Einstellungen bei WordPress: Wer bin ich? Und wenn ja: Wie sicher ist das?

Einstellungen bei WordPress: Wer bin ich? Und wenn ja: Wie sicher ist das?

Ob Benutzername, Nickname oder öffentlicher Name – in Deinem WordPress wirst Du an mehreren Stellen nach verschiedenen Namen gefragt. Hier gilt: Trage niemals dieselben Angaben ein. Wir zeigen Dir, was das mit der Sicherheit Deines WordPress zu tun hat und wie Du individuelle Einstellungen vornehmen kannst.

Wer bist Du? Die richtige Nutzerbezeichnung

Legst Du Dich als neuen Benutzer Deines WordPress an, gibt es dafür ein standardisiertes Verfahren. Hier liegt der Teufel im Detail. Denn Du musst Einstellungen vornehmen, die für die Sicherheit Deines CMS wesentlich sind. Wichtig: Wähle als Benutzernamen ein Pseudonym oder eine kryptische Zeichenfolge. Mehr dazu erfährst Du in diesem Beitrag.

Wer sieht was? Die Sicherheitslücke

Einmal einen Benutzernamen festgelegt, kannst Du ihn anschließend nicht mehr ändern. Die Krux: Er erscheint allen Nutzern, die Dein Autorenprofil aufrufen, in der URL. Für Hacker ein gefundenes Fressen. So machst Du es ihnen leichter, sich in Dein Konto einzuschleichen.

Wichtig: Es gibt Themes, bei denen das aufgezeigte Problem nicht besteht. Glück für Dich: Du musst nichts weiter tun. Allen anderen geben wir zwei Möglichkeiten an die Hand, die Struktur der angezeigten URL zu verändern.

Was tun? Die Lösung

Um hier die Sicherheitsvorkehrungen zu verstärken, musst Du die Autoren-URL, auch Author Slug genannt, verändern.

Option 1: Das Plugin

Wir empfehlen Dir das Plugin Edith Author Slug. Hast Du es installiert, kannst Du anschließend die URL-Struktur ganz einfach über EinstellungenEdit Author Slug anpassen.

Option 2: Die Code-Anpassung

Hierfür musst Du zunächst Deinen automatisch festgelegten Spitznamen ändern. Gehe dafür in die Übersicht aller angelegten Benutzer und wähle Deinen Benutzer aus. In der Übersicht erscheinen nun zusätzliche Eingabefelder – darunter Spitzname (erforderlich). Hier trägst Du Deinen Autorennamen ein, zum Beispiel Deinen reellen Namen oder ein Pseudonym.

Anschließend erweiterst Du die functions.php Deines Themes um zwei Funktionen: authorsPosts_request und authorsPosts_link. Beide findest Du im unten dargestellten Code Snippet. Dafür lädst Du die Datei via FTP aus Deinem Webspace herunter. In einem Source Code Editor Deiner Wahl fügst Du anschließend folgende Code-Zeile ein – am besten ganz am Ende:

function authorsPosts_request( $query_vars )
{
    if ( array_key_exists( 'author_name', $query_vars ) ) {
        global $wpdb;
        $author_id = $wpdb->get_var( $wpdb->prepare( "SELECT user_id FROM {$wpdb->usermeta} WHERE meta_key='nickname' AND meta_value = %s", $query_vars['author_name'] ) );
        if ( $author_id ) {
            $query_vars['author'] = $author_id;
            unset( $query_vars['author_name'] );    
        }
    }
    return $query_vars;
}
add_filter( 'request', 'authorsPosts_request' );


function authorsPosts_link( $link, $author_id, $author_nicename )
{
    $author_nickname = get_user_meta( $author_id, 'nickname', true );
    if ( $author_nickname ) {
        $link = str_replace( $author_nicename, $author_nickname, $link );
    }
    return $link;
}
add_filter( 'author_link', 'authorsPosts_link', 10, 3 );

Eine letzte Hürde ist noch zu nehmen: Der alte Author Slug existiert im Grunde weiterhin. Deshalb ist es abschließend notwendig, diesen auf den neuen Author Slug umzuleiten. Dafür richtest Du, gemäß diesem Beispiel, einen Permanent Redirect in der .htaccess Datei ein.

Die gelb hinterlegten Stellen ersetzt Du durch Deinen Benutzer- bzw. Spitznamen.

Jetzt bist Du wieder auf der sicheren Seite und kannst Dich um die Inhalte Deines WordPress kümmern – vielleicht ja um einen weiteren Autoren-Beitrag. 😉

Schlagworte: ,

Teilen

  1. Avatar

    Nomis sagte am

    ein sehr interessanter Artikel mit guten Tipps. Da ich WP Anfänger bin, helfen mir solche Tipps immer weiter. Vielen Dank.

    Antworten

Sie können erst kommentieren, wenn Sie unseren Datenschutzbestimmungen und den Cookies zugestimmt haben. Aus Datenschutzrechtlichen Gründen dürfen wir andernfalls keine personenbezogenen Daten von Ihnen aufzeichnen.

Klicken Sie dazu einfach unten im Browser Fenster auf den blauen Button Akzeptieren. Nach dem Neuladen der Seite können Sie Ihr Kommentar schreiben.