Sicherheitslücke WordPress Administrator ID

Ändern Sie die Identifikationsnummer

Der WordPress Administrator Account ist der am häufigsten angegriffene Account einer WordPress Seite – wenig verwunderlich, schließlich werden über ihn alle Funktionen einer Domain gesteuert. Daher ist es umso wichtiger, dass die Sicherheit dieses Benutzerkontos so hoch ist wie nur möglich. Das Kölner eLancer-Team verrät Ihnen, wie Sie Ihrem Administrator zu mehr Sicherheit verhelfen und so Hackerangriffen den Wind aus den Segeln nehmen.

VON DER WORDPRESS ADMINISTRATOR ID ZUM BENUTZERNAMEN

Wenn es jemand auf Ihre WordPress Seite abgesehen hat, ist der Weg über den WordPress Administrator der beste, um Schaden anzurichten. Um sich als Admin in Ihrem Backend einzuloggen, muss ein Hacker an den Benutzernamen und das Passwort Ihres Administrators kommen. Das ist leider leichter, als man es sich vorstellen mag, denn mit den richtigen Tools ist der Benutzername schnell ermittelt. Das liegt daran, dass WordPress lange Zeit dem automatisch erstellten Administrator einer Seite immer eine bestimmte Benutzer-ID zuwies: die 1. Das ist die Standard-Nummer für jenen Administrator, der mit der Einrichtung einer neuer WordPress Installation automatisch erstellt wird. Der Weg von der Admin ID zum Benutzernamen ist nun nicht mehr weit, denn durch einen simplen URL-Zusatz kann man sich den Namen hinter einer Benutzer-ID anzeigen lassen – und somit auch ganz einfach den Benutzernamen des Admins herausfinden, wenn die Standard-Einstellung nie geändert wurde:

http://www.beispielsdomain.de/?author=1

führt zu

http://www.beispieldomain.de/author/benutzername

Dieser kleine Trick zeigt auch schnell, warum der Benutzername NICHT admin sein sollte – denn dann servieren Sie sich auf dem Silbertablett. Geben Sie dem Administrator daher einen weniger offensichtlichen Namen.

DARUM SOLLTEN SIE DIE WORDPRESS ADMIN ID ÄNDERN

Wer an den Benutzernamen gekommen ist, hat schon fast die Hälfte des Weges in Ihr WordPress Backend geschafft. Jetzt fehlt nur noch das Passwort – das hoffentlich sehr sicher ist. Damit Sie es Unbefugten nicht leichter machen, in Ihr CMS zu gelangen, sollten Sie die automatisch angelegte WordPress Admin ID ändern. Wichtig ist dabei, dass Sie dabei eine Identifikationsnummer wählen, die eher zufälligen Charakter hat und sich im mehrstelligen Bereich befindet. Je höher die Nummer, desto mehr IDs müssten über die obenstehende Methode abgefragt werden, um zu einem Ergebnis zu gelangen. Jetzt lässt sich ohne weiteres nicht mehr unterscheiden, welches nun die Admin ID ist und welche „bloß“ zu einem Redakteur gehört.

WORDPRESS ADMIN ID ÄNDERN VIA MYSQL / PHPMYADMIN

  1. Erstellen Sie ein komplettes Backup Ihrer Domain.
  2. Loggen Sie sich über Ihr MySQL Command Line oder Ihr phpMyAdmin Konto in Ihre WordPress Database ein
  3. Um die automatisch generierte WordPress Admin ID zu ändern, fügen Sie die folgende Zeile ein:

    UPDATE wp_users SET ID = WHERE ID = 1;

    SET ID entspricht dabei der neuen Identifikationsnummer für Ihren Administrator, der in der wp_users Datei hinterlegt ist.

  4. Um auch alle benutzerrelevanten Metadaten in der wp_usermeta Tabelle anzupassen, fügen Sie noch eine weitere Zeile ein:

    UPDATE wp_usermeta SET user_id = 2125 WHERE user_id = 1;

  5. Das war es auch schon. Jetzt hat der WordPress Admin statt der 1 die ID 2125 erhalten. Alle mit dem Benutzer verknüpften Daten wurden angepasst.

KONFLIKTPOTENTIAL: WORAUF SIE BEIM ÄNDERN DER WORDPRESS ADMIN ID ACHTEN SOLLTEN

Denken Sie daran: Jedem weiteren Benutzer wird automatisch eine WordPress Benutzer ID zugewiesen, beginnend mit der Nummer 2. Wenn Sie die WordPress Admin ID ändern, sollten Sie also eine ID wählen, die noch nicht vergeben ist. Diese Zahl muss also höher sein, als die Anzahl der eingerichteten Benutzer in Ihrem CMS. Ziehen Sie bei der Zuweisung auch in Betracht, dass mit der Zeit weitere Benutzer hinzukommen können, beispielsweise dann, wenn sich Ihre Kunden auf Ihrer Seite registrieren können oder Sie weiteren Mitarbeitern Benutzerkonten einrichten. Wählen Sie daher eine ID, die nicht bereits belegt ist oder in absehbarer Zeit belegt sein wird. Mit einem kleinen Handgriff können Sie allerdings auch die wachsende Benutzerzahl austricksen, indem Sie WordPress befehlen, zukünftige Benutzer IDs anzulegen, die höher sind als Ihre Admin ID. Das funktioniert über die Festlegung eines AUTO_INCREMENT Wertes in Ihrer WordPress Database, der über Ihrer WordPress Admin ID liegt. AUTO_INCREMENT sorgt dann dafür, dass Benutzer IDs ab diesem Wert vergeben werden:

ALTER TABLE wp_users AUTO_INCREMENT = 2963

Denken Sie aber daran, dass sich die Änderung der User ID nur dann lohnt, wenn Sie mehr als einen Benutzer für Ihre WordPress Seite registriert haben. Schließlich gibt es auch Tools, die Ihnen alle vergebenen IDs einer Seite anzeigen. Dann ist es egal, ob Ihre Admin ID 1 oder 356 ist, wenn es nur eine belegte ID gibt, ist sofort klar, dass es sich nur um den WordPress Administrator handeln kann.

So schnell und einfach können Sie in Ihrer WordPress Database Ihre WordPress Admin ID ändern und Ihre WordPress Seite so ein Stück weit sicherer machen. Ihnen ist der Eingriff in die Database zu heikel und sie möchten diese Aufgabe lieber einem Profi überlassen? Kein Problem, die Kölner Webentwickler vom eLancer-Team übernehmen diese Aufgabe für Sie und beraten Sie zudem über weitere mögliche Maßnahmen, um die Sicherheit Ihrer WordPress Seite zu erhöhen. Kontaktieren Sie uns einfach und wir erstellen Ihnen ein unverbindliches Angebot, das auf Ihre Bedürfnisse zugeschnitten ist. 

IT erscheint Ihnen kompliziert?

Wir helfen gerne

Sie müssen nicht verstehen, was eine Programmiersprache ist, um erfolgreich im Web zu sein. Wir helfen gerne bei der Technik. Sie konzentrieren sich auf Ihr Business.

Wir haben die Profis

Das eLancer-Team vereinigt junge Profis aus allen Bereichen der IT und des Online-Marketing. Sie müssen nicht länger suchen, wir vermitteln Ihnen bezahlbare Freelancer, die für Ihr Projekt passen.

Wir geben gratis Tipps

Beschreiben Sie uns doch kurz Ihren Bedarf. Hinterlassen Sie bitte auch Ihre Telefonnummer. Wir rufen Sie zurück, wann immer Sie Zeit haben. Fragen zu Aufwand und Komplexität eines Projektes beantworten wir natürlich kostenlos.