WordPress: Name statt Benutzername bei Kommentaren anzeigen
Zufällig ist mir aufgefallen, dass bei einer Antwort bei Kommentaren auf einer WordPress-Website mein Username (Benutzername) und nicht mein Name angezeigt wird. Potentielle Angreifer haben in dem Fall zumindest schon mal eine Information, die ich normalerweise nicht preisgeben möchte. Das ist zwar sicher kein Problem, aber hat mir trotzdem nicht gefallen. Woran das liegt und wie man das korrigieren kann, beschreibe ich in dem folgenden Beitrag.
Nach der Erstellung einer Website für das neue WordPress-Meetup Südsauerland haben wir nach unserem ersten Treffen einige Kommentare erhalten. Bei einem Blick auf die Kommentare ist mir aufgefallen, dass bei den Antworten von mir mein Username erscheint. Auch wenn das kein großes Problem in Bezug auf die Sicherheit einer Website ist, möchte ich ungern bei meinen Antworten den Username sehen.
Warum wird der Benutzername (Username) bei Kommentaren gezeigt?
Schauen wir uns zunächst ein Beispiel an, wie das bei einem Kommentar aussieht:
Das Problem hängt schlicht und ergreifend damit zusammen, dass ich bei der Eingabe als Benutzer (in dem Fall hgg_tester) meinen Vor- und Nachnamen beim Profil nicht eingegeben hatte.
Aber auch im Nachhinein kann man das noch bei den Antworten in den Kommentaren ändern. Dazu muss man lediglich im Backend bei den Kommentaren im Feld „Name“ z. B. seinen Vor- und Nachnamen eingeben:
Natürlich sollte man in solchen Fällen auch das Profil wie oben angegeben ändern. Allerdings muss man bei den Antworten unter Kommentare auch nach Änderung des Profils trotzdem im Feld „Name“ die Bezeichnung manuell ändern.
WordPress-Benutzername: Anzeige bei Kommentaren verhindern
Auch wenn das kein Sicherheitsproblem ist (siehe Links), kann u. a. die Anzeige des WordPress-Benutzernamens durch verschiedene Plugins verhindert werden. Wir verwenden nicht nur wegen dieses Problems sehr gerne das Plugin NinjaFirewall. Die NinjaFirewall hat einen nützlichen File Guard und Dateisystem Monitor. Wenn man die Mails, Security Alerts ein paar Tage beobachtet, bekommt man darüber recht gut mit, wenn noch etwas problematisch sein sollte. Außerdem dokumentiert das Plugin Login Vorgänge, Passwortänderungen, Dateiänderungen, etc.
Bessere Sicherheit durch Two Factor Authentifizierung
Wir empfehlen immer, zusätzlich das Plugin Two-Factor einzusetzen. Bei diesem Plugin erfolgt nach der bekannten Anmeldung noch ein zweiter Schritt, bei dem man z. B. einen Code aus 8 Zahlen, den man per Mail erhält, eingibt. Dabei wird die Mailadresse verwendet, die man bei der Erstellung des Profils angegeben hat.
Fazit
Natürlich ist es kein Sicherheitsproblem, wenn der Benutzername statt Vor- und Nachname bei Kommentaren angezeigt wird. Trotzdem ist das etwas unschön und über die hier dargestellte Methode kann man das auch im Nachhinein recht einfach verhindern.
Links und Quellen
- Securing WordPress with a Web Application Firewall: NinjaFirewall (WP Edition).
https://blog.nintechnet.com/securing-wordpress-with-a-web-application-firewall-ninjafirewall/#:~:text=Protect%20against%20username%20enumeration - Sicherheitsmythos: Anmeldenamen in WordPress verstecken
https://torstenlandsiedel.de/2016/02/28/sicherheitsmythos-anmeldenamen-in-wordpress-verstecken/ - 6 ways to enumerate WordPress Users
https://www.gosecure.net/blog/2021/03/16/6-ways-to-enumerate-wordpress-users/ - Hide WordPress Usernames to Improve WordPress Security
https://melapress.com/hide-wordpress-usernames-improve-wordpress-security/
https://melapress.com/wordpress-username-disclosure-vulnerability/ - Why Showing The WordPress Username Is Not A Security Risk
https://wptavern.com/why-showing-the-wordpress-username-is-not-a-security-risk - WordPress Meetup Südsauerland
https://wpmeetup-suedsauerland.de/
Weitere Beiträge zum Thema (Block Neueste Beiträge)
- Abfrage-Loop (Query-Loop) im Code-Editor anpassen
- Verschiedene Schriftgrößen in Blöcken
- WordPress Meetup Südsauerland: Tipps zu Plugins
- Probleme mit Permalinks lösen
- Veröffentlichungsdatum und Aktualisierungsdatum in Templates
Wir freuen uns über eine Kontaktaufnahme
Was hältst du davon?
Wir hoffen, dieser Beitrag hat dir gefallen und wir würden uns über einen Kommentar freuen. Auch über Erweiterungen, Korrekturen, Hinweise oder sonstige Anmerkungen freuen wir uns sehr.
Newsletter: Wenn du über unsere neuesten Beiträge und Neuigkeiten rund um WordPress informiert werden möchtest, kannst du dich gerne bei unserem kostenlosen Newsletter anmelden.
Blog: Auf der folgenden Seite findest du weitere interessante Beiträge sortiert nach Kategorien und Schlagwörtern.
Schreibe einen Kommentar