Tobias Scheible Cyber Security & IT-Forensik Dozent
WordPress MultiSite Administrator

WordPress MultiSite – Admin Benutzernamen ändern

Möchte man im Nachhinein den Benutzernamen eines WordPress Administrators ändern, ist das nicht über das normale Backend ohne weiteres möglich. Entweder muss ein Plugin dafür verwendet werden, der Benutzer getauscht werden oder von Hand die Einträge in der MySQL Datenbank angepasst werden. Bei einer WordPress MultiSite Installation ist das Ganze noch ein bisschen komplizierter.

Mittwoch, 22. Januar 2014
7 Kommentare
Web Development
Wordpress, CMS, Admin, Datenbank, MySQL

Wird der Benutzernamen „admin“ in WordPress für den ersten Benutzer mit allen Rechten verwendet, kann dies von Angreifern ausgenutzt werden, da bei einem einfachen Ausprobieren des Passworts (Brute-Force) schon eine von zwei Komponenten bekannt ist. Daher sollte ein anderer Name gewählt werden.

Plugin zum Ändern des Benutzernamens

Am einfachsten kann der Benutzernamen bei einer normalen Installation über ein Plugin geändert werden. Zum Beispiel kann dazu das Plugin Admin renamer extended verwendet werden. Auf perun.net gibt es eine kleine Anleitung für dieses WordPress Plugin.

Neuer Benutzer anlegen und Admin löschen

Soll kein Plugin verwendet werden, gibt es noch die Möglichkeit, einen neuen Benutzer mit Adminrechten anzulegen und den alten Benutzer zu löschen. Bei dem Löschvorgang können alle Beiträge zum neuen Benutzer übertragen werden. PAS solutions hat dafür ein kleines How To geschrieben.

Manuell die Datenbank bearbeiten

Alternativ kann der Benutzer direkt in der Datenbank geändert werden. Wie immer, gilt es erst ein MySQL-Backup der Datenbank zu erstellen. Danach kann zum Beispiel mit PHPMyAdmin die Tabelle wp_users bearbeitet werden. Der Eintrag mit der ID 1 ist der Admin. Dort kann nun die Spalte user_login geändert werden. Hier gibt es eine Anleitung dafür.

Zusätzliche Einträge bei einer MultiSite Installation

Ist nun das MultiSite Feature aktiviert oder Buddypress installiert, reicht zum Beispiel das Ändern der Datenbank wie oben beschrieben nicht aus. Ich habe bei mir die Änderungen vorgenommen und konnte mich dann nicht mehr mit meinem Hauptbenutzer anmelden. Die Lösung war, dass es hier noch einen extra Benutzer gibt, der sich Netzwerk-Administrator nennt. Der Datenbank-Eintrag für diesen Benutzer befindet sich nicht in der Tabelle wp_users, sondern in der Tabelle wp_sitemeta. Dort gibt es einen Eintrag mit der Bezeichnung site_admins, der zum Beispiel diesen Wert aufweisen kann:

a:1:{i:0;s:5:"admin";}

Um nun den Netzwerk-Administrator Benutzer zu ändern, kann dieser Eintrag einfach angepasst werden:

a:1:{i:0;s:12:"benutzer_neu";}

Über Tobias Scheible

Tobias Scheible

Hallo, mein Name ist Tobias Scheible. Ich bin begeisterter Informatiker und Sicherheitsforscher mit den Schwerpunkten Cyber Security und IT-Forensik. Mein Wissen teile ich gerne anhand von Fachartikeln hier in meinem Blog und in meinem Fachbuch. Als Referent halte ich Vorträge und Workshops für Verbände und Unternehmen u. a. auch offene Veranstaltungen für den VDI und die IHK.

Kommentare

Maik am 26. Januar 2014 um 18:33 Uhr

Wiedermal einiges gelernt, danke dafür 😉
Mal sehen ob ich das zu Hause dann ohne hier nachzugucken hinbekomm 😛

Sebastian am 10. Februar 2014 um 10:24 Uhr

Super Beitrag! Da bin ich doch direkt um einiges schlauer. Werde es jetzt auch direkt mal bei mir ausprobieren 🙂

Boris am 7. August 2014 um 18:12 Uhr

Schade ist nur,

das es komplizierter werden kann, wenn man ein login-blocker plugin installiertt hat. Anders kann ich es mir nicht erklären, jedoch nach dem manuellen Änderns des wordpress admin users via HeidiSQL /phpmyadmin, erhalte ich nur noch eine ERROR Seite anstatt der login Seite.
Das Frontend ist ebenso gesperrt.

Ich vermute, dass halt hier ein anti-login plugin greift und ich hoffe, morgen wieder einloggen zu können, falls meine IP gesperrt ist.

Bernhard am 10. Februar 2015 um 16:18 Uhr

Hallo Tobias,
kann es sein, dass die angegebene Änderung im Array
a:1:{i:0;s:5:“benutzer_neu“;}
für die Multisite-Installation nicht ganz stimmt?
’s:5′ bezeichnet normalerweise die Zeichenanzahl für den nächsten Feldeintrag – ‚admin‘ besteht aus 5 Zeichen, ‚benutzer_neu‘ dagegen aus 12.

Tobias Scheible am 22. Februar 2015 um 14:09 Uhr

Stimmt – ist korrigiert – Dankeschön.

Birgit am 7. April 2016 um 12:50 Uhr

Vielen Dank für den Tipp, konnte ich grade super gebrauchen!
Erst konnte ich mich mit dem neuen Superadmin-Namen auch nicht einloggen, bis ich dann Bernhards Kommentar sah und dementsprechend den ,s:5′ Wert entsprechend der Zeichenzahl meines neuen Superadmin-Namens geändert hatte.
Vorher war mir dieses ‚s:5′ auch kein Begriff 😉

Jens am 15. Oktober 2017 um 20:51 Uhr

Vielen Dank für den Tipp: Vor allem das mit der Länge des neuen Benutzernamens hatte mich erst aus der Bahn geworfen… 🙂

Schreibe einen Kommentar!

Hilfe zum Kommentieren und Hiweise

Um kommentieren zu können, geben sie bitte mindestens ihren Namen und ihre E-Mail-Adresse an. Bitte nutzen Sie die Kommentarfunktion nicht dazu, andere zu beleidigen oder Spam zu verbreiten. Trolle und Spammer sind hier unerwünscht! Unangemessene Kommentare, die zum Beispiel gegen geltendes Recht verstoßen, eine Gefährdung anderer Besucher darstellen oder keinen sinvollen Inhalt beinhalten, werden gelöscht oder angepasst.

Name: Ihr Name, der oberhalb des Kommentars steht, gerne auch Ihren echten Namen, das erleichtert die Kommunikation für alle. Sollte ein Spam-Keyword als Name verwendet werden, kann dieses entfernt oder korrigiert werden.

E-Mail: Ihre E-Mail Adresse dient zur Identifizierung weiterer Kommentare und damit ich direkt Kontakt aufnehmen kann. Die E-Mail Adresse wird natürlich nicht veröffentlicht und nicht weitergegeben.

Website: Hier können Sie ihren eigenen Blog bzw. ihre eigene Website eintragen, dadurch wird Ihr Name und Ihr Avatar-Bild verlinkt. Werden rein kommerzielle Angebote offensichtlich beworben, setze ich den Link auf nofollow und unangemessene werden einfach entfernt.

Erlaubte HTML-Tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <hr> <big> <small> <sub> <sup> <u>

Ihre E-Mailadresse wird nicht veröffentlicht. Mit dem Absenden anerkennen Sie die Datenschutzhinweis des Blogs.