Maak WordPress veiliger: verwijder de admin-login

Maak WordPress veiliger: verwijder de admin-login

Veel WordPress sites hebben een gebruiker met de naam admin. Deze gebruiker heeft vrijwel altijd beheerdersrechten, waardoor je – eenmaal ingelogd – alles aan kunt passen. Een beheerder de login-naam Admin geven klinkt logisch, maar is qua beveiliging niet handig. Een admin-gebruiker werd in eerdere versies van WordPress automatisch aangemaakt tijdens de installatie.

Brute-force attack

Hackers weten dit ook en proberen op basis van deze gebruikersnaam sites te hacken. Als je weet welke gebruiker beheerdersrechten heeft, hoef je alleen nog maar het wachtwoord te “raden”. En als je dat maar vaak genoeg probeert, heb je vanzelf een keer beet. Standaard heeft WordPress geen beveiliging op het aantal inlogpogingen, zodat hackers ongehinderd hun gang kunnen gaan. Als dit het geval is, spreek je van een brute-force attack.

De afgelopen tijd is er een toename te zien in het aantal WordPress sites dat op deze manier wordt gehackt. Deze sites worden vervolgens voor allerlei doeleinden misbruikt. In veel gevallen wordt de site voorzien van zogenaamde malware. Eenmaal actief, kan de computer van de bezoeker van zo’n site besmet worden. Ook worden geïnfecteerd sites vaak misbruikt om SPAM te versturen. Je kunt dit risico aanzienlijk verkleinen door de admin-gebruiker te verwijderen.

Als je WordPress nog moet installeren, dan is het simpel: kies niet voor de naam admin tijdens (of na) de installatie van WordPress.

De admin gebruiker van WordPress verwijderen

Het verwijderen van de admin-gebruiker in een bestaande WordPress site is niet moeilijk. Het principe is als volgt:

  1. Maak een nieuwe gebruiker aan en/of geef een andere gebruiker beheerdersrechten
  2. Log met die gebruikersnaam in
  3. Verwijder de admin-gebruiker

Bij die laatste stap is het wel belangrijk om eventuele berichten die de admin heeft gemaakt, toe te kennen aan een andere gebruiker. Doe je dit niet, dan zijn die berichten weg.

Stap 1: Een nieuwe gebruiker aanmaken en beheerdersrechten geven

Log in op je WordPress site, ga naar Gebruikers en klik op Nieuwe toevoegen. Kies een nieuwe gebruikersnaam op (dus niet admin) en geef deze de rol Beheerder. Gebruik een moeilijk te raden wachtwoord.

Beheerdersrol WordPress admin

Een andere gebruiker admin-rechten geven

Stap 2: Inloggen als beheerder

Sluit de admin-omgeving af en log in met de nieuwe gebruiker die je zojuist hebt aangemaakt.

Stap 3: De admin verwijderen

Ga naar Gebruikers en kies voor de optie Alle gebruikers. Rol daarna met je muis over de Admin-gebruiker. Je krijgt nu een aantal links te zien. Klik op de link Verwijderen. Hierna stelt WordPress je de vraag wat er met de berichten moet gebeuren die aan de gebruiker zijn gekoppeld. Je hebt de keuze om deze te verwijderen, of om deze aan een andere gebruiker te koppelen. In de meeste gevallen zal je de berichten zichtbaar willen houden op de site. Kies in dat geval voor de optie Alle berichten koppelen aan. Selecteer de gebruiker waar de berichten aan toegekend moeten worden. Klik tot slot op de knop Verwijdering bevestigen om de aanpassing door te voeren.

Admin login verwijderen

Admin verwijderen

Admin verwijderen bevestigen

Berichten aan een andere gebruiker koppelen

Hierna heeft een brute-force attack op de gebruiker Admin geen zin meer.

Tips:

Zorg altijd dat je een wachtwoord gebruikt dat moeilijk is te raden. Gebruik ook niet overal hetzelfde wachtwoord. Koppel ook de Webmaster-tools van Google aan je site en stel in dat je notificaties wilt ontvangen als Google gekke dingen in je site detecteert. Als Google bijvoorbeeld Malware in je site ontdekt, dan ontvang je direct een e-mail. Je kunt dan direct actie ondernemen. Maak ook regelmatig back-ups van je site, zodat je altijd terug kunt vallen op een back-up die niet is geïnfecteerd.

Reacties

  1. Beste Rogier,
    Sinds kort ( zonder enige aanleiding ) is de optie publiceren in de linkerkolom verdwenen op de pagina’s van de site, zodat er eigenlijk niets aan te passen is. Wel vindt er nu een automatische opslag plaats van de pagina’s. Op deze site wordt gebruik gemaakt van 5-6 plug-ins dus dat is ook niet zoveel.
    Het updaten van de site werkt wel. Ik hoop dat u hierin enig advies kunt geven.
    Met vriendelijke groet,
    F.de Koning

  2. Beste Frank,

    Misschien dat deze oplossing je helpt:
    http://jaxov.com/2010/06/wordpress-3.0-publish-update-button-missing/

    Succes en groet, ROgier

Laat wat van je horen

*