Alarmierter Mann mit Brille vor Laptop-Bildschirm mit gebrochenem Vorhängeschloss, symbolisiert eine Datenschutzverletzung in einer modernen Webagentur.

Der Standard-Admin-Benutzername bei WordPress ist ein Sicherheitsrisiko, weil er Angreifern die halbe Arbeit abnimmt: Wer den Benutzernamen bereits kennt, muss nur noch das Passwort erraten. Da WordPress bei älteren Installationen standardmäßig den Benutzernamen „admin“ vergab, ist dieser weltweit der meistgenutzte und meistangegriffene WordPress-Login-Name überhaupt. Die folgenden Abschnitte erklären, wie Angreifer das ausnutzen, welche Benutzernamen als unsicher gelten und wie Sie Ihre WordPress-Sicherheit gezielt verbessern.

Wie nutzen Angreifer den Standard-Benutzernamen aus?

Angreifer setzen bei WordPress-Brute-Force-Angriffen automatisierte Skripte ein, die systematisch Passwörter ausprobieren. Wenn der Benutzername bereits bekannt ist, reduziert sich der Angriff auf das bloße Durchprobieren von Passwörtern. Mit dem Standardnamen „admin“ entfällt die erste Hürde vollständig, was den Angriff erheblich effizienter macht.

Konkret funktioniert ein solcher WordPress-Brute-Force-Angriff so: Bots scannen das Internet automatisch nach WordPress-Installationen, erkennen die typische Login-URL /wp-login.php und beginnen sofort, Passwörter gegen bekannte Standardbenutzernamen zu testen. Listen mit Millionen häufiger Passwörter sind frei verfügbar, und moderne Botnetze können Tausende Versuche pro Minute ausführen. Je vorhersehbarer der Benutzername, desto schneller gelingt ein erfolgreicher Einbruch.

Darüber hinaus lässt sich der WordPress-Admin-Benutzername in vielen Fällen sogar öffentlich auslesen. Die WordPress-REST-API gibt standardmäßig Autoreninformationen preis, sodass der Benutzername eines Administrators unter Umständen ohne jegliche Authentifizierung abgerufen werden kann. Wer also „admin“ als Benutzernamen verwendet, macht es Angreifern doppelt leicht.

Welche Benutzernamen gelten als unsicher bei WordPress?

Als unsicher gelten alle WordPress-Benutzernamen, die leicht zu erraten oder öffentlich bekannt sind. Dazu zählen vor allem generische Standardnamen, Namen, die direkt mit der Website in Verbindung stehen, sowie persönliche Informationen, die aus dem Impressum oder sozialen Netzwerken ablesbar sind.

Die häufigsten unsicheren Benutzernamen im Überblick:

  • admin — der klassische WordPress-Standardname, der bei älteren Installationen automatisch vergeben wurde
  • administrator — eine naheliegende Variante, die ebenfalls in Angriffslisten enthalten ist
  • test, demo, user — häufig bei Entwicklungsumgebungen vergeben und selten geändert
  • Der eigene Vor- oder Nachname — oft im Impressum oder als Autorenname sichtbar
  • Der Domainname oder Unternehmensname — naheliegend und daher leicht zu erraten
  • E-Mail-Adresse als Benutzername — WordPress erlaubt den Login per E-Mail, doch wenn die Adresse öffentlich ist, ist auch der Zugang halb bekannt

Ein sicherer Benutzername ist hingegen zufällig, enthält keine persönlichen Informationen und lässt keinen Rückschluss auf die Rolle des Nutzers zu. Eine Kombination aus Buchstaben, Zahlen und Sonderzeichen, die keinem Wort entspricht, erschwert automatisierte Angriffe erheblich.

Wie ändert man den Admin-Benutzernamen in WordPress?

WordPress erlaubt es nicht, den Benutzernamen eines bestehenden Kontos direkt im Dashboard zu ändern. Stattdessen gibt es drei zuverlässige Methoden, um einen unsicheren WordPress-Admin-Benutzernamen zu ersetzen.

Methode 1: Neues Administratorkonto anlegen

Die einfachste und sicherste Methode ist das Anlegen eines neuen Benutzerkontos mit Administratorrechten und einem sicheren Benutzernamen. Anschließend meldet man sich mit dem neuen Konto an und löscht das alte „admin“-Konto. Dabei fragt WordPress, ob bestehende Inhalte dem neuen Benutzer zugewiesen werden sollen. Diese Option unbedingt wählen, damit keine Beiträge oder Seiten verloren gehen.

Methode 2: Änderung per phpMyAdmin

Wer direkten Datenbankzugang hat, kann den Benutzernamen in der Tabelle wp_users direkt in der Spalte user_login ändern. Diese Methode ist effektiv, erfordert aber technisches Grundverständnis und sollte nur mit einem vorherigen Datenbank-Backup durchgeführt werden.

Methode 3: Plugin nutzen

Plugins wie „Username Changer“ ermöglichen die direkte Änderung des Benutzernamens im WordPress-Dashboard ohne Datenbankzugriff. Für eine einmalige Änderung reicht das aus, danach kann das Plugin wieder deinstalliert werden.

Welche weiteren Maßnahmen schützen die WordPress-Login-Seite?

Ein sicherer Benutzername allein reicht nicht aus, um die WordPress-Login-Seite zuverlässig zu schützen. Wirksame Sicherheit entsteht durch mehrere aufeinander abgestimmte Maßnahmen, die Brute-Force-Angriffe erschweren oder vollständig blockieren.

Die wichtigsten Schutzmaßnahmen für den WordPress-Login:

  • Starkes Passwort: Mindestens 16 Zeichen, Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Passwort-Manager helfen dabei, solche Passwörter zu verwalten.
  • Zwei-Faktor-Authentifizierung (2FA): Selbst wenn Benutzername und Passwort bekannt sind, verhindert ein zweiter Faktor den Zugang. Plugins wie „WP 2FA“ machen die Einrichtung unkompliziert.
  • Login-Versuche begrenzen: Plugins wie „Limit Login Attempts Reloaded“ sperren IP-Adressen nach einer definierten Anzahl fehlgeschlagener Versuche automatisch.
  • Login-URL ändern: Die Standard-URL /wp-login.php ist allgemein bekannt. Eine individuelle Login-URL reduziert automatisierte Angriffe spürbar.
  • Web Application Firewall (WAF): Eine Firewall filtert schädliche Anfragen, bevor sie die Login-Seite überhaupt erreichen.
  • XML-RPC deaktivieren: Diese Schnittstelle wird häufig für Brute-Force-Angriffe missbraucht und sollte deaktiviert werden, wenn sie nicht benötigt wird.
  • SSL-Zertifikat: HTTPS verschlüsselt die Übertragung von Login-Daten und verhindert, dass Anmeldedaten im Klartext abgefangen werden.

Wer seinen WordPress-Sicherheitsstatus prüfen möchte, sollte regelmäßig kontrollieren, ob alle diese Maßnahmen aktiv und aktuell sind. Sicherheit ist kein einmaliger Vorgang, sondern ein kontinuierlicher Prozess.

Wann sollte man professionellen WordPress-Support hinzuziehen?

Professionellen WordPress-Support sollte man hinzuziehen, wenn technische Sicherheitsmaßnahmen das eigene Know-how übersteigen, wenn eine WordPress-Website bereits kompromittiert wurde oder wenn die Sicherheit einer geschäftskritischen Website dauerhaft gewährleistet sein muss. In diesen Situationen überwiegt der Nutzen professioneller Unterstützung den Aufwand der Eigenabsicherung deutlich.

Konkrete Situationen, in denen externer Support sinnvoll ist:

  • Die Website wurde gehackt oder zeigt unbekannte Inhalte, Weiterleitungen oder Fehlermeldungen
  • Sicherheitsplugins schlagen Alarm, aber die Ursache ist unklar
  • Der Zugang zum WordPress-Dashboard ist nicht mehr möglich
  • Eine bestehende Website soll umfassend auf Sicherheitslücken geprüft werden
  • Regelmäßige Updates, Backups und Monitoring sollen zuverlässig und ohne eigenen Aufwand laufen

Besonders für Unternehmen, bei denen die Website ein zentrales Vertriebsinstrument ist, lohnt sich eine professionelle WordPress-Wartung als dauerhafte Absicherung.

Wie WP-Profi bei der Absicherung Ihrer WordPress-Website hilft

Wir bei WP-Profi übernehmen die vollständige Absicherung Ihrer WordPress-Website, damit Sie sich auf Ihr Kerngeschäft konzentrieren können. Unsere Leistungen im Bereich WordPress-Sicherheit umfassen:

  • Sicherheits-Audit: Wir prüfen Ihre bestehende Installation auf Schwachstellen, unsichere Benutzernamen, veraltete Plugins und fehlerhafte Konfigurationen
  • Wartungspakete ab 14 Euro monatlich: Inklusive täglicher Backups, wöchentlicher Updates, Firewall, Malware-Schutz und Caching
  • Notfallsupport: Bei einem Sicherheitsvorfall stehen wir auch an Wochenenden und Feiertagen zur Verfügung, um Ihre Website schnellstmöglich wiederherzustellen
  • Deutschsprachiger Support: Alle Kommunikation läuft auf Deutsch, direkt und ohne Umwege
  • DSGVO-konformer Betrieb: Alle Daten werden ausschließlich auf Servern in Deutschland gespeichert

Ob einmalige Absicherung oder laufende Betreuung: Wir sorgen dafür, dass Ihre WordPress-Website dauerhaft sicher, aktuell und zuverlässig läuft. Termin vereinbaren und noch heute mit der Absicherung starten.

Ähnliche Artikel

Profi-Check für deine Website

Prüfe dein WordPress mit unserem kostenlosen Webseiten-Check und erhalte ausführliche Ergebnisse und Handlungsempfehlungen zur Performance, Sicherheit, Barrierefreiheit und SEO.
Kostenlosen Profi-Check starten