WordPress für Einsteiger: Muss der Admin “admin” sein?

Wer WordPress installiert, ist automatisch Admin. Das ist praktisch, weil der alles darf. Doch ein gekaperter Admin-Account kann auch viel Schaden anrichten. Wir zeigen Dir, wie Du Benutzer richtig benennst und welche Rollen Du für weitere Nutzer vergibst.

Sichere Benutzernamen und Passwörter verwenden

Die Sicherheit Deines WordPress-Blogs hängt vor allem von den verwendeten Zugangsdaten ab. Bei sogenannten Brute-Force-Attacken zum Beispiel versuchen Angreifer, durch automatisiertes Ausprobieren an Zugangsdaten zu kommen. Auf diese Weise testen sie binnen kurzer Zeit massenhaft Benutzernamen und Passwörter. Bei häufig verwendeten Begriffen ist es dann nur eine Frage der Zeit, bis das Blog gehackt wird.

Standardbezeichnungen wie „admin“ oder der öffentlich sichtbare Autorenname sind besonders beliebt und darum keine gute Idee für einen Benutzernamen. Um es Angreifern schwerer zu machen, wählst Du am besten einen geheimen, komplexen Benutzernamen in Kombination mit einem sicheren Passwort. Für einen komplexen Benutzernamen kannst Du einen Passwort-Manager wie KeePass verwenden: Der schlägt Dir ein Passwort vor und dieses benutzt Du als Benutzernamen – so wie wir im nächsten Screenshot.

Falls Du beim Installationsprozess bereits einen unsicheren Login erstellt hast, kannst Du einfach 1) einen neuen Benutzer anlegen (Benutzer -> Neu hinzufügen) und dann 2) den alten löschen.

1) Einen neuen Benutzer hinzufügen:

• Als Benutzername gibst Du eine zufällige Zeichenfolge ein und schreibst diese auf. Dies ist der nicht öffentliche Name, den Du später für den Login benötigst.
• Die E-Mail-Adresse darf von keinem anderen aktiven Benutzer verwendet werden.
• Vor- und Nachnamen werden (je nach Theme) in den von Dir erstellten Beiträgen und Seiten angezeigt.
• Das von WordPress vorgeschlagene Passwort kannst Du übernehmen und solltest Du unbedingt notieren.
• Wichtig: Als Rolle muss unbedingt Administrator angegeben werden, damit Du weiterhin alle Rechte – etwa zur Installation von Plugins oder Themes – hast!

2) Den alten Benutzer löschen:
Nun meldest Du Dich ab und mit neuem Benutzernamen und Passwort an. Unter Benutzer -> Alle Benutzer findest Du eine Übersicht aller Benutzer. Um den alten zu löschen, fährst Du mit dem Mauszeiger über den Namen und wählst löschen.

Wichtig: Damit Du keine Inhalte verlierst, wählst Du im folgenden Dialog die Option Diesem Nutzer den gesamten Inhalt zuordnen und im Dropdown-Menü den neuen Benutzer. So werden alle Beiträge und Seiten des alten Benutzers auf den neuen übertragen. Nach dem Klick auf Löschen bestätigen ist der alte Benutzer entfernt und ein Login nur noch mit den neuen Zugangsdaten möglich.

So wenig Rechte wie möglich, so viel wie nötig

Die oben erteilten Administratorrechte sind aber nicht immer nötig. WordPress kennt aus gutem Grund insgesamt fünf Benutzerrollen mit hierarchischer Rechtevergabe. Das heißt, dass die oberen Ebenen automatisch auch über die Rechte der unteren verfügen.

Wer diese differenzierte Rollenverteilung nutzt, reduziert die Gefahr durch Hacker. Schließlich birgt jeder Login ein gewisses Sicherheitsrisiko – vor allem in fremden WLAN-Netzen oder im Internetcafé. Fürs reine Bloggen ist deshalb ein Benutzer mit der Rolle Redakteur empfehlenswert. Sollte tatsächlich ein Hacker das Passwort abgreifen, bekommt er mit diesen Benutzerrechten wenigstens keinen Komplettzugriff auf WordPress.

Du möchtest mit Deinem eigenen WordPress-Projekt durchstarten?

Hinweis: Der ursprüngliche Beitrag ist im STRATO Blog zum ersten Mal am 30. August 2016 erschienen. Diesen Beitrag haben wir aktualisiert.