WordPress und Sicherheit: warum man Standardadmin löschen sollte

17 Kommentare

Hier ein kleiner Hinweis, warum man den Standardadmin-Account bzw. den Standard-Admin-Namen (admin) in WordPress nicht nutzen sollte:

8 failed login attempts (2 lockout(s)) from IP: xxx.xxx.xxx.xxx

Last user attempted: admin

IP was blocked for 20 minutes

Und das hier ist nicht die erste Meldung, die ich in den letzten Wochen bekommen habe. Aber nicht nur admin, sondern wp-admin oder wp_admin sind beliebte Ziele solcher “Loginversuche”. Als zusätzliche Maßnahme kann man per .htaccess solche IPs von der kompletten Website sperren:

order allow,deny
deny from xxx.xxx.xxx.xxx
allow from all

Siehe auch WordPress und Sicherheit: kleine Zusammenfassung.

Wir arbeiten seit 20 Jahren mit WordPress und bieten diverse Dienst­leistungen rund um das System an. Kontaktiere uns für weitere Informationen oder für ein Angebot.

Verwandte Beiträge:

Über Vladimir

Vladimir Simović arbeitet seit 2000 mit HTML & CSS und seit Januar 2004 mit WordPress. Im Laufe der Jahre hat er diverse Fachbücher und Fachartikel publiziert.

Schlagwörter: ,

17 Kommentare

  1. Darum gehört der komplette Admin Bereich zusätzlich noch hinter einen Schutz gepackt. Bei den meisten Blogs darf sich doch so oder so keiner registrieren.

  2. Ui, hab mir da noch gar keine Gedanken darüber gemacht.

    Kann man den Namen einfach ändern? Was passiert mit den Artikel usw., die unter diesem Namen geschrieben wurden?

  3. Am besten den Adminbereich mit einem zusätzlichen .htaccess Passwort schützen und nur bestimmte IP Bereiche überhaupt für einen Login zulassen. So kann man in 99% der Fälle einfach die IPs seines eigenen Providers erlauben und alle anderen sperren. Damit hat man dann schon mal weit über 95% der Angriffe auf den Adminlogin vereitelt.

  5. Hmm, ich hab zwar selber da ne Page, aber versteh die Logik hinter der Erklärung wie oben beschrieben leider gar nicht, maybe kanns ja mal wer genauer erklären.

    Das man als admin den namen admin als accountname nicht eingeben soll, versteht sich doch eigentlich von selbst..

    Ich versteh auch aktuell nicht warum man mit dem wordpress account, mit dem man auch logischerweise die admin funktionen hat, auf der page nichts veröffentlichen sollte.

    Einlog Probs hatte ich echt noch nie…..

    LG
    s29

  6. Hallo!

    Bei mir sieht es nicht besser aus…und in letzter Zeit sind die versuchten Zugriffe sogar noch angestiegen!!!

    Die IPs sind alle durch die Bank über türkische Internetanbieter gekommen…weiss nicht was es da aufsich hat…

    MfG

    Csaba

  7. ähhhhh…. wo seh ich diese Meldungen, wo sich wer versucht hat wie einzuloggen?

    Ich würde überhaupt gern statt wp-login oder wp-admin was anderes benützen. Geht das?

  8. Hallo!

    Mein Kommentar von Gestern hat auch die Falschanmelder weiter “Beflügelt” und es ist innerhalb eines Tages zu mehreren Fehlanmeldungen gekommen…

    Ich verstehe diese Leute einfach nicht…als ob es in einem (meinem) Blog etwas so wichtiges zu holen wäre!!!

    MfG

    Csaba

  10. Hallo perun,

    ich habe den admin gelöscht, bekomme aber weiterhin Benachrichtigungen über neue Kommentare an die Mailadresse, die der admin hatte. Die Mails kommen jetzt also doppelt. Einmal an die Adresse des neuen admins (der hat eine neue Mailadresse bekommen) und an die alte Mailadresse.

    Weißt du, wie ich das beheben kann?

    Grüße, Gerald

  11. @Csaba Nagy

    Ich verstehe diese Leute einfach nicht…als ob es in einem (meinem) Blog etwas so wichtiges zu holen wäre!!!

    Im Blog ist vielleicht nichts zu holen, aber Deine Site/Webaccount kann als Spamschleuder umgebaut werden, oder als Basis für einen Angriff auf den Provider genutzt werden usw. 😯

  12. […] der Star bei… bit.ly/qa7tuVWordPress und Sicherheit: warum man Standardadmin löschen sollte bit.ly/rkXmZHCynthia Nixon vor Hochzeit mit Lebensgefährtin – “Wir heiraten” – […]

  13. Bin auch ein Verfechter des zusätzlichen Schutzes durch eine htpasswd-Authentifizierung. Selbst ein simples Passwort sorgt an dieser Stelle für ein großes Plus an Sicherheit …

    1. @Daniel,

      halte ich nicht viel von, weil die .htaccess bei jedem Website-Aufruf ausgeführt wird, je umfangreicher die ist um so mehr muss der Server auch leisten. Da finde ich persönlich ein neues Admin-Account mit einem ordentlichen Passwort in Verbindung mit Limit Login Attempt viel pfiffiger.

  14. Die Betonung müsste aber darauf liegen “Server Last”. Die Daten werden nicht, wie bei anderen Pagespeed relevanten Optionen zwischen Client und Server übertragen. Wenn der Server also potent genug ist, macht die Größe keinen gravierenden Unterschied. Wenn es bspw. der billigste von 1blu, domaingo oder online-speicher ist, dann wirds vielleicht einen unterschied machen.

    1. @Viktor,

      ich habe mal in einem meiner Blogs so ca. 20 Weiterleitungen (Unterordner → Unterordner) eingerichtet und das war spürbar beim Seitenaufbau.

  15. @Perun: Richtig! Ich habe bei mir diese Dinge (Authentifikation, Rewriterules usw.) direkt in der Konfiguration für den virtuellen Host abgelegt und nutze selbst kein htaccess. Ich gehe aber davon aus, dass die überwiegende Masse der WordPress-Nutzer eher nicht direkt in die Apache-Konfigurationen eingreifen werden und mit einer htaccess-Datei arbeiten.

    Wie oben (11) schon angerissen ist das schnell angelegt und aus meiner Sicht ein prima Schutz. Natürlich macht ein “admin” keinen wirklichen Sinn, wenn man als Login auch “bernd23” nehmen kann. Und sichere Passwörter sind im WWW sowieso ein Muss.

    Das Plugin Limit Login Attempts habe ich bei Projekten im Einsatz, bei denen eine doppelte Passwortabfrage für die Redakteure “als zu umständlich” verworfen wurde. Es arbeitet klasse!

Kommentare sind geschlossen.