-Login den neuen Benutzernamen zu verwenden.

    Neuen Benutzer anlegen und „admin“ löschen

    Wer den direkten Datenbankzugriff scheut, für den ist es so vielleicht einfacher:

    Legt einen neuen Benutzer über die Benutzerverwaltung von WordPress an und gebt diesem einen beliebigen Namen (logischerweise nicht „admin“). Diesem Benutzer gebt ihr die Rolle Administrator und natürlich ein hyper sicheres Kennwort.

    Nun meldet euch aus WordPress ab und loggt euch mit dem eben angelegten Benutzer wieder ein.

    Hat das geklappt, könnt ihr nun den Benutzer „admin“ über die Benutzerverwaltung löschen. Da ihr mit dem Benutzer „admin“ vermutlich schon einige Artikel geschrieben habt, folgt eine Abfrage, was mit den Artikeln und Links des Benutzers „admin“ passieren soll. Hier klickt ihr Alle Beiträge und Links übertragen an und wählt aus der Liste den neu angelegten neuen Administrator.

    Anschließend wird der Benutzer „admin“ gelöscht und ihr habt euer WordPress ein ganzes Stück sicherer gemacht.

    Wenn ihr in eurem Blog jedoch Benutzerregistrierungen zulasst, solltet ihr den Benutzer „admin“ nicht löschen, sondern ihn degradieren, indem ihr ihm die Rolle eines Abonennten zuweist. So verhindert ihr, dass sich ein Dritter als „admin“ in eurem Blog einschreibt und unter diesem Benutzernamen kommentiert. Das wäre zwar nicht tragisch, aber vielleicht doch etwas verwirrend. Sollte das Kennwort des „admin“ dann doch mal erraten werden, kann er als Abonnent keinen Schaden anrichten.

    Diese Artikel könnten dich ebenfalls interessieren
    • 1
      22. Mai 2012
      [WordPress] Theme „DREI“ steht bereit
    • 0
      19. Mai 2012
      [WordPress] Mehrere Sidebars nutzen
    • 1
      9. Mai 2012
      [WordPress] Mein neues Theme ‚ZWEI‘
    • 0
      5. Mai 2012
      [WordPress] Semmelstatz wird auch weiterhin supported (Semmelstatz reloaded)

    1 Kommentar

    1. Sam sagt:
      23. Dezember 2011 um 18:03

      Da kann man sich wirklich nur noch bedanken!

      Zum Antworten anmelden

    Dein Kommentar zu diesem Artikel

    Abbrechen

    Du musst angemeldet sein, um einen Kommentar abzugeben.

    ← vorheriger Artikel
    nächster Artikel →
    • Archive

      • Juni 2012
      • Mai 2012
      • April 2012
      • März 2012
      • Februar 2012
      • Januar 2012
      • Dezember 2011
      • November 2011
      • Oktober 2011
      • September 2011
      • August 2011
      • Juli 2011
      • Juni 2011
      • Mai 2011
      • April 2011
      • März 2011
      • Februar 2011
      • Januar 2011
      • Dezember 2010
      • November 2010
      • Oktober 2010
      • September 2010
      • August 2010
      • Juli 2010
      • Juni 2010
      • Mai 2010
      • April 2010
      • Februar 2010
      • Januar 2010
      • Dezember 2009
      • November 2009
      • Oktober 2009
    • Meta

      • Anmelden
      • Beitrags-Feed (RSS)
      • Kommentare als RSS
      • WordPress.org
    • Neueste Beiträge

      • Willkommen zur Testfahrt
      • Letzte Chance nach einem Festplattencrash
      • Kleinstrechner MK802 mit Ice Cream Sandwich; gar nicht mal so teuer
      • [WordPress] Theme „DREI“ steht bereit
      • [WordPress] Mehrere Sidebars nutzen
    • Neueste Kommentare

      • Oliver bei Willkommen zur Testfahrt
      • Olli bei [XBMC] Der ultimative Einsteiger-Guide – Teil 1
      • Lars bei [XBMC] Der ultimative Einsteiger-Guide – Teil 1
      • Martin bei Kreiert euren eigenen Button und teilt diesen mit anderen
      • rainer bei [CSS3] Vom Lupeneffekt und drehenden Icons mit „transform“
    • Kategorien

      • Gaming
      • Grafik
      • Sicherheit
      • Sonstiges
      • Technik
      • Web
      • Webdesign
    • Schlagwörter

      active directory android apple css demo dsl dvb games gimp guides hardware html id3-tag internet ipad iphone itunes littlebigplanet medienfreigabe modnation racers mp3 nas office phishing php playstation 3 plugins psn spam sql tablet tutorial tv twonky media server update upnp videos windows 7 windows media player windows server windows vista wlan wordpress xbmc xbox 360

    Seitenanfang ↑

    239 Artikel | 293 Kommentare

    Artikel RSS-Feed | Kommentar RSS-Feed

    © SIEBEN – WordPress-Theme angetrieben von WordPress

    Theme 'SIEBEN' von Oliver Gast