Allzu häufig wird WordPress, aber auch andere Software mit dem Standard-Account „admin“ für die Administrator-Rolle angelegt. Und allzu gern wird dieser Benutzername beibehalten, denn:
Hier bin ich admin, hier darf ich’s sein!
Aber raten Sie mal, welcher Benutzername am häufigsten getestet wird, wenn ein Account geknackt werden soll?
Na?
Richtig.
Ist das gefährlich und wenn ja, warum?
Jein.
Es gibt keinen zwingenden Grund, auf den Benutzernamen „admin“ zu verzichten, ein sicheres Passwort genügt in der Regel, um Ihren Account zu schützen.
Accounts werden meistens mit der sogenannten Brute-Force-Methode angegriffen, etwas weniger martialisch heißt das, es wird einfach eine Liste mit Benutzername/Passwort-Kombinationen durchprobiert, in der Hoffnung, die richtige zu finden, bevor es langweilig wird. Moderne Rechner machen das automatisch und ziemlich schnell.
Um Zeit zu sparen wird sich der Angreifer in der Regel auf eine Liste der erfahrungsgemäß meistgenutzten Benutzernamen einschränken, für die er dann die Passwortmöglichkeiten durchspielt.
Der Benutzername „admin“ dürfte dabei wie gesagt mit großer Wahrscheinlichkeit ganz oben auf jeder Namensliste stehen. Gerade bei automatisierten Angriffen auf WordPress wird sogar häufig nur auf den Namen „admin“ getestet. Verwenden Sie also diesen Namen für Ihren WordPress-Account, hängt nun alles von der Stärke Ihres Passworts ab – und ein bisschen vom Zufall.
Warum also dem potentiellen Angreifer in die Hände spielen, wenn es doch durch nur geringen Aufwand vermeidbar ist?
Wollen Sie WordPress gerade installieren, achten Sie am besten gleich auf die Wahl eines originellen Benutzernamens. Sie haben bei WordPress die Möglichkeit, später unter einem anderen Namen öffentlich in Erscheinung zu treten, also seien Sie ruhig kreativ bei der Namenswahl.
Haben Sie bereits eine aktive WordPress-Installation, dann können Sie den Administrator-Account „admin“ im Nachhinein ändern. Für erfahrene Nutzer sollte dies kein Problem sein. Für alle anderen WordPress-Anwender sei im Folgenden kurz die Vorgehensweise erklärt.
So ändern Sie den Benutzernamen des Admin-Accounts
Einen einmal festgelegten Benutzernamen können Sie unter WordPress nicht ohne weiteres ändern. Deshalb bedarf es zunächst eines zweiten Accounts mit Administratorrechten, von dem aus dann der Benutzer „admin“ gelöscht werden kann.
Das tun Sie über den Menüpunkt
Benutzer » Neu hinzufügen.
Im darauf folgenden Formular tragen Sie
- den neuen Benutzernamen ein,
- eine E-Mail-Adresse, die nicht identisch ist mit der des admin-Accounts (Sie können sie später wieder ändern),
- ein möglichst starkes Passwort,
- weisen dem neuen Account die Administrator-Rolle zu.
Nachdem Sie den Benutzer hinzugefügt haben, loggen Sie sich aus und mit dem neu angelegten Benutzernamen wieder ein.
Dann öffnen Sie den Menüpunkt
Benutzer » Alle Benutzer.
Gehen Sie mit dem Mauszeiger über den „admin“-Eintrag und wählen Sie den nun auftauchenden „Löschen“-Link.
Jetzt haben Sie es fast geschafft. Weisen Sie nur noch die unter dem bisherigen Namen angelegten Beiträge dem neuen Benutzer-Account zu und bestätigen Sie den Löschvorgang.
Anschließend landen Sie wieder auf der Übersichtsseite aller Benutzer. Dort können Sie nun den neu angelegten Benutzer bearbeiten, zum Beispiel die E-Mail-Adresse ändern, einen Öffentlichen Namen anlegen usw.
Es ist empfehlenswert, einen Öffentlichen Namen zu wählen, der anders lautet, als Ihr Benutzername. Zur weiteren Auswahl stehen Vor- und Nachname sowie ein frei wählbarer Spitzname. Dadurch verhindern Sie, dass Ihr Benutzername publik wird, wenn Sie als Autor oder Kommentator in Erscheinung treten.
Das wäre geschafft, und schon ist Ihr WordPress-Account ein wenig sicherer.
