Bei der Installation von WordPress wird man beim Benutzernamen immer noch höflich aber nicht zwingend auf den Wechsel von Admin zu einem individuellen Benutzernamen hingewiesen.
Diese Methode nutzen viele, aber nicht alle. Grundlegend spricht auch nichts dagegen sein Account „Admin“ oder „Administrator“ zu nennen, da man ja in der Regel dieser auch ist.
Problem ist nur, dass die Hacker ebenfalls wissen, dass es häufig zu diesen Benutzernamen kommt. Da leider immer noch über 70% der WordPress Installationen diesen Benutzernamen verwenden (gerade alte Installationen hatten diesen Benutzernamen als Vorgabe) ist es für einen Hacker nun relativ einfach wahllos auf WordPress-basierenden Webseiten diesen Namen einzugeben und somit haben sie schon den ersten Teil. Nun benötigen sie „nur noch“ das Passwort. Dieses wird häufig mittels Brute-force Methode – also ausprobieren von tausenden Wörtern – herausgefunden und somit hat er Zugang zu eurer Page. Leider ist es immer noch gängig das Passwort einfach zu halten. Die neuen WordPress-Installationen sind bereits so gepolt, dass sie unsichere Passwörter sofort anzeigen und hinweisen, dass man sie doch sicherer machen sollte.
Der gewiefte Programmierer wird nun sagen: Den Benutzernamen kann man auch so oder so herausfinden. Unter jedem Blog-Beitrag steht er drunter als Autor. Dem ist so, allerdings lassen sich diese Infos auch ausblenden. Diejenigen die im Quelltext suchen, werden ihn auch dort finden, allerdings geht es mir hier eher um die Hacker, die massenhaft WordPress-Seiten aufsuchen, scannen und versuchen diese mittels der BF-Methode schnell zu hacken. Oft haben diese Cyber-Kriminelle keine Zeit, so dass sie schnell agieren müssen.
Was kann man also tun?
Vorab empfehle ich bei der Installation einen anderen Benutzernamen als Admin oder Administrator zu verwenden.
Anschließend füllt man ein paar Details unter „Benutzer – > Alle Benutzer“ aus und ändert den Punkt „Öffentlicher Namen“ von (dem gezeigten Benutzernamen) in „XX – neubesetzen Name“.
Somit kann man sich als Autor zeigen ohne dass man seinen direkten Benutzernamen preis gibt.
Ebenso empfehle ich das Plugin „Sucuri Alert“. Dieses gibt die Information heraus, was sich gerade online auf der WordPress-Seite login-mässig tut. Wenn man sich einloggt, gibt es eine Info, sowie Updates und sogenannte „Fail-Logins“.
Diese zeigen, dass jemand versucht hat die Page zu betreten und sich einzuloggen. Dabei wird dann auch gezeigt mit welchem Benutzernamen dieses probiert wurde.
Was tun wenn man nun doch „Admin“ schon heißt?
Unter „Benutzer“ legt man einen neuen Benutzer an. Diesen stattet man mit einem richtigen Benutzernamen aus, vergibt „Administrator“-Rechte und löscht anschließend den alten Account.
Wichtig: Alle Beiträge vom alten Account sollte man beim Löschen an den neuen übertragen sonst sind sie weg!
(Ich empfehle natürlich vorher sicherheitshalber ein Backup zu machen).
Podcast : https://itunes.apple.com/de/podcast/news2podcast/id1365602874?mt=2