In schöner Regelmäßigkeit landen WordPress-Fragen bei mir und was ich tatsächlich immer noch ebenso regelmäßig sehe: WordPress-Admins, die „admin“ heißen. Inzwischen kann man bei der Installation von WordPress schon direkt einen anderen Usernamen setzen, aber da draußen sind gefühlt noch unendlich viele WordPressen mit Adminusern, die admin heißen.
Dabei ist es tatsächlich sehr leicht, das zu ändern, es braucht auch keine Plugins dafür und man muss auch nicht in der Datenbank rumfuhrwerken, wie es recht häufig vorgeschlagen wird. Es geht viel einfacher:
- neuen Adminuser anlegen, der einen anderen Usernamen als „admin“ bekommt
- Ausloggen und mit dem neuen Adminuser einloggen
- den alten Adminuser löschen und dabei auswählen alle Inhalte auf den neuen Adminuser (oder einen anderen Nutzer) zu übertragen
Fertig. Ist nicht sonderlich schwer. Klar, wenn das Passwort sicher genug ist, dann laufen Brute-Force-Attacken auch ins Leere, wenn man den Nutzernamen bei der Attacke schon kennt. Aber man muss es den ganzen Bots ja nicht unnötig leicht machen, die den ganzen Tag nur versuchen in irgendwelche WordPress-Systeme reinzukommen ??♂️
Vor allem, da wirklich sichere Passwörter auch nicht immer verwendet werden. Dabei gibt es inzwischen doch wirklich reichlich Passwort-Manager, die einem das Merken der Passwörter abnehmen (okay, ein Passwort muss man sich dann immer noch merken). Wenn man dann noch den Login mit einem zweiten Faktor absichert, dann kann schon nicht mehr so viel schief gehen.
Beitragsbild von Kevin Phillips via Pixabay
