Beim Installieren von WordPress muss eine Administratorenkennung angegeben werden, mit der man sich von da an zum Zweck der Einrichtung und Einstellung der Website anmeldet. Mit dieser Benutzerkennung kann man auch Einträge schreiben, die in der chronologischen Ansicht untereinander angereiht werden. Dieses Anlegen der Administratorenkennung bringt leider eine Sicherheitslücke mit sich, die sich an zwei Stellen menifestiert:
- Standardmäßig kann sich jedermann, also schlimmstenfalls auch ein Hacker, die eigentlich geheime Administratorenkennung anzeigen lassen, indem er folgende URL in die Adresszeile eines Browsers eintippt:
https://www.meinwebsite.de/?author=1 - Bei vielen Themes wird über oder unter dem Text von Einträgen ein Link auf den Autor eingeblendet. Dieser Link beinhaltet ebenfalls die geheime Benutzerkennung des Verfassers.
Mit dieser Benutzerkennung, womöglich also auch der Administratorenkennung, kann dann jedermann im Anmeldeformular versuchen, durch Raten des Kennwortes Zugang zum Adminbereich der WordPress-Installation zu erhalten. Mit der Kennung hat er bereits die Hälfte der nötigen Login-Information bekommen.
Lösung des Problems
Es gibt verschieden Ansätze, dieses Problem zu beseitigen. Einen recht einfachen Ansatz bietet das WordPress-Plugin Edit Author Slug von Brandon Allen. Installiert und aktiviert man dieses Plugin, kann man anschließend in der Administrationsoberfläche den Menüpunkt Benutzer auswählen.
Bearbeitet man dann einen einzelnen Benutzer, findet man dort eine Auswahl verschiedener sogenannter „Autoren-Titelformen“. Standardmäßig ist dort der Anmeldename für den Login ausgewählt. Diesen sollte man unbedingt durch eine der anderen Varianten ersetzen.
Aktualisiert man abschließend das Profil, wird bei den beiden oben geschilderten Versuchen, die geheime Benutzerkennung herauszufinden, die ausgewählte Autoren-Titelform statt der Kennung angezeigt.
