Webworken in Jogginghosen
  • Allgemein
  • SEO
  • Studium
  • Fail! Greg regt sich auf
  • Bloggen, WordPress
  • Verbraucherberatung, Tipps
  • Hardware, Smartphone, Gadgets
  • Webdesign
  • Affiliate
  • Ideenfindung
  • Impressum & Datenschutz
Bloggen, WordpressWebdesign
·22. März 2014

Ein wenig mehr WordPress Sicherheit: admin Account nachträglich umbenennen!

So verbreitet wie WordPress ist, wird es natürlich auch schonmal zum Ziel für Angriffe. Ich selbst kann ein Lied davon singen, denn vor ein paar Jahren hat es ein Angreifer – vermutlich ein Bot – geschafft, wahrscheinlich über ein veraltetes WordPress Plugin schädlichen Code in meine index.php (und zwar allen auf dem betroffenen Server!) einzuschleusen. Ich habe es zum Glück sehr zeitnah gemerkt, da eine von mir häufig selbst aufgerufene Seite komplett von der Malware überschrieben wurde und daher gar nicht mehr funktionierte. Es war nur der verschlüsselte Schadcode darin enthalten. War alles eine ganz schön aufreibende Geschichte, an dieser Stelle muss ich direkt auch nochmal ein Dankeschön an Tim von internetwache.org richten, der mir damals sehr behilflich war und den Schädling analysierte.

wpbenutzer1Aber genug davon, ich wollte nur darstellen, dass der eigene Blog durchaus schonmal angegriffen werden kann, selbst wenn man kein Big Player ist. Es kann eben ein Bot sein, der bei tausenden Blogs sein Glück probiert. Und eine bestimmte Schwachstelle, nämlich den standardmäßigen Adminaccount einer jeden WordPressinstallation, kann man mit sehr einfachen Mitteln in wenigen Minuten ein Stückchen sicherer gestalten, wie ich im Folgenden vorstellen werde. Das Problem: Der Standardaccount hat den immer gleichen Benutzernamen „admin“, den kaum ein WordPressnutzer ändert. Ein Bot, der möglicherweise durch Bruteforce sein Glück bei tausenden Blogs versucht, braucht sich daher um den Usernamen garkeine Gedanken machen und wird immer direkt „admin“ angreifen, da dieser ja praktisch immer vorhanden ist. Ich kann zwar nicht sagen, wie wahrscheinlich ein solcher Angriff in der Praxis ist und ob man sich bei einem vermeintlich sicheren Passwort trotzdem beruhigt als „admin“ zurücklehnen kann. Schaden kann es dennoch nicht, den guten admin zu entfernen und gegen einen anderen Namen auszutauschen.

wpbenutzer2

Siehe auch

Angeklickt: Das Gutscheinrausch Netzwerk, ein Affiliateprogramm für Gutscheine

AffiliateBloggen, WordPress
·7. März 2014·6 Minuten Lesedauer

Leider kann man in WordPress den Benutzernamen nicht einfach so umbenennen, dennoch gibt es eine einfache Lösung ohne Datenbankeingriffe. Zunächst legt man einfach einen neuen Benutzer an. Man muss dabei allerdings zunächst eine andere E-Mail Adresse verwenden, als beim admin. Dem Benutzer geben wir dann die Rolle Administrator. Nun ausloggen und mit dem soeben erstellten Benutzer wieder einloggen. In der Benutzerverwaltung auf den alten Adminaccount gehen und löschen wählen. Man wird nun gefragt, was mit den Beiträgen dieses Benutzers passieren soll. Natürlich wollen wir diese nicht löschen, sondern wählen, sie auf den neuen Benutzer zu übertragen. Nun kann man wieder die ursprüngliche E-Mail Adresse verwenden (z.B. wenn daran ein Gravatar Account hängt). Tja, das wars auch schon! Natürlich hilft das gegen menschliche Angreifer eher wenig, die einem nicht wohlgesonnen sind. Ein eventueller Bot hätte es aber definitiv schwerer und würde vermutlich komplett ins Leere laufen.

The following two tabs change content below.
  • Bio
  • Neueste Artikel
Mein Twitter-ProfilMein Google+-Profil

greg

Blogger bei kleingebloggt.de
Servus! Mein Name ist Michael Gregor, ich bin ehemaliger E-Commerce Student an der FHWS, Blogger, Webworker und schon IT-Geek seit ich 1994 meinem ersten 386er hatte 🙂 Meine Leidenschaft gilt neben den alten Bekannten wie SEO und Bloggen inzwischen dem Aufbau von Online Akademien und Kursplattformen.
Mein Twitter-ProfilMein Google+-Profil

Neueste Artikel von greg (alle ansehen)

  • News: Noch ein neuer Blog von mir – für Studenten - 14. April 2020
  • Mein neuer Blog – alles auf Anfang - 12. Juli 2019
  • E-Commerce Studium in Würzburg beendet – ein Resümee - 14. April 2017

Ähnliche Beiträge:

  1. WordPress-Blog, erste SEO Amtshandlung: Permalink
  2. Das Nervige mit der Telefonnummer im Impressum
  3. Richtige Zeitzone bei WordPress einstellen, um dem Sommer- / Winterzeitproblem zu entgehen
  4. Bloggen nach dem deutschen Datenschutz: Piwik Urteil, Akismet und WordPress
Schlagwörter
SicherheitWordpressWordpress admin AccountWordpress admin Account umbenennenWordpress AngriffWordpress HackingWordpress MalwareWordpress Sicherheit
Teilen
FacebookTwitterReddit
Ähnlich

PHP und der Fail mit dem Leerzeichen . =

AllgemeinWebdesign
·21. Mai 2015·1 Minute Lesedauer

Klickstatistiken von bit.ly Links sind für jeden einsehbar!

Bloggen, WordpressSEO
·20. Januar 2015·1 Minute Lesedauer

Den eigenen Blog im Google Play Kiosk veröffentlichen

Bloggen, WordpressSEOSoftware, Android, iOS
·24. November 2014·2 Minuten Lesedauer

Warum lassen sich die Leute von „Webdesignern“ so abzocken? Bin ich zu ehrlich??

Fail! Greg regt sich aufWebdesign
·27. März 2014·2 Minuten Lesedauer

4 Kommentare

  1. Vince sagt:
    23. März 2014 um 17:25 Uhr

    Korrigier‘ mich, wenn ich mich irre, aber empfiehlt WordPress nicht deutlich genug, den Admin-Account nicht „admin“ zu nennen? Genauso wie beispielsweise sofort nach der Installation gut sichtbar darauf hingewiesen wird, dass die install.php gelöscht werden soll?

    Wen das alles schon überfordert, der sollte sich eines dieser Security-Komplett-Plugins installieren, die nehmen dem Benutzer schonmal einiges ab.

    P.S. Ich finde diese Checkbox hier unter dem Kommentarfeld ziemlich dämlich. Jetzt hab ich also die Wahl, meine Daten von dir an die USA weiterreichen zu lassen oder in Zukunft keine Kommentare mehr zu schreiben. Sehr schlau. Es gibt sehr gute Alternativen zu Akismet.

    Antworten
  2. greg sagt:
    23. März 2014 um 23:49 Uhr

    Aber gerne doch.

    Wenn man, wie ich, WordPress vor Jahren installiert und seitdem immer nur geupdated hat, hatte man absolut keine Wahl, der Adminaccount wurde immer unveränderbar als Benutzername „admin“ angelegt. Es sei denn natürlich, man hätte selbst in den PHP Code eingegriffen und dies dort direkt in der Installationsroutine geändert, aber welcher Enduser macht sowas ernsthaft? Sicher nicht die Adressaten dieses Beitrags und ich hätte auch nicht einmal ansatzweise an so etwas gedacht, als ich WordPress installiert habe. Seit wann man dies bei der Installation selbst wählen kann, weiß ich nicht. Habe gerade testweise sowohl die alte 2.8 von meiner Platte, als auch die aktuelle 3.8 installiert. Bei der 3.8 kann man einfach einen Benutzernamen auswählen, von „admin“ ist da kein Wort mehr. Gut, die 2.8 ist nun 5 Jahre alt, da sieht man mal, wie lange meine Blogs schon bestehen. Ein spezieller Hinweis fehlt aber auch bei der 3.8 komplett und sogar noch besser: in der liesmich.html steht unter Punkt 7 der 5-Minuten-Installation:

    „Das Installationsskript schickt Dich anschließend zur Anmeldeseite. Gebe als Benutzernamen admin ein und darunter das Passwort, dass das Skript für Dich inzwischen generiert hat. Nach der Anmeldung kannst Du auf Benutzer/ Dein Profil klicken um das Passwort ändern zu können.“

    Man hat dies offenbar noch nicht wirklich angepasst. So oder so, da draußen sind sicherlich noch Horden an Bloggern mit admin-Benutzer unterwegs. Im übrigen gibt es diesen Hinweis auf die install.php auch nicht. Habe ihn jedenfalls weder bei 2.8, noch 3.8 nach dem Setup gesehen. Dazu auch noch aus dem WP Forum:

    „You can safely delete /wp-admin/import.php , /wp-admin/install.php , /wp-admin/install-helper.php , /wp-admin/upgrade.php , and /wp-admin/upgrade-functions.php .

    There are two things to keep in mind here:

    1. Whenever you execute and automatic upgrade, these files will be replaced.

    2. Security issues are addressed as quickly as possible, so as long as you stay up-to-date, you shouldn’t have anything to worry about.“

    und

    „No, there is no security risk. Both files do sanity checks before anything happens.“

    Schaden wirds also sicher nicht, aber demnach muss man dies nach jedem Update manuell erneut tun.

    P.S.: Momentan teste ich Antispam-Bee, daher habe ich den Hinweis mit der Checkbox gerade entfernt, das ist nämlich ein eigenes von Akismet unabhängiges Plugin gewesen. Ich werde aber gerne deine Kommentare in Zukunft auch weiterhin manuell in die USA schicken 😛

    Antworten
  3. Vince sagt:
    28. März 2014 um 09:46 Uhr

    „Im übrigen gibt es diesen Hinweis auf die install.php auch nicht.“

    Naja, irgendwo wird der Hinweis ja irgendwann mal gestanden haben. Ich habe den sicher nicht aus meinem Kaffeesatz gelesen.

    Antispam-Bee nutze ich übrigens auch schon lange, funktioniert sehr gut.

    Antworten
  4. greg sagt:
    28. März 2014 um 15:30 Uhr

    Ich weiß ja nicht, was du dir üblicherweise in den Kaffee kippst 😉

    Naa schmarrn, ich schrieb ja noch dazu, ich habe eben bei 2.8 und 3.8 keinen solchen gesehen. Vielleicht gabs den ja zwischenzeitlich mal oder an anderer Stelle, das kann schon gut sein.

    Schönes Wochenende! 🙂

    Antworten

Schreibe einen Kommentar Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Blogroll

  • kurskraft.com
  • michaelgregor.de
  • move-your-ass.today
  • www.ferntester.de
  • www.geizstudent.de
  • www.melissamariposa.de
  • www.proteinguru.de
  • www.tanzideen.com
  • www.thinktalk.de

Schlagwörter

Affiliate Auto Blog Bloggen, Wordpress E-Commerce E-Commerce Bachelor E-Commerce in Würzburg studieren E-Commerce Studium E-Commerce Studium Erfahrung E-Commerce Studium Erfahrungsbericht E-Commerce Würzburg fail Ferntester ferntester.de FHWS FH Würzburg Geld verdienen Gewerbe Google Gutscheinblog Gutscheine Gutscheinseite Ideen Informatik Java Klausurvorbereitung Konzept Kurztipp Linkaufbau Linktausch Nische PHP Programmieren Selbständigkeit SEO SEO Tipps Sicherheit Spam Studium Studium Erfahrungsbericht Telekom Tipps Webdesign Wordpress Übungsaufgabe
  • Allgemein
  • SEO
  • Studium
  • Fail! Greg regt sich auf
  • Bloggen, WordPress
  • Verbraucherberatung, Tipps
  • Hardware, Smartphone, Gadgets
  • Webdesign
  • Affiliate
  • Ideenfindung
  • Impressum & Datenschutz
Start typing to see results or hit ESC to close
SEO E-Commerce Geld verdienen Google Wordpress
See all results
Cookie-Zustimmung verwalten
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt. Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Optionen verwalten Dienste verwalten Anbieter verwalten Lese mehr über diese Zwecke
Einstellungen ansehen
{title} {title} {title}