Seit einiger Zeit nutze ich das Plugin Limit Login Attempts von Johan Eenfeldt. Das Plugin dokumentiert fehlgeschlagene Login-Versuche und sperrt die IP-Adressen bei wiederholten Fehlversuchen. Für mich ein Plugin, dass jeder WordPress-Betreiber auf jeden Fall einsetzen sollte.

Warum ich das hier schreibe? Ganz einfach: ich habe erschreckt feststellen müssen, wieviele Unbekannte in jüngster Vergangenheit versucht haben sich in meiner WordPress-Installation anzumelden und damit meine Webseite unter ihre Kontrolle zu bringen. Und eins fiel mir noch auf: der dabei verwendete Benutzername, der vom Plugin auch protokolliert wird, lautete immer „admin“.

Und da muss ich einen recht simpel umzusetzenden, aber extrem wirkungsvollen WordPress-Sicherheits-Tipp weitergeben, den ich vor einiger Zeit gelesen und dann auch gleich angewandt habe:

Bei einer Standard WordPress-Installation wird der Benutzer „admin“ automatisch vom System angelegt. Diesen Benutzernamen sollte man unbedingt ändern; entweder man benennt ihn über die Datenbank um oder man legt einen neuen Benutzer mit der Rolle Administrator und einem abweichenden Benutzernamen an und löscht anschließend den alten „admin“.

Den dann reicht dem Angreifer nicht nur dass Passwort, sondern er muss auch noch den dazu passenden Benutzernamen herausbekommen.

Bevor ihr jedoch zur Tat schreitet, sichert auf den Fall eure Datenbank.

Benutzername über die Datenbank ändern

Den Benutzer „admin“ kann man über die Benutzerverwaltung von WordPress nicht umbenennen. Hier hilft nur das Umbenennen über die Datenbank. Öffnet dazu die Datenbankverwaltung (meist phpMyAdmin) und in eurer WordPress-Datenbank die Datenbanktabelle wp_users über den Button Anzeigen.

Da der „admin“ der erste angelegte Benutzer in der Datenbank war, hat dieser auch die Datenbank-ID 1 erhalten. Öffnet also den Benutzer mit der ID 1 mit einem Klick auf den Button Bearbeiten. Im Feld user_login könnt ihr nun den Benutzernamen „admin“ beliebig verändern.

Vergesst nicht die Änderungen zu speichern und beim nächsten WordPress-Login den neuen Benutzernamen zu verwenden.

Neuen Benutzer anlegen und „admin“ löschen

Wer den direkten Datenbankzugriff scheut, für den ist es so vielleicht einfacher:

Legt einen neuen Benutzer über die Benutzerverwaltung von WordPress an und gebt diesem einen beliebigen Namen (logischerweise nicht „admin“). Diesem Benutzer gebt ihr die Rolle Administrator und natürlich ein hyper sicheres Kennwort.

Nun meldet euch aus WordPress ab und loggt euch mit dem eben angelegten Benutzer wieder ein.

Hat das geklappt, könnt ihr nun den Benutzer „admin“ über die Benutzerverwaltung löschen. Da ihr mit dem Benutzer „admin“ vermutlich schon einige Artikel geschrieben habt, folgt eine Abfrage, was mit den Artikeln und Links des Benutzers „admin“ passieren soll. Hier klickt ihr Alle Beiträge und Links übertragen an und wählt aus der Liste den neu angelegten neuen Administrator.

Anschließend wird der Benutzer „admin“ gelöscht und ihr habt euer WordPress ein ganzes Stück sicherer gemacht.

Wenn ihr in eurem Blog jedoch Benutzerregistrierungen zulasst, solltet ihr den Benutzer „admin“ nicht löschen, sondern ihn degradieren, indem ihr ihm die Rolle eines Abonennten zuweist. So verhindert ihr, dass sich ein Dritter als „admin“ in eurem Blog einschreibt und unter diesem Benutzernamen kommentiert. Das wäre zwar nicht tragisch, aber vielleicht doch etwas verwirrend. Sollte das Kennwort des „admin“ dann doch mal erraten werden, kann er als Abonnent keinen Schaden anrichten.