admin Benutzer beim Anmeldebildschirm von WordPress

Admin Konto umbenennen!

Falls Sie in Ihrer WordPress Installation noch einen Benutzer mit dem Benutzernamen „admin“ haben, sollten Sie dringend ein neues WordPress Administrator-Konto anlegen, dessen Benutzernamen folgenden Kriterien entspricht:

  • er lautet NICHT „admin
  • er lautet NICHT auf den Namen der Domain (mit und ohne www.), auf der die Website läuft
  • er lautet NICHT auf den öffentlich angezeigten Namen des Administrator-Benutzers

Weshalb den admin umbenennen?

Die Gründe hierfür sind vielfältig aber einfach erklärt: Auf den von uns gewarteten Websites können wir über Plugins auslesen, wie oft fehlerhafte Anmeldeversuche pro Benutzer zu verzeichnen sind. Dabei steht der Benutzername „admin“ ganz oben auf der Liste. Der Grund dafür ist, dass Bösewichter versuchen, in den Administrationsbereich der Website einzudringen. Ein gängiger Benutzer, der in der Historie von WordPress immer angelegt wurde, war der „admin“. Aus diesem Grund ist es für einen Angreifer sehr wahrscheinlich, dass es einen Benutzer mit dem Benutzernamen „admin“ gibt. So muss er nurmehr das Passwort herausfinden. Alternativen für den weit verbreiteten „admin“ werden auch von den Bösen getestet, da sie ebenso wahrscheinlich als Benutzer existieren.

Vorsicht beim Löschen von Benutzern

WICHTIG: Sollten Sie einen Benutzer löschen müssen, weil er nicht den Kriterien entspricht, denken Sie unbedingt daran, bei diesem Prozess alle Beiträge und Seiten einem anderen Benutzer zuzuweisen. Das System fragt Sie beim Löschen eines Benutzers danach!

Empfehlung

Unsere Empfehlung für mehr Sicherheit beim Publizieren ist es daher, für mögliche Angreifer zwei Unbekannte zu schaffen. Einen unbekannten Benutzernamen und ein unbekanntes und komplexes Passwort.

Aus der Praxis

An diesem Screenshot können Sie sehen, welche Benutzernamen von Angreifern auf manfisher.net versucht wurden:

Admin User umbenennen!Es ist hier klar ersichtlich, dass der „admin“ ein begehrtes Angriffsziel ist. Selbiges gilt auch für die Domain mit und ohne „www“ sowie mit und ohne Endung (hier z.B. .net). Offenbar wird „root“ sporadisch auch versucht. Daher sollten diese Benutzernamen nicht verwendet werden. Wie Sie sehen, existieren die von Angreifern getesteten Benutzernamen auf unseren Websites und denen unserer Kunden mit Wartungsvertrag nicht.

Mehr Sicherheit

Als zusätzliche Sicherheitsstufe sollte man die Anzahl der Login-Versuche mit einem Sicherheits-Plugin beschränken und die Benutzerkonten mit zu vielen fehlerhaften Anmeldeversuchen für eine bestimmte Zeit sperren lassen. Darauf kommen wir in einem zukünftigen Beitrag zu sprechen.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über ihren Beitrag!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.