Dieser Tipp ist ein echter Klassiker unter den WordPress-Tipps: Gebt eurem Adminaccount nicht den Usernamen admin. Das gilt grundsätzlich für alle Systeme, aber hier geht es um WordPress. Tatsächlich kommen uns immer noch regelmäßig WordPress-Systeme unter die Finger, bei denen es den Adminaccount „admin“ gibt. Manche davon sind einfach schon so alt, dass bei der Installation noch gar nicht nach einem Usernamen gefragt wurde. Aber auch wenn WordPress schon lange bei der Installation nach dem Usernamen fragt, nehmen viele einfach das für sie gerade naheliegende: „Ein Login für den Adminaccount? Naja, admin – oder?

Warum das keine gute Idee ist? Weil man Brute Force Angriffe damit erleichtert, schließlich ist damit einer der beiden Bestandteile für den Login schon bekannt. Natürlich ist ein anderer Loginname nicht die alleinige Lösung für das Problem, sondern nur ein kleiner Bestandteil. Weitere Maßnahmen sind hier zum Beispiel:

  • fail2ban: Damit werden fehlgeschlagene Login-Versuche protokolliert und falls es innerhalb eines bestimmten Zeitraums (meist 5 bis 10 Minuten) von einer einzelnen IP-Adresse aus mehr als die zugelassene Anzahl an Fehlversuchen gab, wird diese IP mindestens temporär komplett geblockt. Sehr effektive Maßnahme, die wir auf unseren Servern nutzen.
  • Verwendung eines zweiten Faktors: Zusätzlich zum Passwort wird beim Login ein weiterer Faktor abgefragt, das kann je nach System ein Code aus einer E-Mail, einer SMS oder ein berechneter Code aus einer Authentificator App sein. Auch hier gibt es verschiedene Möglichkeiten, das in WordPress umzusetzen – genug für einen noch folgenden eigenen Beitrag dazu.

Aber zurück zum kleinen Teil Accountname. Wenn in deinem WordPress also der Adminaccount immer noch admin als Loginnamen verwendet – wie kannst du es ändern? Wie so oft bei WordPress gibt es dafür mehrere Möglichkeiten:

1. Direkt in der Datenbank – für Profis und solche, die es werden wollen

WordPress speichert seine Daten in einer Datenbank, fast immer handelt es sich dabei um eine MySQL- oder MariaDB. Man kann auf diese Datenbank auch direkt zugreifen, an WordPress vorbei, und die darin gespeicherten Daten ändern. Das sollte man aber nur tun, wenn man genau weiß, was man da tut und es ein aktuelles Backup gibt.

Wir empfehlen diesen Weg ausdrücklich nicht für produktiv laufende Websites, daher gibt es hier auch keine Schritt-für-Schritt-Anleitung. Diejenigen, die entsprechendes WordPress-Wissen haben, brauchen eine solche Anleitung nämlich nicht 😉 Wer es trotzdem riskieren will, wird unter Garantie bei der allwissenden Müllhalde Google fündig.

2. Mit WordPress-Bordmitteln

Es ist auch gar nicht nötig, direkt in der Datenbank zu arbeiten, es gibt einen einfachen Weg mit WordPress-Bordmitteln:

  1. einen neuen Admin-Account mit einem nicht so leicht zu erratenden Namen anlegen,
  2. mit diesem neuen Admin-Account einloggen,
  3. den alten Adminaccount löschen, dabei aber nicht vergessen, bei der Frage, was mit den Beiträgen des Admins passieren soll zu wählen, dass die an den neuen Adminuser übertragen werden sollen – sonst sind die nämlich weg.

Also auch hier: Unbedingt darauf achten, dass es ein aktuelles Backup gibt.

3. Mit einem Plugin

In der Datenbank Dinge zu ändern ist nichts für dich? Du bist dir grundsätzlich unsicher, wenn du irgendwas löschst und befürchtest, irgendeinen Haken falsch zu setzen? Kein Ding, es gibt dafür natürlich auch Plugins, zum Beispiel Easy Username Updater.

  1. Plugin im Backend installieren und aktivieren,
  2. zu den Plugin-Einstellungen gehen (unter Benutzer → Username Updater),
  3. den entsprechenden Account in der Liste suchen und auf „update“ klicken,
  4. den neuen Accountnamen eingeben und mit „Update Username“ das Formular abschicken,
  5. kein 5. – fertig 😊

Natürlich solltest du den neuen Usernamen nicht vergessen und den Eintrag in deinem Passwortmanager entsprechend aktualisieren. Außerdem kannst du das Plugin nach getaner Arbeit auch wieder deaktivieren und löschen.

Viele Wege führen ans Ziel

Wie fast immer bei WordPress: Man hat verschiedene Wege, um das gewünschte Ziel zu erreichen, es gibt die freie Wahl. Wir würden für diesen Fall soweit es möglich ist immer zur Plugin-Lösung raten, da es die komfortabelste Lösung ist.

Aber egal auf welchem Weg: Denk an deine Backups – oder lass jemanden für dich daran denken 😉

Nichts verpassen: Unser Newsletter

Jede Woche neues von Leo Skull, zu WordPress und dem Web allgemein, kostenlos, unverbindlich und direkt in deine Inbox. Einfach abonnieren:

Picture of Carsten

Carsten

Gründer, Gesellschafter und Geschäftsführer von Leo Skull, Jahrgang 1974, erster Rechner war ein Atari 800XL, hat sich noch per Akustikkoppler in Mailboxen rumgetrieben, experimentiert viel mit seinen Haaren und steckt Klemmbausteine zusammen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

(*) Dies ist ein Affiliate-Link. Wenn Du über einen Affiliate-Link einkaufst, dann erhalten wir ein paar Prozent Provision – für Dich ändert sich aber nichts am Preis.