Skip to content

Auslesen von Benutzernamen in WordPress verhindern

Bei vielen WordPress-Installationen die wir betreiben, sehen wir (fehlschlagende) Versuche von verschiedenen Angreifern (gerne aus China, Russland, Indien und Vietnam kommend), sich in das Backend von WordPress einzuloggen. Sehr häufig wird dabei versucht, sich mit dem „admin“ Account einzuloggen. Seit langem ist es in WordPress möglich, anstatt „admin“ einen beliebigen Nutzernamen zu verwenden, was auch unbedingt getan werden sollte.

Wie sich der Benutzernamen des Admin herausfinden lässt

Was viele hierbei aber übersehen – es gibt trotzdem einen Weg, wie man leicht herausfinden kann, welchen Benutzernamen der Admin wahrscheinlich hat. Und dies funktioniert so: Man fügt an die Startseite des Blogs einfach den String „?author=1“ an – es erfolgt ein Redirect zu einer Übersichtsseite aller Einträge des Nutzers mit der ID 1 (in aller Regel der admin, da er zuerst angelegt wurde). Das Besondere hierbei: Der Redirect enthält den Namen des Nutzers in der URL. So kann man also leicht den Benutzernamen des Admin-Accounts ablegen. Man kann die Zahl hinter „?author=X“ natürlich noch verändern, um auch die Nutzernamen der anderen Autoren im Blog herauszubekommen.

Die Lösung

Eine einfache Regel in der .htaccess Datei schafft Abhilfe. Sie sollte direkt nach „RewriteBase“ eingefügt werden, damit sie möglichst als allererstes ausgewertet wird.

Wordpress Benutzername

Kurz zusammengefasst: Die Bedingung für die Regel ist, dass jemand „author=“ in die URL hängt, mit mindestens einem Zeichen. Die Regel redirected dann zur Startseite des Blog und entfernt die Zeichen hinter author=. Im Zweifel ist die Startseitenadresse des Blogs anzupassen. In unserem Fall ist es „/blog/“. Hat man sein Blog direkt im Hauptverzeichnis, wäre dementsprechend das Ziel also nur „/?author=“.