WordPress: Den admin Benutzernamen ändern

Vor kurzem hatte ich Euch bereits über das WordPress Plugin “Limit Login Attempts” berichtet.

Was nach der Installation dieses Plugins geschieht ist so erstaunlich wie traurig. Denn durch Limit Login Attempts wird einem erst einmal klar, wie oft doch von außen versucht wird in das Blog einzudringen.

Ich habe das Plugin erst seit rund zwei Monaten im Einsatz doch es wurden bereits über 40 Sperrungen von IP-Adressen veranlasst, die sich unerlaubt anmelden wollten. Das hätte ich anfangs nicht für möglich gehalten.

Was einem aber auffällt, ist, dass rund 90% der Login-Versuche mit dem Standard-Administrator-Namen “admin” getätigt werden. Dahinter folgt “Admin” und auch “password” oder “12345” habe ich unter den Versuchen ausgemacht. Da klingelten bei mir die Alarmglocken, denn der voreingestellte Benutzername “admin” von WordPress stellt somit definitiv eine große Sicherheitslücke dar.

Geht man allerdings im WordPress Dashboard zu Benutzer, dann zum admin und wählt “bearbeiten”, sieht man gleich hinter dem Benutzerfeld folgende Mitteilung: “Benutzernamen können nicht geändert werden.”

Wie kann man also bei WordPress den Benutzernamen admin ändern?
Im Dashboard selbst jedenfalls nicht – jedoch über die mySQL-Datenbank eines Blogs.

Anleitung zum ändern des WordPress Benutzernamen “admin”:

WP username mySQL


– Zuerst muss man die mySQL-Datenbank öffnen.
– Dort dann nach der Tabelle users oder wp_users suchen
– Anschließend nach dem Benutzer admin suchen
– In dieser Spalte findet man dann die oben gezeigten user_login und user_nicename
– Diese Einträge dann von admin in einen neuen Namen umändern (für beide Felder den gleichen Namen!) und abspeichern
– mySQL-Datenbank schließen und zur Anmeldeseite des Blogs zurück um sich mit dem neuen Benutzernamen anzumelden (Nicht mehr mit admin, Passwort ist jedoch das alte geblieben)

So einfach sind schon rund 90% der Anmeldeversuche von Hackern am nicht mehr vorhandenen “admin” von vornherein zum Scheitern verurteilt.

Eine weitere Anleitung zu den Einstellungen des oben genannten Limit Login Attempts Plugin, findet man bei Thomas. Ein weiterer Dank geht an Tanja, die mir bei der Änderung des admin-Benuzternamens geholfen hat.

(Alex)

27 Comments

  1. Sven said:

    Ich habe den Admin einfach gelöscht ;-)
    Wir hatten ja schon mal darüber gesprochen, bei mir gab es jetzt, seit ich es verwende, vier Versuche von drei verschiedenen IPs.

    29. März 2012
  2. Alex said:

    Hi Sven

    Den admin einfach löschen geht auch, vor allem direkt am Anfang nach der WordPress Installation.
    Aber jetzt würde ich meinen admin nicht mehr löschen wollen, da wollte ich ihn lieber überarbeiten.
    Und siehst du, auch bei dir versuchen sie sich leider reinzuhacken, schon traurig, oder?
    Jedenfalls bin ich froh, dass auch du jetzt etwas “sicherer” unterwegs bist.
    Und zum Plugin, haben die Vier es als “admin” versucht?
    Beste Grüße,

    Alex

    29. März 2012
  3. Skatze said:

    Das ist ein sehr wichtiger Hinweis!

    Worauf man noch achten sollte ist,dass man sich nicht mit dem Namen anmeldet, mit dem man auch Artikel schreibt. Das machen eben die meisten und für Hacker ist somit schonmal der Login-Name geknackt worden.

    Beste Grüße!

    29. März 2012
  4. Thomas said:

    Altes Thema aber trotzdem immer wieder “neu”! Ich möchte die Dunkelziffer nicht wissen, wie viele Blogger-(innen) mit “admin” unterwegs sind – sicher mehr als man denkt. Ein Hauptproblem dabei wie ich meine, den Eingriff in die Datenbank wagen einige nicht.

    Mit Deiner Erklärung sollte jedoch jede Angst vor der “OP am offenen Herzen” genommen sein.

    @Skatze: Sehr guter Hinweis den man unbedingt beachten sollte!!

    30. März 2012
  5. Carsten said:

    ja admin wird bei mir auch immer versucht. meinen namen mit dem ich die beitraege schreibe noch nie. Nagut, einmal, aber da habe ich mir selber ausgespeert. Ich habe es ja sehr strikt eingestellt. Max 2 Versuche dann ist er draußen. Sie sollen nicht unnoetig viele Versuche bekommen. Wer sein Passwort weiß wird es richtig eingeben. Verusche gibt es bei mir nicht.

    btw. Schoener Artikel. Irgendwie haette der Optimieren-Artikel wohl doch besser hier her gepasst. naja

    30. März 2012
  6. perendie said:

    Guter Hinweis. Aber man sollte nicht nur den Namen admin vermeiden, sondern auch den der im Impressum steht. :-) Wahrscheinlich ist das auch meistens der, unter dem viele ihre Artikel verfassen.

    30. März 2012
  7. […] nur eine untergeordnete Rolle. Alex vom Offenenblog berichtete erst kürzlich darüber wie man in nur wenigen Minuten über die Datenbank einen anderen Benutzernamen nutzen kann. Den Zugang ins Backend sichert man am besten zusätzlich mit Limit Login Attempts […]

    31. März 2012
  8. Sven said:

    Klar haben die es als Admin versucht, aber wie gesagt, der existiert bei mir überhaupt nicht ;-)

    31. März 2012
  9. mac said:

    Einer der besten und wirklich am sichersten Wege die Hacker von seiner Seite fern zu halten. Und es ist wirklich einfach! ;-)

    Danke für das wieder ins Gedächtnis rufen! ;-)

    1. April 2012
  10. Alex said:

    Hallo Skatze, Thomas, Carsten, perendie, Sven und mac

    – Skatze, ebenfalls ein guter Hinweis von dir.

    – Thomas, wie gesagt, war auch ich bis vor kurzem noch per “admin” unterwegs. Verdammt gefährlich aber mittlerweile ja Gott sei Dank behoben! :) Und mit der OP am offenen Herzen, da hast du Recht. Auch ich brauchte erst einmal den Zuspruch von Tanja, aber war wirklich halb so wild! Man muss halt nur wissen wie es geht (wie bei allem im Leben ;) ).

    – Carsten, was die Versuche angeht, da habe ich auch lange geschwankt, ob 2 oder 3 Versuche. Aber 2 wäre mir etwas zu knapp, bei meinen 1000 Passwörtern! :D

    – perendie, herzlich Willkommen auf offenesblog.de!
    Ja, auch im Impressum sollte man nicht unbedingt angeben, mit welchen Namen die Hacker es versuchen sollten! ;)

    – Sven, dann bin ich froh, dass auch bei dir der admin nicht existiert. Ist schon die halbe Miete!

    – mac, ja… wenn man weiß was man machen muss und wie, ist es echt simpel und schnell gemacht. Daher hier mein Artikel für die, die genau wie ich bis vor kurzem, wie der Ochs vorm Berg stehen! :D

    Euch allen eine sichere Bloggerwoche, Alex

    2. April 2012
  11. Ivan said:

    Ich durfte die gleichen Erfahrungen machen wie Du. Wer sich nicht traut, in den MySQL Einstellungen rumzufummeln, kann folgendes machen:

    – Neuen Benutzer erstellen mit Rolle Administrator.
    – Dashboard verlassen und mit neuem Administrator einloggen.
    – Alter Benutzer löschen, danach fragt WordPress, ob alle Beiträge übertragen werden sollen, dann mit JA beantworten.

    Der Administrator sollte wirklich Admin bleiben, für das Schreiben der Artikel verwendet man einen eigenen Account mit tieferen Berechtigungen!

    Bei solchen Aktionen ist eine Sicherung der Datenbank ein MUSS!

    3. April 2012
  12. Andreas said:

    Ich würde weniger erfahrenen Blogadmins empfehlen, den Tipp von Ivan zu beherzigen. Diesen würde ich auch etwas abschwächen: es reicht ja schon, wenn man einen neuen Administrator erstellt und dann dem “alten” Administrator die Administratorrechte entzieht und ihn zum Redakteur oder Autor “degradiert”. Dann können alle Artikel unter dem alten Namen veröffentlicht bleiben.
    Sollte dann jemand doch unter diesem Namen Zugriff zum Blog erhalten kann er dies zwar noch manipulieren, aber nicht mehr in Besitz nehmen.
    Um dies zu verhindern ist Limit Login Attempts sinnvoll.

    P.S.: Euer offenes Blog ist ein prima Projekt, bin heute erst darauf gestoßen!

    10. Juni 2012
  13. Alex said:

    Hi Ivan und Andreas

    Euch beiden zuerst einmal ein herzliches Willkommen hier auf offenesblog.de.
    Danke für Eure Meinungen und Ideen zum Thema WordPress admin Benutzername.
    Ja, man muss auf der Hut sein und ein guter Schritt ist eben gleich nach der Installation den admin-Namen zu ändern und das Limit Login Attempts zu installieren.
    Euch beiden einen guten Wochenstart und eine hoffentlich sichere Blogwoche! ;)

    Beste Grüße, Alex

    11. Juni 2012
  14. Jürgen said:

    Moin

    Ich habe auch die brutale Version wie @Sven genommen. Einfach neue Namen anlegen, damit anmelden und Admin löschen.

    15. Juni 2012
  15. Alex said:

    Hi Jürgen

    Herzlich Willkommen auf offenesblog.de.
    Egal ob brutal oder nicht, hauptsache sicher! ;)
    Angenehmes Wochenende und beste Grüße

    Alex

    16. Juni 2012
  16. Jürgen said:

    Danke für die herzliche Begrüßung & wünsche einen guten Wochenstart. :)

    18. Juni 2012
  17. Alex said:

    Jürgen,

    hier wird man immer herzlich begrüßt. Ist ja schließlich ein “offenes” Blog und somit wird hier auch jeder mit offenen Armen empfangen! ;)
    Auch dir eine gute Woche,
    beste Grüße

    Alex

    19. Juni 2012
  18. Smolli said:

    Und wie recht du hast. Seit einiger Zeit versuchen wieder ein paar Trolle, primär aus dem Bereich der ehemaligen Ostblock-Staaten meinen Blog zu knacken. Irgendwie und irgendwo hatte ich aus Versehen mal einen Beitrag als Admin abgeschickt. Natürlich nicht der Name ‘Admin’, aber als Admin. Tja und jetzt kamen – verhindert durch Login Limit – die ersten Versuche mit meinem Admin-Namen. Echt pöse ;)

    Das hat mich aber dazu bewogen mal wieder komplett WP auf den neuesten Stand zu bringen, Gott sei Dank hat auch alles wunderbar geklappt. Admin-Name über DB geändert und Ruhe ist mal wieder, bis zu nächsten mal ;(

    Smolli

    1. September 2012
  19. Alex said:

    Hi Smolli

    und zuerst einmal herzlich Willkommen auf offenesblog.de!
    Ja, es ist erstaunlich wie oft versucht wird auf einem Blog einzudringen. Das wurde mir auch erst nach der Installataion von Login Limit bewusst.
    Dann hoffen wir mal, dass wir ungeknackt bleiben.

    Alles Gute dir und einen guten Wochenstart, Alex

    3. September 2012
  20. Gefahrenquelle schließen: WordPress-Login-Name für jeden sichtbar!…

    Am Wochenende meldete sich per E-Mail ein Leser und Blogger bei mir, um mir eine Frage bezüglich der Sicherheit in WordPress zu stellen. Wie ihr hoffentlich alle wisst, versuchen Hacker immer wieder fremde Blogs zu hacken. Da sie das meist mit automati…

    12. Dezember 2012
  21. Nico79 said:

    Oh, danke für die einfache und übersichtliche Anleitung.

    Ich habe jetzt (nach etlichen Jahren) mich an die Datenbank gewagt und den “admin” geändert. War ja gar nicht schwer und sind ja nur ein paar Klicks. Hätte ich das früher gewusst, hätte ich das schon viel eher geändert. ;)

    29. Oktober 2013
  22. Alex said:

    Hi Nico79

    Zuerst einmal herzlich Willkommen hier auf offenesblog.de!
    Es freut mich, dass ich dir mit dieser Anleitung helfen konnte, du dich an die Datenbank getraut hast und vor allem… dass alles geklappt hat! :)

    Beste Grüße und habe einen angenehmen Sonntagabend.

    3. November 2013
  23. […] nur eine untergeordnete Rolle. Alex vom Offenenblog berichtete erst kürzlich darüber wie man in nur wenigen Minuten über die Datenbank einen anderen Benutzernamen nutzen kann. Den Zugang ins Backend sichert man am besten zusätzlich mit Limit Login Attempts […]

    3. Mai 2018

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert