Viele WordPress Admin Accounts sind nicht ausreichend gegen Angriffe gesichert.
Der Anteil der mit WordPress erstellten Websites steigt beständig. Das ist sehr begrüßenswert, birgt aber auch Risiken. Die große Verbreitung macht WordPress auch für Hacker interessant. Sichern Sie Ihren WordPress Admin Account.
Benutzername: admin
Passwort: ein&Hoffentlich_sehrSicheres7654passwort
Ein WordPress Admin Account wird viel zu oft mit dem Benutzernamen ADMIN gesichert. Dies liegt unter anderem daran, dass WordPress diesen Benutzernamen automatisch vorschlägt. Angreifer wissen dies natürlich und nutzen diese „Sicherheitslücke“:
Mithilfe eines Verzeichnisses der am weitesten verbreitenden Passworte versuchen sie, sich Zugang zu verschaffen. Mit dem bekannten Usernamen ist ja nur noch die Hälfte des Rätsels zu knacken/hacken. Der Angreifer probiert einfach solange mit verschieden Passwörtern sich auf der angegriffenen Site anzumelden, bis er erfolgreich ist (Brut Force Attack).
So schützen Sie sich:
WordPress Admin Account ändern
Das Problem – Teil1: Sie betreiben Ihre Website mit dem CMS WordPress schon über einen längeren Zeitraum. Zahlreiche Artikel/Beiträge wurden von Ihnen verfasst. Als Autor der Beiträge wurde somit der Administrator-Account mit dem Benutzernamen admin verwendet. Würden Sie ohne Vorbereitung Ihren WordPress Account admin löschen, würden Sie die ihm zugeordneten Beiträge und Kommentare verlieren.
Das Problem – Teil2: Sie müssen– bevor Sie Ihren admin Account löschen – einen neuen Account mit Administrator-Rechten einrichten, ansonsten können Sie WordPress nicht mehr als Administrator pflegen.
Es gibt einen einfachen Weg den “admin” Benutzer zu löschen und dabei diesem Account zugeordnete Beiträge und Kommentare sicher an den neuen Benutzer zu übertragen.
Schritt 1 – Neuen Benutzer anlegen
Mit dem Accout admin einloggen in das WordPress Backend und dort auf den Menüpunkt “Benutzer” klicken.
Ganz oben in der Maske auf den Button “Neu hinzufügen” klicken.
Das Formular mit den Daten des neuen Benutzers ausfüllen.
Wichtig: Im Passwortfeld ein sicheres Passwort eintragen.
Empfehlung: Ein Passwort sollte mindestens zwölf Zeichen haben – das gilt natürlich nicht nur für einen WordPress Admin Account. WordPress begnügt sich bereits mit sieben Zeichen. Ein sicheres Passwort sollte große sowie kleine Buchstaben, Ziffern und Sonderzeichen beinhalten.
Eine Aufzählung von Passwörtern, welche Sie auf gar keinen Fall verwenden sollten, finden Sie am Ende dieses Artikels.
Nicht vergessen: Als letztes sollte dem neuangelegten Benutzer die Rolle “Administrator” zugewiesen werden. Abschließend auf den Button “Neuen Benutzer hinzufügen” klicken.
Nachdem der neue Benutzer (mit Administrator-Rechten) erfolgreich angelegt wurde, loggen Sie aus und anschließend mit dem soeben neu angelegten Benutzer wieder ein.
Dieser Schritt ist notwendig: Angemeldete Benutzer kann man nicht löschen 😉
Schritt 2 – User admin löschen
Nach dem erfolgreichen Wiedereinloggen mit dem soeben angelegtem neuen Benutzer rufen wir den Menüpunkt “Benutzer” erneut auf. In der dort aufgelisteten Übersicht der Benutzer erscheint bei Roll-Over mit der Maus die Schaltfläche “Löschen”.
Löschen Sie den Benutzer admin.
Schritt 3 – Beiträge und Kommentare übertragen
Anschließend erscheint nebenstehende Ansicht. Es wird abgefragt welchem Benutzer die unter admin angelegten Beiträge und Kommentare übertragen werden sollen.
Im DropDown-Menü den neu angelegten Benutzer auswählen.
Mit Klick auf “Löschen bestätigen” wird der Vorgang abgeschlossen.
Nachtrag 23.01.2014
Das Online Magazin t3n hat kürzlich auf seiner Website einen Artikel veröffentlicht:
Kleine Übersicht der schlechtesten/unsichersten Passwörter
Rang | Passwort | |
01 | 123456 | |
02 | password | |
03 | 12345678 | |
04 | qwertz | |
05 | abc123 | |
06 | 123456789 | |
07 | 111111 | |
08 | 1234567 | |
09 | iloveyou | |
10 | adobe123 | |
11 | 123123 | |
12 | sunshine | |
13 | 1234567890 | |
14 | letmein | |
15 | photoshop | |
16 | 1234 | |
17 | monkey | |
18 | shadow | |
19 | 12345 | |
20 | password1 | |
21 | princess | |
22 | azerty | |
23 | trustno1 |
Vielen dank für die Informationen. Es war ziemlich hilfreich.
Gruß Anna
Hallo Thorsten, vielen Dank für diese Anleitung, hat alles super geklappt! War ja auch idiotensicher erklärt! 🙂 LG,Asti
Ahoi Astrid,
wunderbar dass alles gut geklappt hat & Du jetzt ein sicheres WordPress Backend hast.
Liebe Grüße aus Hamburg,
Thorsten
[…] Eine der häufigsten Ursachen von gehackten WordPress-Accounts sind schlechte, sprich: zu schwache Passwörter. Bei der Verwendung von unsicheren Passwörtern machen Sie Ihre Website anfällig für sogenannte >> Brute-Force-Attacken. Um die Verwendung von sicheren Passwörtern zu verbessern, hat WordPress 3.7 den Passwort-Monitor zur Bewertung von Passwörtern aktualisiert. Anmerkung: Wirklich gut wird es, wenn WordPress beizeiten bei der Anlage eines neuen Admin-Accounts nicht mehr standardmäßig “admin” als Username vorschlägt, eines der aktuell größten Risikofaktoren bei Hackerangriffen. Sie erfahren hier, wie Sie gegebenenfalls Ihren WordPress Admin Account ändern. […]