“Endlich” möchte man sagen, kein nachträgliches Ändern via Plugin/DB-Zugriff mehr und siehe da, schon wird ein Großteil der Neuinstallationen gegen automatisierte Angriffe ein Stückchen sicherer :)

Steht “admin” als Vorschlag bereits in der Box drin? Wenn ja, dann wäre es (fast) genauso als würde man diesen Namen fest vorgeben. Denn viele werden dann einfach auf OK klicken weil sie zu “faul” sind sich einen Benutzernamen auszudenken.
Ich befürchte auch, dass selbst wenn der Benutzername eingegeben werden muss, eben jenen Namen auch als Autorenangabe unter den Beiträgen auftaucht. Dann könnte man gleich beim alten Prinzip bleiben und den Standard-Benutzer “admin” anlegen.

Um aus WordPress nicht nur das beliebteste, sondern auch das sicherste Blogsystem zu machen, müsste man Administratoren und Autoren strikt voneinander trennen. Denn auch bei dem neuen System ist der Benutzer mit der ID 1 i.d.R. der allumfassende Administrator. Wozu sich also Gedanken über einen “geheimen” Administrator-Namen machen, wenn die ID (fast) immer 1 ist?
Auf den ersten Blick ist es vielleicht ein Schritt in Richtung mehr Sicherheit. Bei genauerer Betrachtung entpuppt es sich leider jedoch nur als schöne Fassade.

Wieder einmal mehr mehr Schein als sein und die Chance verpasst etwas grundlegend anders bzw. grundlegend besser zu machen.

@Ralf
admin ist als Vorschlag bereits im Feld hinterlegt. Der Wert ist sichtbar als Option vorgesehen und das soll Menschen beim Ausfüllen des Formulars zum Nachdenken geben und zum Editieren verleiten. Natürlich werden viele Nutzer auch keinen anderen Benutzernamen zuweisen, aber dann kann man nicht Nachhinein sagen, WordPress hätte mir die Option nicht angeboten.

Die userID bleibt verständlicherweise eins. Keine Frage, notfalls kann man als Angreifer an den angemeldeten Benutzer über diese ID kommen. Doch der Weg über den Namen ist schon mal blockiert.

Ich gebe dir Recht, besonders viel bringt die Änderung nicht mit. Doch wie ich im Beitrag sagte: WordPress fängt an, seinen Nutzern auch im Segment Sicherheit zuzuhören und schraubt nicht nur an weiteren Features und optischen Feinheiten. Und das ist in meinen Augen ein Zeichen der Besserung. Es geht nicht darum auf einmal alles perfekt zu erledigen. Lieber langsam ans Ziel, als stehen zu bleiben und nichts unternehmen.

Dank für den Post (auch für den über den ‘admin’)! Das ist doch schon mal ein guter Schritt in die richtige Richtung!

Perfekt, noch ein Schritt in die richtige Richtung!

Ich frage mich, wieso man den Admin-Benutzernamen nicht schon früher ändern konnte, das ist ja eigentlich eine kleine Funktion, die die Sicherheit von WordPress gleich um einiges verbessert.

Jeffrey, das frage ich mich auch. Man wollte dem Nutzer wahrscheinlich Arbeit abnehmen und die Installation so einfach wie nur geht gestalten? Man könnte rein theoretisch auch jetzt in dem Zuge der Überarbeitung der Installationsseite auch andere sicherheitsrelevante Dinge abfragen oder anders machen (siehe Kommentar von Ralf), wurden aber nicht implementiert. Hat bestimmt alles seine Gründe…

@Sergej:

Gründe für das Nicht-Einbauen von Funktionen, die die Sicherheit verbessern zu finden ist aber doch recht schwer :)

Aber im Grossen und Ganzen kann man mit der Sicherheit von WordPress ja zufrieden sein, wenn man selber immer fleissig Updates installiert und Fehler wie schwache Passwörter vermeidet.

Korrekt, die eigentliche Sicherheitslücke sitzt meist vorm Rechner.

also ich hab meinen admin-login einfach direkt in der db geändert:
einfach in der tabelle ‘wp_users’ in der ‘ID’ 1 den eintrag ‘admin’ in den wunschnamen ändern, query absetzen und danach mit dem neuen namen einloggen…fertig…

@brenna
Das ist nichts Neues, wird auch gern praktiziert. Nun nicht jeder Einsteiger kennt diesen Trick, will/kann/soll sich damit auch nicht auseinander setzen.

Es ist ein gewisser und wichtiger Vorsprung. Bösewichte werden aufholen, so ist es ja immer. Trotzdem begrüße ich die neue Option und denke, dass es u. a. bei Sergej noch viele nützliche Hinweise zur Sicherheitsproblematik geben wird.

Ist bekannt wie die Hackwelle vom letzten WE ablief? ODer war es dort doch kein WordPressproblem?

Wenn ich mir den Beitrag von Ralf durchlese, so frage ich mich schon, was diese Änderung bringen soll. Vor allem, wenn admin defaultmäßig vorgegeben wird! Ein WordPress-Neuling kann die Lücken am Anfang nicht erkennen und ist froh, wenn der Blog irgendwie läuft. Und erfahrene Blogger wissen meist, was sie machen sollen (sofern sie nicht zu faul sind).

Mein Vorschlag: Die 10 Schritte zum Schutz des Admin-Bereichs (http://playground.ebiene.de/954/adminbereich-in-wordpress-schuetzen/) in die Anmeldeprozedur einbauen.

Gruß
Bernhard

@Carsten
Nein, das war kein allgemeines Problem, da auch andere CMS betroffen waren.

@AN24
Meinen Beitrag mit 10 Punkten für die Absicherung des Admin-Bereichs ließ ich professionell in Englisch übersetzen und das wurde dann u.a. auch an WordPress-Macher herangetragen. Wenn von der Menge der Möglichkeiten nur das eine kleine Teil umgesetzt werden konnte, dann bin ich auch da sehr froh darüber – minimalistischer Sprung. Ich verstehe die Argumente von Ralf, andererseits weiß ich auch, dass bei der Entwicklung von WordPress Dinge nicht einfach so umgesetzt werden. Vor allem was Optik und Funktionalität angeht. Das wird meist erst durch hunderte von Posts in der Community durch diskutiert. Das Ergebnis ist für uns nicht immer wirklich verständlich. Es gab bestimmt Gründe für ausgerechnet diese Lösung.

Hmm – doch mal eine Frage. Welche der 10 Punkte sind denn für die 3.0 noch umsetzbar / sinnvoll?

Viielen Dank und Gruß,
Wolfgang

@dtpop
Bei der Umsetzung der einzelnen Punkte wird dir schon auffallen, welche aus der verlinkten Liste in WordPress 3.0 bereits implementiert sind.