Wer eine Webseite verwaltet – ob mit WordPress oder einem anderen Content Management-System – der meldet sich mit seinem Benutzernamen und Passwort an, um Inhalte zu bearbeiten.

Eine Anmeldung kann jeder versuchen. Machen auch viele. Überwiegend werden Bots von Spammern und andere finstere Gestalten versuchen, sich auf dem Backend Ihrer Webseite anzumelden. Deshalb ist es natürlich wichtig ein sicheres Passwort zu verwenden. Empfehlenswert ist es aber auch, einen Benutzernamen zu verwenden, der nicht so leicht zu erraten ist.

Die auf meinen WordPress-Projekten genutzte Sicherheitssoftware Wordfence sperrt automatisch IP-Adressen, über die mehrfach Anmeldeversuche mit falschem Passwort oder ungültigem Benutzernamen erfolgt sind. Die Ergebnisse der Anmeldeversuche werden übersichtlich in einer Auswertung dargestellt. Den Auswertungen kann man entnehmen, dass bestimmte Benutzernamen von Angreifern besonders gerne verwendet werden.

Favorit unter den Angreifern ist der Name der Domain als Benutzername – dieser sollte also vermieden werden. „test“ oder „admin“ sind ebenfalls unter den missbrauchsanfälligsten Usernamen, wie die von Wordfence erstellte Auswertungstabelle zeigt:

Dass die wenigsten Bots die Autorennamen von WordPress-Beiträgen ermitteln, um diese für Anmeldeversuche zu verwenden, überrascht, denn die Anmeldenamen von Autoren werden von WordPress angezeigt. Insofern sollte außer einem guten Benutzernamen immer auch ein sicheres Passwort verwendet werden.

Wordfence ist in jedem Fall ein hilfreiches Plugin zur Absicherung von WordPress-Installationen und gehört bei meinen WordPress-Projekten zur Standardausrüstung.