WP Care –

I care for your WordPress!

Seit einiger Zeit sehen sich die Logins viel­er Word­Press-Instal­la­tio­nen mas­siv­en Angrif­f­en aus­ge­set­zt. Dabei wer­den vor allem der Stan­dard-Login­name oder Vari­anten des­sel­ben wie admin, admi­nad­min oder Admin­is­tra­tor aus­pro­biert. Natür­lich ist der beste Schutz gegen solche Angriffe ein starkes Pass­wort. Einen gewis­sen zusät­zlichen Schutz bietet aber auch ein ungewöhn­lich­er Login­name. Oft wird emp­fohlen, im Back­end unter einem anderen Login­na­men einen neuen Account mit Admin-Recht­en anzule­gen und den User admin danach zu löschen. Warum das nicht aus­re­icht und was man stattdessen tun kann, möchte ich in diesem Artikel disku­tieren.

Das Prob­lem beste­ht näm­lich darin, dass ein Angreifer auch den neuen User­na­men ausle­sen kann. Dafür gibt es zwei Möglichkeit­en. Ein­er­seits kann ein Angreifer bei vie­len Blogs den User­na­men aus dem Quell­code eines Blog­beitrags ausle­sen, wenn der Blog­be­treiber mit diesem User­na­men blog­gt oder kom­men­tiert. Der Grund dafür ist, dass der User­name, mit dem geblog­gt wird, stan­dard­mäßig von Word­Press als Teil ein­er CSS-Klasse aus­gegeben wird. Das kön­nen Sie ver­hin­dern, indem Sie eine Funk­tion in die functions.php des Themes ein­fü­gen, die die Aus­gabe des soge­nan­nten com­ment-author-name ver­hin­dert, oder indem Sie diese Aus­gabe mit dem Plu­g­in Declut­ter Word­Press unter­drück­en. Generell ist zudem zu empfehlen, nicht mit dem Admin-Account zu bloggen und zu kom­men­tieren.

Aber selb­st wenn Sie diese Aus­gabe Ihres Login­na­mens im CSS unter­drückt haben oder nicht als Admin bloggen oder kom­men­tieren, bleibt der Login­name des Admins ausles­bar, näm­lich über den URL http://ihredomain.de/?author=1. Schuld daran ist, wie auch bei der Aus­gabe des Login­na­mens in der oben genan­nten CSS-Klasse, die Vari­able user_nicename in der Tabelle wp_users — gegebe­nen­falls mit einem anderen Prä­fix — die Word­Press stan­dard­mäßig auf den gle­ichen Wert set­zt wie den eigentlichen Login­na­men, der in der Vari­able user_login in der­sel­ben Tabelle zu find­en ist.

Die Lösung des Prob­lems ist nun denkbar ein­fach. Sie müssen nur die Vari­able user_login in der Tabelle wp_users auf einen anderen Wert set­zen als den user_nicename. Dafür ist lediglich ein klein­er direk­ter Ein­griff in die Word­Press-Daten­bank notwendig, den Sie in der Regel über das Webin­ter­face php­myad­min durch­führen kön­nen, das die meis­ten Hoster zur Ver­fü­gung stellen. Alter­na­tiv kön­nen Sie auch das Plu­g­in Admin­er ver­wen­den, das Ihnen ein Mini-php­myad­min inner­halb des Word­Press-Back­ends zur Ver­fü­gung stellt. Eine nicht mehr ganz frische, aber den­noch immer noch gute Anleitung zur Bedi­enung von php­myad­min hat Jens Fern­er erstellt. Sie soll­ten jedoch vor dieser Änderung unbe­d­ingt ein Back­up der Daten­bank anle­gen! Nach der Änderung kön­nen Sie sich mit Ihrem neuen Admin-User­na­men ein­loggen und mit http://ihredomain.de/?author=1 über­prüfen, dass der dort angezeigte Name nun wirk­lich nicht mehr der Login­name ist. Diese Änderung hat kein­er­lei neg­a­tive Auswirkun­gen auf die Funk­tion­al­ität von Word­Press, bietet aber einen zusät­zlichen Schutz vor Angrif­f­en auf Ihren Word­Press-Login.

Wichtig: Sie müssen unbe­d­ingt darauf acht­en, dass auch der Spitz­name, der im Back­end set­zbar ist, nicht mit dem Login­na­men übere­in­stimmt. Son­st kann der Login­name immer noch aus­ge­le­sen wer­den, beispiel­sweise aus der Vorstel­lung des Autors auf http://ihredomain.de/author/autorenname.

Haben Sie Fra­gen zu diesem Vorge­hen, oder benöti­gen Sie Hil­fe? Ich unter­stütze Sie gern!

Bitte beachten Sie: Eine Angabe von Name und Mailadresse ist zum Kommentieren nicht erforderlich!

Eine Antwort zu “Wie man zuverlässig verhindert, dass der Loginname bei WordPress ausgelesen werden kann”

  1. […] hat schon vor eini­gen Monat­en einen aus­führlichen Artikel dazu ver­faßt, den ich hier noch um eine neue Erken­nt­nis ergänzen möchte. Kurz: Er rät dazu, den […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Zum Menue Zum Inhalt

Impressum

last modified: 04/14/2013 by WP Care

Website Malware Scan