In diesem Tutorial werden die Bedeutung der WordPress-Sicherheit und die unmittelbare Gefahr bei der Verwendung des Benutzerkontos „admin“ erörtert. Wir haben ein Tutorial geschrieben, in dem beschrieben wird, wie der Standard-Admin-Benutzername in WordPress geändert wird. Wenn Sie mit den oben genannten Gefahren vertraut sind, empfehle ich Ihnen, zum Tutorialteil zu springen. Andere können weiterlesen.
WordPress-Sicherheit ist keine triviale Sache. Angesichts der großen Anzahl direkter Brute-Force-Angriffe auf Millionen von Websites, die mit WordPress betrieben werden, könnte man meinen, dass Webmaster 30-50% ihrer Aufmerksamkeit der Sicherheit der Website widmen. Überraschenderweise ist das nicht der Fall. Die Wahrheit ist, dass WordPress-Sicherheit ganz unten (wenn überhaupt vorhanden) in der To-Do-Liste einer Website steht. Es ist einer der am stärksten untergrabenen Faktoren in der Liste der Bedenken eines unerfahrenen Webmasters. In den meisten Fällen passieren zwei Dinge:
- Der Webmaster bewertet die Seite als unwichtig und somit nicht als potenzielles Angriffsziel für Hacker
- Er vergisst einfach den Sicherheitsaspekt
Was auch immer die Situation ist, Sie werden in einem echten Stau stecken, wenn Ihre Website gehackt wird. Wir glauben fest daran, dass Vorbeugen besser ist als Heilen – deshalb verwenden wir Managed WordPress Hosting von WPEngine. Es ist felsenfest und kommt mit kugelsicherer Sicherheit. Unsere Seite wurde noch nicht gehackt. Gehen Sie voran, wir wagen Sie! 😀 In dem Bemühen, unser Ritual „Verhindern statt heilen“ fortzusetzen, lassen Sie uns über das WordPress-Admin- (oder -Administrator-) -Konto sprechen und lernen, wie Sie diese Sicherheitslücke ein für alle Mal schließen können.
Was ist das WordPress-Administratorkonto?
Besser bekannt als Admin-Konto, ist es der Standardkontoname, der in jeder neuen WordPress-Installation enthalten ist. Seine Benutzerrolle ist Administrator, was bedeutet, dass es die höchste Zugriffsberechtigung auf jeder WordPress-Site besitzt. Es kann schädlichen Code einschleusen, sensible Daten stehlen und im schlimmsten Fall Ihre Website vollständig löschen. Kurz gesagt, die Verwendung von admin als Benutzername für ein Konto mit Administratorrechten (dh die Administratorbenutzerrolle) ist ein riesig Sicherheitslücke.
Wieso den? Schön, dass Sie es wissen wollen. Wenn ein Hacker Zugriff auf Ihre WordPress-Site erhalten möchte, muss er 2 Elemente entschlüsseln:
- WordPress-Benutzername
- Entsprechendes Passwort
Wenn die meisten WordPress-Sites „admin“ als Benutzernamen ausführen, hat der Hacker 50% seiner Arbeit für ihn. Er könnte einfach den Brute-Force-Angriff starten (der nichts anderes ist, als jede mögliche Zeichenkombination als Passwort auszuprobieren) und sich zurücklehnen und seinen Kaffee schlürfen, während das (massive) Computerraster Tausende von Zeichen pro Sekunde knirscht und Ihren Server destabilisiert.
Wollen Sie nun in diese Kategorie fallen? ich bin erraten ziemlich sicher, dass Sie es nicht sind. Lassen Sie uns also in Zukunft niemals admin als Benutzernamen in einer WordPress-Installation verwenden. Aber was ist mit den Leuten, die bereits ihr WordPress-Konto mit admin als Benutzernamen haben?
Benutzernamen können nicht geändert werden. Das wissen wir (bisher). Was kann also getan werden? Nun, für den Anfang können Sie ein superstarkes Passwort verwenden. Eine Mischung aus alphanumerischen, gemischten Groß-/Kleinschreibung und Sonderzeichen in Ihrem Passwort mit einer Länge von etwa 35 Zeichen sollte eine Weile dauern, um sie zu entziffern. Wenn Sie jedoch dem Hackboy den vollen Kurs gönnen möchten (dh er muss sowohl den Benutzernamen als auch das Passwort interpretieren), sollten Sie den Admin-Benutzernamen vollständig ändern.
Löschen oder ändern Sie den Admin-Benutzernamen
Option 1 besteht darin, ein völlig neues Admin-Konto mit einem eindeutigen Namen und einem starken Passwort zu erstellen, sich mit dem neuen Admin-Konto wieder bei Ihrer WordPress-Installation anzumelden und dann Ihr altes Konto zu löschen. Sie sollten aufgefordert werden, alle Ihre alten Beiträge einem anderen Benutzer (zB Ihrem neuen Admin-Konto) zuzuweisen. Option 2 besteht darin, Ihr aktuelles Admin-Konto mit phpMyAdmin zu ändern. Folgen Sie dem Tutorial unten, um zu sehen, wie.
Erhalten Sie Zugriff auf phpMyAdmin
phpMyAdmin ist eine webbasierte GUI-Software, die Ihnen interaktiven Zugriff auf die Datenbank Ihres Servers ermöglicht. Manche nennen es einen Front-End-Editor für Ihre Datenbank. Die meisten Shared-Hosting-Anbieter gewähren Zugriff auf phpMyAdmin und sind in cPanel verfügbar. Sobald Sie Zugriff erhalten, wählen Sie Ihre WordPress-Datenbank aus. In unserem Fall ist es wpe-tut.
phpMyAdmin listet alle Tabellen in dieser Datenbank auf. Die im folgenden Screenshot gezeigten Tabellen sind die Standardtabellen in einer WordPress-Installation. Wir wollen auswählen wp_users da es den Wert enthält, den wir bearbeiten möchten.
Auswahl des richtigen Benutzernamens
Jetzt sollten Sie einen Screenshot wie diesen sehen. Lassen Sie uns es sorgfältig studieren.
- ICH WÜRDE: Dies ist die Buchhaltungsvariable. Es wird verwendet, um nacheinander alle Benutzer zu identifizieren, die sich in einer WordPress-Installation registriert haben. Da admin der erste Benutzer ist, der registriert wird, ist seine ID 1. In diesem Tutorial haben wir keine anderen Benutzer verwendet.
- Benutzer-Anmeldung ist der Variable Speicherung des tatsächlichen Benutzernamens des Benutzers.
- Benutzerpass enthält das zugehörige Passwort, verschlüsselt in MD5.
- user_nicename ist der vollständige Name des Benutzers
- Benutzer Email ist die Variable, die die E-Mail-Adresse dieses Benutzers speichert
- Anzeigename ist, wie der Benutzername über Beiträge und Seiten hinweg angezeigt wird. Zum Beispiel werden Beiträge von einigen Benutzern als „Redaktion“ statt „Joe Smith“ angezeigt.
- Die anderen vorhandenen Felder sind für dieses Tutorial nicht wichtig.
Wir wollen das ändern Benutzer-Anmeldung Gebiet. Optional könnten wir wechseln user_nicename und Anzeigename. Dazu wählen wir die Bearbeiten Möglichkeit.
phpMyAdmin führt uns zu den einzelnen Feldern für die Administrator Eintrag unter wp_users.
Wir ändern nun die Werte in geeignete. Ich habe meine zu Sourav und seinen Derivaten geändert.
Wenn Sie fertig sind, klicken Sie auf gehen die Änderungen zu übernehmen. Sie sollten eine Nachricht wie diese erhalten:
Wenn Sie jetzt überprüfen, wp_users Eintrag, der Administrator Benutzername wird nicht mehr angezeigt. Sie finden den von Ihnen eingestellten Wert Benutzer-Anmeldung to, als neuen Benutzernamen. Damit ist die Arbeitsphase unseres Tutorials abgeschlossen. Lass es uns testen. Wir melden uns mit dem neuen Benutzernamen und dem alten Passwort bei WordPress an.
Und Booyah, es funktioniert!
WordPress erkennt den neuen Benutzernamen eindeutig. Alle bisherigen Daten sind unverändert geblieben. Denken Sie daran, wenn Sie ein Caching-Plugin verwenden, müssen Sie den gesamten Cache leeren, wenn Sie viele Beiträge unter dem Admin-Benutzernamen eingereicht haben. Wir können auch unser Benutzerprofil unter Einstellungen überprüfen. Das sollten wir bekommen:
Abschluss
Das Ändern des standardmäßigen WordPress-Administratorkontos in etwas anderes erhöht die Sicherheit Ihrer WordPress-Site. Es gilt als eine der besten Sicherheitspraktiken für alle WordPress-Webmaster und/oder -Entwickler. Wenn Sie die Administrator Benutzername, es ist höchste Zeit, dass Sie ihn ändern.
Dieses Tutorial ist 100% WordPress-intensiv. Ich habe die Tabellenattribute der WordPress-Datenbank zusammen mit ihren jeweiligen Zwecken erklärt. Folgen Sie einfach den Screenshots und Sie können loslegen. Wenn Sie jemals stecken bleiben, gehört das Kommentarformular ganz Ihnen. Du könntest mich auch auf Twitter anpingen. Zu Ihnen – kennen Sie eine andere Möglichkeit, den Admin-Benutzernamen von WordPress zu ändern? Haben Sie einen supercoolen Sicherheitstipp? Lassen Sie es uns wissen!