WordPress – Gib falschen Anmeldeversuchen keine Chance

Es kommt ja immer wieder vor, dass sich halbseidene Internetnutzer in einem Blog anmelden wollen. Ich vermute einfach mal, dass da auch Hacker dabei sind, die über eine automatisierte Methode versuchen, Administrator-Zugriff auf einen Blog zu erlangen. Was dann passieren kann, kann sich vermutlich jeder Betreiber einer Webseite selbst denken.

Ich hatte in der Vergangenheit – es ist schon einige Zeit her – immer wieder das Problem, dass jemand versuchte, sich an meiner Webseite mit dem Konto “admin” anzumelden. Ich habe dann versucht, die Sache in den Griff zu bekommen, indem ich mit einem Plugin die Anmeldeversuche begrenzt habe.

Derlei Plugins gibt es einige. Wirksame Plugins sind u.a. der “User Locker”, der nach einer konfigurierten Anzahl von fehlgeschlagenen Anmeldeversuchen das Konto einfach mal sperrt und den Administrator informiert, oder “Limit Login Attempts”, das nach einer vorgeschriebenen Anzahl ungültiger Versuche in einem bestimmten Zeitraum die IP-Adresse, von der die Versuche stammen, blockiert.

Damit gingen die fehlerhaften Anmeldeversuche schon einmal drastisch zurück. Aber ich wollte ja, dass es gar nicht soweit kommt, dass der Administrator erst wieder freigeschaltet werden muss. Ich habe festgestellt, dass es sich einzig und allein um das Konto “admin” handelt.

Man achtet ja nicht gleich drauf, aber das Konto ist eine Standard-Vergabe von WordPress höchst selbst. In den Benutzern der WordPress-Installation taucht der auch auf. Dort kann aber keine Änderung getätigt werden. Aber man sollte unbedingt den “admin” umbenennen. Und sei es auf “Rumpelstilzchen”. Wie macht man das?

Im Allgemeinen sollte bekannt sein, wie der MySQL-Server, die Datenbank und die Login-Daten lauten. Man meldet sich also mit diesen Daten an PHPMyAdmin an. Dann verbindet man sich zur Datenbank und sucht dort die Tabelle “users”. In dieser sollte man die Spalte “user_login” finden, in der dann eben auch das Konto “admin” auftauchen sollte. Und dieses “admin” kann man ganz einfach in irgendetwas anderes ändern, eben z.B. in das “rumpelstilzchen”.

Nach dem Speichern ist es nur noch möglich, sich mit dem neuen Anmeldenamen anzumelden. Also statt “admin” gehört dann das “rumpelstilzchen” in das Feld “Benutzername” im Anmeldebildschirm.

Wichtiger Hinweis:

Die Änderungen in den Datensätzen der MySQL-Datenbank sollten Sie nur durchführen, wenn Sie sich sicher genug fühlen. Andernfalls holen Sie sich Hilfe. Und ändern Sie nichts an der Datenbank, ohne vorher ein Backup anzufertigen. Das geht im Normalfall direkt im PHPMyAdmin oder man nutzt ein Hilfsmittel wie den MySQL Dumper.

7 Kommentare

  1. Moin Henning,
    Das muss man nur ausführen, wenn man bei der Installation den Fehler gemacht hat, den ersten user “admin” zu nennen. Habe da schon einen anderen Namen angegeben und in der DB erscheint gar kein “admin” als user. Kann sein, das du die automatische Installation von 1blu hast, das die das automatisch so eingestellt haben.

    Gruß
    Thomas

    PS: probiere als “Wordfence”, das meldet die Angriffe automatisch und blockt auch die IP. Außerdem scannt es deine Installation nach Veränderungen und so weiter.

    1. Hallo Thomas,

      nein, es ist eine selbst ausgeführte Installation. Ich habe aber läuten hören, dass die WordPress-Installation irgendwann so abgeändert wurde, dass kein “admin” standardmäßig angelegt wird.

      Dein PS unterschreibe ich gern. Wenn du hin und wieder liest, was ich so schreibe, ist dir sicher aufgefallen, dass ich das bereits einsetze. Das habe ich nämlich hier und hier bereits geschrieben.

      Aber du hast Recht, man muss sich da schon absichern. Und das Umbenennen des “admin” ist ein probates Mittel. Oder sagen wir mal: “war”.

  2. Hallo zusammen, was macht man, wenn man sich versehentlich als Admin mit “Limit Login Attempts” nach Fehlanmeldung selbst ausgesperrt hat. Gibt es irgendwo eine Datei oder einen Datenbankeintrag? Ich konnte das Problem mittels Handy ohne WLAN lösen, aber irgendwo auf dem Server muss die Info doch stehen, oder?

    Gruß

    Klaus

    1. Hallo Klaus,

      mir ist das auch schon passiert. Mir ist keine Datei bekannt, in der da was stehen würde. Denn es handelt sich um einen Datenbank-Eintrag. Den könnte man manuell umschreiben. Aber wieso setzt du dein Kennwort nicht einfach zurück? Eine Email-Adresse hast du doch als Admin sowieso angegeben.

      Ist nur so eine Idee.

  3. Ich merke auch das ich mittlerweile immer mehr bösartige Anmeldeversuche bekomme, diese sehe ich im Dashboard sind 10
    blockierte derzeit und gleich daneben steht mit Akismet kannst du deinen Blog vor Spam schützen. In welchen Zusammenhang ist es gemeint (Jetpack Plugin). Leider habe ich mich zu sehr an admin gewöhnt eigentlich möchte ich es gerne beibehalten.. Schade vielleicht versuche ich die Plugins, welche die Anmelde versuche limitieren..

Schreibe einen Kommentar

Mit dem Nutzen des Kommentarbereiches erklären Sie sich mit der Datenschutzerklärung einverstanden.