WordPress: Wie kann ich das Sicherheitsrisiko admin (ID#1) loswerden?

dice 1209417 1920
Bildquelle: Pixabay, Free-Photos

Der Site-Administrator namens admin wurde früher bei WordPress-Installationen automatisch als Standard-User mit der ID #1 erzeugt, und später noch eine Weile vorgeschlagen, als man den Namen bereits frei wählen konnte. Aus Sicherheitsgründen muss heute bei der frischen Installation einer aktuellen WordPress-Version ein Administrator-Name definiert werden. Aber es gibt noch zahlreiche WordPress-Sites in denen admin der oder einer von mehreren Administratoren ist.

Benutzernamen wie admin oder auch administrator sind bei automatisierten Loginversuchen beliebte Versuchsanordnungen. Es braucht in immer noch viel zu vielen Fällen dann nur noch das richtige Passwort um eine WordPress-Site zu knacken.

Wenn es mehrere Administratoren gibt, kann einer davon den admin löschen. Es sollte dabei sichergestellt sein, dass kein Benutzer oder Dienst auf die Anmeldedaten angewiesen ist.

Falls es neben diesem sonst keinen Administrator gibt, und der admin der Nutzer ist, als der Du grade angemeldet bist, hast Du die Berechtigung einen neuen Benutzer mit der Rolle Administrator zu generieren. Das funktioniert über Benutzer > Neu hinzufügen.

Der neue Administrator muss eine noch von keinem anderen Benutzer verwendete E-Mail-Adresse bekommen, wobei es notfalls auch reicht, wenn die Syntax gültig ist. Die Adresse wird nicht verifiziert, sofern man die Zugangsdaten nicht von WordPress übermitteln lässt (Achtung, bei einer nicht vewendeten E-Mail-Adresse unbedingt das Passwort richtig notieren, denn ohne gültige E-Mail-Adresse kannst Du WordPress ein vergessenes Passwort nicht zurücksetzen lassen). Sobald die ursprüngliche E-Mail-Adresse wieder frei ist, kann sie dann dem neuen Administrator zugeordnet werden.

Nachdem der neue Administrator generiert ist, das Dashboard mit Abmelden verlassen, und mit den Anmeldedaten des neuen Administrators wieder anmelden. Der alte admin kann nun gelöscht werden. Vor Löschen bestätigen die Eigenschaften aller Beiträge an den neuen Administrator übergeben.

admin-loeschen
alter-admin-loeschen

Anschließend in Dein neues Profil gehen, und dort (ggf) die provisorische E-Mail-Adresse durch die des vorherigen Administrators ersetzen. Die anderen Felder einfach leer oder lassen wie sie sind.

Hinweis: Anleitung ohne Gewähr. Vorher ein Backup der Datenbank machen. Neue Zugangsdaten an sicherem Ort notieren. Bei Unsicherheiten professionelle Unterstützung hinzuziehen.

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden. Die Angabe einer E-Mail-Adresse und eines Namens ist nicht erforderlich. Einen (Spitz)-Namen zu nennen wäre aber doch nett.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Sowohl angegebener Name als auch E-Mail-Adresse (beides ist optional, dafür werden alle Kommentare vor Veröffentlichung geprüft) werden dauerhaft gespeichert. Du kannst jeder Zeit die Löschung Deiner Daten oder / und Kommentare einfordern, direkt über dieses Formular (wird nicht veröffentlicht, und im Anschluss gelöscht), und ich werde das umgehend erledigen. – Mit hinterlassenen Kommentaren hinterlegte IP-Adressen werden nach zwei Monaten automatisch gelöscht

publicly queryable