Vor kurzem hatte ich Euch bereits über das WordPress Plugin “Limit Login Attempts” berichtet.
Was nach der Installation dieses Plugins geschieht ist so erstaunlich wie traurig. Denn durch Limit Login Attempts wird einem erst einmal klar, wie oft doch von außen versucht wird in das Blog einzudringen.
Ich habe das Plugin erst seit rund zwei Monaten im Einsatz doch es wurden bereits über 40 Sperrungen von IP-Adressen veranlasst, die sich unerlaubt anmelden wollten. Das hätte ich anfangs nicht für möglich gehalten.
Was einem aber auffällt, ist, dass rund 90% der Login-Versuche mit dem Standard-Administrator-Namen “admin” getätigt werden. Dahinter folgt “Admin” und auch “password” oder “12345” habe ich unter den Versuchen ausgemacht. Da klingelten bei mir die Alarmglocken, denn der voreingestellte Benutzername “admin” von WordPress stellt somit definitiv eine große Sicherheitslücke dar.
Geht man allerdings im WordPress Dashboard zu Benutzer, dann zum admin und wählt “bearbeiten”, sieht man gleich hinter dem Benutzerfeld folgende Mitteilung: “Benutzernamen können nicht geändert werden.”
Wie kann man also bei WordPress den Benutzernamen admin ändern?
Im Dashboard selbst jedenfalls nicht – jedoch über die mySQL-Datenbank eines Blogs.
Anleitung zum ändern des WordPress Benutzernamen “admin”:
– Zuerst muss man die mySQL-Datenbank öffnen.
– Dort dann nach der Tabelle users oder wp_users suchen
– Anschließend nach dem Benutzer admin suchen
– In dieser Spalte findet man dann die oben gezeigten user_login und user_nicename
– Diese Einträge dann von admin in einen neuen Namen umändern (für beide Felder den gleichen Namen!) und abspeichern
– mySQL-Datenbank schließen und zur Anmeldeseite des Blogs zurück um sich mit dem neuen Benutzernamen anzumelden (Nicht mehr mit admin, Passwort ist jedoch das alte geblieben)
So einfach sind schon rund 90% der Anmeldeversuche von Hackern am nicht mehr vorhandenen “admin” von vornherein zum Scheitern verurteilt.
Eine weitere Anleitung zu den Einstellungen des oben genannten Limit Login Attempts Plugin, findet man bei Thomas. Ein weiterer Dank geht an Tanja, die mir bei der Änderung des admin-Benuzternamens geholfen hat.
(Alex)
Ich habe den Admin einfach gelöscht ;-)
Wir hatten ja schon mal darüber gesprochen, bei mir gab es jetzt, seit ich es verwende, vier Versuche von drei verschiedenen IPs.
Hi Sven
Den admin einfach löschen geht auch, vor allem direkt am Anfang nach der WordPress Installation.
Aber jetzt würde ich meinen admin nicht mehr löschen wollen, da wollte ich ihn lieber überarbeiten.
Und siehst du, auch bei dir versuchen sie sich leider reinzuhacken, schon traurig, oder?
Jedenfalls bin ich froh, dass auch du jetzt etwas “sicherer” unterwegs bist.
Und zum Plugin, haben die Vier es als “admin” versucht?
Beste Grüße,
Alex
Das ist ein sehr wichtiger Hinweis!
Worauf man noch achten sollte ist,dass man sich nicht mit dem Namen anmeldet, mit dem man auch Artikel schreibt. Das machen eben die meisten und für Hacker ist somit schonmal der Login-Name geknackt worden.
Beste Grüße!
Altes Thema aber trotzdem immer wieder “neu”! Ich möchte die Dunkelziffer nicht wissen, wie viele Blogger-(innen) mit “admin” unterwegs sind – sicher mehr als man denkt. Ein Hauptproblem dabei wie ich meine, den Eingriff in die Datenbank wagen einige nicht.
Mit Deiner Erklärung sollte jedoch jede Angst vor der “OP am offenen Herzen” genommen sein.
@Skatze: Sehr guter Hinweis den man unbedingt beachten sollte!!
ja admin wird bei mir auch immer versucht. meinen namen mit dem ich die beitraege schreibe noch nie. Nagut, einmal, aber da habe ich mir selber ausgespeert. Ich habe es ja sehr strikt eingestellt. Max 2 Versuche dann ist er draußen. Sie sollen nicht unnoetig viele Versuche bekommen. Wer sein Passwort weiß wird es richtig eingeben. Verusche gibt es bei mir nicht.
btw. Schoener Artikel. Irgendwie haette der Optimieren-Artikel wohl doch besser hier her gepasst. naja
Guter Hinweis. Aber man sollte nicht nur den Namen admin vermeiden, sondern auch den der im Impressum steht. :-) Wahrscheinlich ist das auch meistens der, unter dem viele ihre Artikel verfassen.
[…] nur eine untergeordnete Rolle. Alex vom Offenenblog berichtete erst kürzlich darüber wie man in nur wenigen Minuten über die Datenbank einen anderen Benutzernamen nutzen kann. Den Zugang ins Backend sichert man am besten zusätzlich mit Limit Login Attempts […]
Klar haben die es als Admin versucht, aber wie gesagt, der existiert bei mir überhaupt nicht ;-)
Einer der besten und wirklich am sichersten Wege die Hacker von seiner Seite fern zu halten. Und es ist wirklich einfach! ;-)
Danke für das wieder ins Gedächtnis rufen! ;-)
Hallo Skatze, Thomas, Carsten, perendie, Sven und mac
– Skatze, ebenfalls ein guter Hinweis von dir.
– Thomas, wie gesagt, war auch ich bis vor kurzem noch per “admin” unterwegs. Verdammt gefährlich aber mittlerweile ja Gott sei Dank behoben! :) Und mit der OP am offenen Herzen, da hast du Recht. Auch ich brauchte erst einmal den Zuspruch von Tanja, aber war wirklich halb so wild! Man muss halt nur wissen wie es geht (wie bei allem im Leben ;) ).
– Carsten, was die Versuche angeht, da habe ich auch lange geschwankt, ob 2 oder 3 Versuche. Aber 2 wäre mir etwas zu knapp, bei meinen 1000 Passwörtern! :D
– perendie, herzlich Willkommen auf offenesblog.de!
Ja, auch im Impressum sollte man nicht unbedingt angeben, mit welchen Namen die Hacker es versuchen sollten! ;)
– Sven, dann bin ich froh, dass auch bei dir der admin nicht existiert. Ist schon die halbe Miete!
– mac, ja… wenn man weiß was man machen muss und wie, ist es echt simpel und schnell gemacht. Daher hier mein Artikel für die, die genau wie ich bis vor kurzem, wie der Ochs vorm Berg stehen! :D
Euch allen eine sichere Bloggerwoche, Alex
Ich durfte die gleichen Erfahrungen machen wie Du. Wer sich nicht traut, in den MySQL Einstellungen rumzufummeln, kann folgendes machen:
– Neuen Benutzer erstellen mit Rolle Administrator.
– Dashboard verlassen und mit neuem Administrator einloggen.
– Alter Benutzer löschen, danach fragt WordPress, ob alle Beiträge übertragen werden sollen, dann mit JA beantworten.
Der Administrator sollte wirklich Admin bleiben, für das Schreiben der Artikel verwendet man einen eigenen Account mit tieferen Berechtigungen!
Bei solchen Aktionen ist eine Sicherung der Datenbank ein MUSS!
Ich würde weniger erfahrenen Blogadmins empfehlen, den Tipp von Ivan zu beherzigen. Diesen würde ich auch etwas abschwächen: es reicht ja schon, wenn man einen neuen Administrator erstellt und dann dem “alten” Administrator die Administratorrechte entzieht und ihn zum Redakteur oder Autor “degradiert”. Dann können alle Artikel unter dem alten Namen veröffentlicht bleiben.
Sollte dann jemand doch unter diesem Namen Zugriff zum Blog erhalten kann er dies zwar noch manipulieren, aber nicht mehr in Besitz nehmen.
Um dies zu verhindern ist Limit Login Attempts sinnvoll.
P.S.: Euer offenes Blog ist ein prima Projekt, bin heute erst darauf gestoßen!
Hi Ivan und Andreas
Euch beiden zuerst einmal ein herzliches Willkommen hier auf offenesblog.de.
Danke für Eure Meinungen und Ideen zum Thema WordPress admin Benutzername.
Ja, man muss auf der Hut sein und ein guter Schritt ist eben gleich nach der Installation den admin-Namen zu ändern und das Limit Login Attempts zu installieren.
Euch beiden einen guten Wochenstart und eine hoffentlich sichere Blogwoche! ;)
Beste Grüße, Alex
Moin
Ich habe auch die brutale Version wie @Sven genommen. Einfach neue Namen anlegen, damit anmelden und Admin löschen.
Hi Jürgen
Herzlich Willkommen auf offenesblog.de.
Egal ob brutal oder nicht, hauptsache sicher! ;)
Angenehmes Wochenende und beste Grüße
Alex
Danke für die herzliche Begrüßung & wünsche einen guten Wochenstart. :)
Jürgen,
hier wird man immer herzlich begrüßt. Ist ja schließlich ein “offenes” Blog und somit wird hier auch jeder mit offenen Armen empfangen! ;)
Auch dir eine gute Woche,
beste Grüße
Alex
Und wie recht du hast. Seit einiger Zeit versuchen wieder ein paar Trolle, primär aus dem Bereich der ehemaligen Ostblock-Staaten meinen Blog zu knacken. Irgendwie und irgendwo hatte ich aus Versehen mal einen Beitrag als Admin abgeschickt. Natürlich nicht der Name ‘Admin’, aber als Admin. Tja und jetzt kamen – verhindert durch Login Limit – die ersten Versuche mit meinem Admin-Namen. Echt pöse ;)
Das hat mich aber dazu bewogen mal wieder komplett WP auf den neuesten Stand zu bringen, Gott sei Dank hat auch alles wunderbar geklappt. Admin-Name über DB geändert und Ruhe ist mal wieder, bis zu nächsten mal ;(
Smolli
Hi Smolli
und zuerst einmal herzlich Willkommen auf offenesblog.de!
Ja, es ist erstaunlich wie oft versucht wird auf einem Blog einzudringen. Das wurde mir auch erst nach der Installataion von Login Limit bewusst.
Dann hoffen wir mal, dass wir ungeknackt bleiben.
Alles Gute dir und einen guten Wochenstart, Alex
Gefahrenquelle schließen: WordPress-Login-Name für jeden sichtbar!…
Am Wochenende meldete sich per E-Mail ein Leser und Blogger bei mir, um mir eine Frage bezüglich der Sicherheit in WordPress zu stellen. Wie ihr hoffentlich alle wisst, versuchen Hacker immer wieder fremde Blogs zu hacken. Da sie das meist mit automati…
[…] zu ändern. Dazu muss man aber in der Datenbank einen Eintrag ändern. Wie das geht ist hier gut […]
[…] b) Loginnamen in der Datenbank anpassen […]
Oh, danke für die einfache und übersichtliche Anleitung.
Ich habe jetzt (nach etlichen Jahren) mich an die Datenbank gewagt und den “admin” geändert. War ja gar nicht schwer und sind ja nur ein paar Klicks. Hätte ich das früher gewusst, hätte ich das schon viel eher geändert. ;)
Hi Nico79
Zuerst einmal herzlich Willkommen hier auf offenesblog.de!
Es freut mich, dass ich dir mit dieser Anleitung helfen konnte, du dich an die Datenbank getraut hast und vor allem… dass alles geklappt hat! :)
Beste Grüße und habe einen angenehmen Sonntagabend.
[…] mit der ID 1 ist der Admin. Dort kann nun die Spalte user_login geändert werden. Hier gibt es eine Anleitung […]
– Dies war der 5100. Kommentar auf offenesblog.de –
[…] nur eine untergeordnete Rolle. Alex vom Offenenblog berichtete erst kürzlich darüber wie man in nur wenigen Minuten über die Datenbank einen anderen Benutzernamen nutzen kann. Den Zugang ins Backend sichert man am besten zusätzlich mit Limit Login Attempts […]
[…] mit der ID 1 ist der Admin. Dort kann nun die Spalte user_login geändert werden. Hier gibt es eine Anleitung […]