Fragwürdige Sicherheit: Admin-Zugang für WordPress löschen

Wordpress Admin verbergen

Wenn man nicht aufpasst, bringt es nur wenig mehr an echter Sicherheit, wenn man den Admin-Zugang einfach nur löscht.

Einer der gängigsten WordPress-Tipps ist, den automatisch angelegten Admin-Account zu löschen und stattdessen einen selbst erstellten Account zur Administrierung des Blog-Systems zu verwenden.

Das klingt auf den ersten Blick vernünftig, weil man dabei davon ausgeht, dass ein Angreifer den Login-Namen erraten muss, bevor er etwa per Brute-Force versucht, das dazugehörige Passwort zu knacken. Ein komplizierter Login-Name ist – zumindest in der Theorie – nicht so leicht zu erraten und bietet so einen zusätzlichen Schutz.

Diese Annahme ist jedoch ein Irrtum. In der Realität bringt das Löschen des Admin-Accounts keine echte Sicherheit: Die meisten WordPress-Nutzer legen nämlich einfach einen neuen Account an und verwenden ihn sowohl zum Schreiben neuer Beiträge, als auch zum Verwalten ihres Blogs.

Dabei ist ihnen gar nicht bewusst, dass WordPress diesen Login-Namen jedem Besucher ihrer Seite offen zeigt. Das glaubt ihr nicht? Dann fahrt zum Beispiel auf diesem Blog mit der Maus über den Namen des Autoren, also in diesem Fall über „Andreas“. Unten links zeigt euch jetzt der Browser den Login-Namen hinter „authors“ an (bei WordPress den „Benutzernamen“). Der Name ist also alles andere als verborgen.

WordPress-Zugang wirklich sichern

Deswegen ist es auch so wichtig, für jeden Account im Blog ein wirklich sicheres Passwort zu verwenden, das ausreichend lang ist, in keinem Wörterbuch steht und nicht in vertretbarer Zeit zu erraten ist. Dafür empfehle ich den Einsatz eines Passwort-Safes wie Keepass.

Was kann man darüber hinaus machen, um das Blog trotzdem zu sichern? Neben der Verwendung eines sicheren Passworts, kann man jeden Post einem extra dafür angelegten Autoren zuweisen, der weniger Rechte als der Haupt-Account hat. Dazu muss man zunächst einen neuen Benutzer in WordPress anlegen, der als „Rolle“ den Rang „Autor“ erhält. Beim Erstellen eines neuen Beitrags in WordPress klickt man dann oben rechts auf „Optionen“ und setzt das Häkchen vor „Autor“. Jetzt zeigt WordPress weiter unten einen neuen Kasten „Autor“ mit einem Dropdown-Menü an. Hier kann man den neuen Autoren auswählen, der dann öffentlich angezeigt wird. Der Account mit Administrator-Rechten wird dadurch verborgen. Das muss man aber leider bei jedem neuen Beitrag machen.

Wordpress-Plug-in Limit Login Attempts

Das WordPress-Plug-in „Limit Login Attempts“ blockiert Versuche, den Login zu knacken.

Bei einem Blog, das bereits eine größere Zahl von Beiträgen aufweist, ist die nachträgliche Änderung des Autoren mit einem erheblichen Aufwand verbunden. Am einfachsten geht das wahrscheinlich über das Bearbeiten der Datenbank. Man kann jedoch auch einen neuen Account anlegen, diesen mit Administrator-Rechten versehen und dann den alten Account auf die Rolle „Autor“ herunterstufen.

Bei neuen Beiträgen wählt man dann als „Autor“ den alten Account aus, der also weiter nach außen auftritt, aber – sollte das Passwort geknackt werden – keine Gefahr für die Sicherheit des Blogs mehr darstellt. Der wirklich verwendete Account mit den Admin-Rechten ist ja nun verborgen.

Zusatz-Tipp: Ein wirklich nützliches Plug-in für WordPress ist „Limit Login Attempts“. Damit lässt sich etwa festlegen, dass eine IP-Adresse nach fünf fehl geschlagenen Login-Versuchen automatisch für einen bestimmten Zeitraum gesperrt wird. Ein Brute-Force-Angriff, bei dem ein Angreifer einfach nacheinander jedes erdenkliche Passwort durchprobiert, wird damit erheblich erschwert.

Eine Sammlung weiterer Tipps wie eine .htaccess-Datei zu erstellen etc. findet ihr zum Beispiel hier, hier oder hier.

Ein Gedanke zu “Fragwürdige Sicherheit: Admin-Zugang für WordPress löschen

  1. Vielen Dank für diesen Artikel.
    Setzen Sie jedoch einen Schritt zuvor an und ändern Sie nicht nur den Admin-Benutzer, sondern auch die URL, die zur Login-Seite führt. Dies ist auch bei Ihnen http://www.bespiel.de/wp-admin.php.
    Hierfür finden sich einige Plugins. So Erschweren Sie zusätzlich die Möglichkeit eines Angriffs.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.