Wenn ein Angreifer nur den Benutzernamen kennt, gleichzeitig aber ein sicheres Passwort verwendet wurde, ist das Risiko gehackt zu werden nicht sonderlich groß. Wenn du eine Passwortdatenbank verwendest und für deinen WordPress-User ein 21stelliges Passwort aus Ziffern, Klein- und Großbuchstaben und Sonderzeichen verwendest, dürfte es eine Weile dauern, bis deine Website durch einen Brute-Force-Angriff gehackt wird. (Wie sicher dein Passwort ist, erfährst du z.B. hier.) Selbst beim Passwort „Brigitte$Berg#Mietzekatze“ dauert es einige Jahrhunderte.
Was tatsächlich problematisch ist: Viele Anwender habe aus Bequemlichkeit den Nutzernamen „Admin“ übernommen und sind dann in ihrer Kreativität nicht weiter als bis zum Passwort „12345“ gekommen.
Ob deine Anwendernamen überhaupt preisgegeben werden, kannst du z.B. über die Website https://hackertarget.com/wordpress-security-scan/ herausfinden. Aber wie gesagt: Der Nutzername alleine sagt ja noch nicht viel, wenn du nicht gerade den Vornamen deiner Frau als Passwort verwendest.
Eine wirkungsvollere Schutzmaßnahme ist, das Anmeldeformular durch Zwei-Faktor-Autorisierung zu schützen, bei der zusätzlich zum Passwort mit einem mathematischen Algorithmus (z.B. Google Authenticator) noch ein Sicherheitstoken erzeugt wird, beispielsweise https://wordpress.org/plugins/two-factor/. Zusätzlich kannst du das Anmeldeformular umbenennen (Plugin Rename wp-login.php) und bei zuviel Anmeldeversuchen die IP-Adresse sperren (Plugin Login Lockdown).
Aber das wolltest du jetzt eigentlich alles gar nicht wissen.
❞ Ist das so problemlos möglich?
Ja, klar. Du kannst einen neuen Administrator erstellen und dieser entzieht dem alten Administrator die Rechte.
❞ Gibt es dann noch irgendwelche Referenzen auf den alten Admin?
Wahrscheinlich schon, denn WordPress bietet auch eine Autorenseite und einen dazugehörigen Feed an. Diese kannst du mit dem Plugin Disable Authors abschalten. Ob das nötig ist? Siehe oben …
❞ Bei der Installation wurde der Admin, wie der Seitennamen gewählt, ist dieser dann komplett überschrieben, sobald dieser Autor ist oder kann dieser irgendwie wieder hergestellt werden?
Wenn du die Rechte des alten Admin auf z.B. Autor reduzierst, existiert der Username weiterhin. Willst du den Usernamen unbedingt „loswerden“, kannst du auch einen neuen User mit einem ganz anderen Namen erstellen, den alten Usernamen löschen und die Inhalte dem neuen User zuweisen.
Ansonsten: Immer Backups machen, zeitnah Aktualisierungen durchführen, keine Bonbons (oder Plugins) von Fremdem annehmen, nicht über eine ungeschütze Internetverbindung im Backend anmelden. Hatte ich Backups erwähnt?
