WordPress-Plugin: Admin Username ändern

Auch wenn WordPress an sich eines der Redaktionssysteme oder Blogsysteme ist, die sehr viel Wert auf Sicherheit legen (das merkt man schon an den häufigen Updates der Software!), kann man trotzdem immer noch etwas tun, um es noch sicherer zu machen. Wer einmal sein Blog morgens anschauen wollte und dann nur eine Webseite fand auf der “YOU HAVE BEEN HACKED!” zu sehen ist, der wird wissen, was ich meine.

Ein Angriffspunkt für Hacker sind natürlich die Loginformulare von Blogs. Hier wird mit brute-force (“brutaler Gewalt”), also sinnlosem Ausprobieren von Login/Passwort-Kombinationen versucht, Zugang zum System zu bekommen. Da WordPress als Standard-Login immer “admin” für den Adminbenutzer (den ersten Benutzer direkt nach der Installation) verwendet, brauchen sich Hacker über das Login schon mal keine Gedanken machen. Nun benötigt man nur noch ein Skript, dass tausende von Passwort-Möglichkeiten ausprobiert und schon stehen die Chancen gut, dass man als Hacker auch in WordPress Admin-Zugang erhält.

Soweit die Infos, wie die Hacker vorgehen. Wir möchten diesen Hackern aber das Leben schwer machen und das ist sogar recht einfach:

Zum einen ist das [Plugin "Login-Lockdown"->http://wordpress.org/extend/plugins/login-lockdown/] hilfreich, da dies IP-Adressen mit einer bestimmten Anzahl von Fehlversuchen komplett sperrt. Das heisst, wenn eine Person zum Beispiel 5 mal probiert hat, in dein Blog zu kommen, dann bekommt er beim 6. Versuch die Meldung, dass er für eine Stunde komplett ausgesperrt wurde. Die Anzahl der Login-Versuche und die Zeit lassen sich natürlich einstellen.

Der zweite wirkungsvolle Schritt ist, das Login “admin” für den Admin-Benutzer zu ändern. Damit laufen schon mal alle Hacker in die Irre, die immer nur den Zugang zum Login “admin” knacken möchten. Und wenn man nicht weiss, in was das Login geändert wurde, gibt es sehr sehr viele Kombinationsmöglichkeiten zwischen Login und Passwort, die nun ausprobiert werden müssen. Da kann sich auch ein brute-force-Skript die Zähne ausbeissen.

Das Ändern der Admin-Usernames in WordPress ist über die Benutzerverwaltung jedoch nicht möglich, da die Logins der Benutzer dort grundsätzlich nicht verändert werden können. Wer es ändern möchte, muss also direkt in der MySQL-Tabelle arbeiten oder einen neuen Admin-Benutzer anlegen (am besten mit einem Login, das nichts mit “admin” zu tun hat!) und den alten Admin-User dann löschen.

Noch einfacher geht es natürlich mit einem WordPress-Plugin, das ich bei w-shadow.com gefunden und dann eingedeutscht habe. Dort kann man direkt im Admin-Bereich den Username für “admin” in etwas anderes ändern.

Installation des Plugin

Wie immer: Hochladen in den Ordner /wp-content/plugins/

Dann aktivieren im Menü “Plugins” im Admin und das Formular zum Ändern des Username findet man dann unter dem Menü “Benutzer”.

Download

Das Plugin funktioniert mit allen WP-Versionen, die ich laufen habe und hatte. Aktuell (zum Zeitpunkt als ich den Beitrag hier geschrieben habe) habe ich WP 2.7.1 laufen und da klappts auch.

Download (als ZIP): nt-admin-login-aendern

Der Beitrag besitzt Themenrelevanz zu Admin Loginname ändern Admin Username ändern change admin username Plugin Wordpress Sicherheit.

Weitere Beiträge

Wordpress-Plugin: Admin Username ändern, Plugin zum Entfernen der PHPSESSID aus der URL, Plugin zum Aktivieren/Deaktivieren aller Plugins, XDForum DE - Forum als Wordpress-Plugin auf Deutsch, Plugin NT-phpinfo() für WordPress, Url2Footnote 1.0 optimiert und konfigurierbar , Semmelstatz Delete 0.1, Wordpress Plugin gegen Mail-Header-Spam

Andere Artikel mit thematischem Bezug:

WordPress-Plugin: Admin Username ändern

Installation des Plugin

Download

Weitere Beiträge

Suche

Artikelkategorien

Service & Angebot

Info-Artikel

Suchbegriffe des Artikels