Warum man in WordPress nicht als Admin publizieren sollte
Wer WordPress-Blogs betreibt, der hat natürlich einen Account zum Verwalten des Backends und zum Veröffentlichen von Artikeln.
Das ist jedoch kein optimaler Zustand. Vor allem dann nicht, wenn der Administrator auch einen Benutzernamen wie „admin“ oder „Administrator“ besitzt. Da dies früher häufig als Standard galt, teilte man Hackern so schon den Benutzernamen mit, der über maximale Rechte in einem Profil verfügt. Jetzt benötigen potentielle Einbrecher noch das Passwort.
Viele Blogger vergessen, dass in jedem Artikel steht, wer der Autor des Blogbeitrags ist. Dass bedeutet, dass mit einem Blick gleich der Admin erkannt ist, falls man wie 90% der Nutzer mit Administratorrechten publiziert. Natürlich ist das viel bequemer. Aber nicht sehr sicher.
Die Abhilfe für das Sicherheitsproblem
Ich gehe davon aus, dass Sie in der Regel einen Benutzer für sich angelegt haben. Als erstes sollten Sie noch einen weiteren Benutzer mit Administratorrechten anlegen, der im Verborgenen bleibt. Den brauchen Sie zudem auch, um den bisherigen ‚Admin‚/‘Administrator‚-Account zu löschen.
Jetzt legen Sie einen weiteren Benutzer als „Redakteur“ an. Mit diesem Account werden Sie in Zukunft bloggen. Merken Sie sich die Benutzerdaten und lassen Sie sich diese zur Sicherheit noch einmal durch das Backend zuschicken (entsprechende Option beim Anlegen des Nutzers), damit diese nich verloren gehen.
Im nächsten Schritt melden Sie sich mit dem als neu angelegten Adminprofil an und löschen den bisherigen ‚Admin‘. Dabei werden Sie gefragt, was mit den bisherigen Artikeln geschehen soll. Übertragen Sie diese an das neu angelegten Redakteur-Profil.
In Zukunft loggen Sie sich mit dem Redakteur-Account ein, wenn Sie einen Blogartikel schreiben wollen und mit dem Admin-Account, um Änderungen im Backend vorzunehmen.
Selbst wenn der Redakteur-Account gehackt werden sollte, wären die Schäden am System überschaubar, wenn man von den Artikeln regelmäßig Backups macht, hierzu gibt es auch entsprechende Plugins wie z.B. BackWPup, das in der kostenlosen Version sogar WordPress-Cron Jobs gerlaubt um die Datensicherung via Mail zu verschicken. Konnte ich weiterhelfen? Das würde mich freuen!
Viele Grüße aus Aurich,
Jürgen
Edit: Nette Post kam via Email:
Hallo Jürgen,
vielen Dank für den wichtigen Hinweis.
Bei mir war es die Faulheit, bzw. Bequemlichkeit, die Rolle vom Admin zum Redakteur zu wechseln.
Allerdings kann sich das bestimmt auch schnell mal rächen.
Viele Grüße
Wibke