23 Usernamen die für WordPress den Administrator tabu sein sollten
WordPress mit dem Standard-User „Admin“ ein vordefiniertes Sicherheitsproblem?
Donnerstag war für viele Betreiber eines Blog oder Webseite unter WordPress ein kleiner Gau oder besser eine Tsunami-Welle zog durch die WordPressiosphäre.
Hintergrund war eine groß angelegte Attacke (Brute Force Attack) auf WordPress-Systeme weltweit. Besonders betroffen war in Deutschland scheinbar der Hoster 1&1. Ich gehe aber persönlich davon aus, dass auch andere Anbieter mit auf den Listen der Server lagen die per Massenanfrage den Login in den Admin-Bereich eines WordPress-Blogs versuchten.
Damit die Angebote nicht zu Schaden kamen zog der Hoster virtuell den Stecker. Über die Firewall wurde der Login in WordPress geblockt und die zugehörige IP-Adresse für eine gewisse Zeit gesperrt. Parallel machten erste Anleitungen mit dem Titel – “so machst Du WordPress sicherer die Runde”. Hierzu gehört die klare Maßgabe den User “Admin” den WordPress als Standard Administrator anlegt zu löschen und durch einen verdeckten Namen zu ersetzen. Im Zuge der Sperrungen leider durch den Köppenick Effekt nicht möglicht. “Keine Wohnung – keine Arbeit = kein Login = keine Admin-Änderung”.
Entwarnung kam dann in den späten Abendstunden. Der Hoster gab den Login wieder frei und auch wir konnten in unseren Blog und diverse Seiten wieder eintreten.
Schon seit längerer Zeit haben wir unsere Seiten über das Plugin “Limit Login Attempts” geschützt. Dieses Plugin sperrt den Login für eine IP-Adresse definierbar nach den Fehlversuchen. Ein simpler, aber doch effektiver Schutz gegen Passwort-Kaskaden eines Servers.
Welche Benutzernamen versuchen die Eindringlinge?
Wir haben mittels des Plugins die Fehlversuche der letzten 3 Monate einmal dokumentiert und dabei die “Usernamen” die für einen Login eingesetzt wurden einmal gelistet.
Die Usernamen sind eigentlich beinahe schon exemplarisch für die NoGo´s zur Passwortwahl, da ohnehin zu kurz und sicherlich auch auf den Batch-Listen der Anrgiffs-Server.
Diese Usenamen SOLLTEN NICHT für einen WordPress Admin verwendet werden:
00
01
123
2000
2002
2004
aaa
access
adm
admin
Admin
administrator
adminka
deinedomain
manager
qwerty
root
server
support
sysadmin
test
user
webmaster
Die Liste lässt sich sicherlich noch erweitern? Habt Ihr Usernamen die bei Euch getestet wurden. Bitte in den Kommentar. Die Liste wird dann einfach um die weiteren Begriffe ergänzt.
[randomtext category=“Klems-Autorenbox“]
Vielen Dank für diesen Bericht. Ich glaube es ist auch noch sinnvoll zu erwähnen das man sich ruhig einen Phantasienamen als „Usernamen“ ausdenken sollte der aus Lettern und Ziffern besteht die nicht auf den Seitenbetreiber hinweisen.