Kunden und Leser | Sicherheit

WordPress: Wie kann ich das Sicherheitsrisiko admin (ID#1) loswerden?

dice 1209417 1920

Der Site-Administrator namens admin wurde früher bei WordPress-Installationen automatisch als Standard-User mit der ID #1 erzeugt, und später noch eine Weile vorgeschlagen, als man den Namen bereits frei wählen konnte. Aus Sicherheitsgründen muss heute bei der frischen Installation einer aktuellen WordPress-Version ein Administrator-Name definiert werden. Aber es gibt noch zahlreiche WordPress-Sites in denen admin der oder einer von mehreren Administratoren ist.

Benutzernamen wie admin oder auch administrator sind bei automatisierten Loginversuchen beliebte Versuchsanordnungen. Es braucht in immer noch viel zu vielen Fällen dann nur noch das richtige Passwort um eine WordPress-Site zu knacken.

Wenn es mehrere Administratoren gibt, kann einer davon den admin löschen. Es sollte dabei sichergestellt sein, dass kein Benutzer oder Dienst auf die Anmeldedaten angewiesen ist.

Falls es neben diesem sonst keinen Administrator gibt, und der admin der Nutzer ist, als der Du grade angemeldet bist, hast Du die Berechtigung einen neuen Benutzer mit der Rolle Administrator zu generieren. Das funktioniert über Benutzer > Neu hinzufügen.

Der neue Administrator muss eine noch von keinem anderen Benutzer verwendete E-Mail-Adresse bekommen, wobei es notfalls auch reicht, wenn die Syntax gültig ist. Die Adresse wird nicht verifiziert, sofern man die Zugangsdaten nicht von WordPress übermitteln lässt (Achtung, bei einer nicht vewendeten E-Mail-Adresse unbedingt das Passwort richtig notieren, denn ohne gültige E-Mail-Adresse kannst Du WordPress ein vergessenes Passwort nicht zurücksetzen lassen). Sobald die ursprüngliche E-Mail-Adresse wieder frei ist, kann sie dann dem neuen Administrator zugeordnet werden.

Nachdem der neue Administrator generiert ist, das Dashboard mit Abmelden verlassen, und mit den Anmeldedaten des neuen Administrators wieder anmelden. Der alte admin kann nun gelöscht werden. Vor Löschen bestätigen die Eigenschaften aller Beiträge an den neuen Administrator übergeben.

admin-loeschen

alter-admin-loeschen

Anschließend in Dein neues Profil gehen, und dort (ggf) die provisorische E-Mail-Adresse durch die des vorherigen Administrators ersetzen. Die anderen Felder einfach leer oder lassen wie sie sind.

Hinweise: Anleitung ohne Gewähr. Bei Unsicherheiten professionelle Unterstützung hinzuziehen. Vorher ein Backup der Datenbank machen. Neue Zugangsdaten an sicherem Ort notieren.

weiter schmökern

Schreibe einen Kommentar

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden.

Deine E-Mail-Adresse wird nicht veröffentlicht.