1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

WP 5.1 Löschen des Admin verhindern

Dieses Thema im Forum "Konfiguration" wurde erstellt von clubbiker, 13. März 2019.

Schlagworte:
  1. clubbiker

    clubbiker Active Member

    Registriert seit:
    15. Juni 2013
    Beiträge:
    29
    Zustimmungen:
    0
    Hallo,

    wie kann ich verhindern bzw. sperren, dass ein Admin einen anderen Admin löschen kann?

    Schon mal vielen Dank für die Unterstützung.

    Gruß Thomas
     
  2. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    4.743
    Zustimmungen:
    337
    Das geht verlässlich nur dann, wenn der andere Account innerhalb von WordPress weder Rechte zum Verwalten der Benutzer noch zum Verwalten von Theme oder Plugins hat (da Benutzer löschen auch einfach via PHP geht), also z.B. eine "Redakteur" bzw. englisch "Editor" Rolle.

    Mehr zum Thema z.B. via Suchmaschine wordpress roles capabilities (google).

    Natürlich darf der andere Benutzer auch keinen FTP-Zugang und keinen Zugang zu phpMyAdmin im Hosting o.ä. haben, denn darüber kann man das Löschen usw. auch ausserhalb von WordPress machen.
     
  3. clubbiker

    clubbiker Active Member

    Registriert seit:
    15. Juni 2013
    Beiträge:
    29
    Zustimmungen:
    0
    Ich gehe davon aus, der der andere Admin keine PHP- und Datenbankkenntnisse besitzt. Es genügt also, wenn der eine Admin keine Möglichkeit zum Löschen des anderen Admin aus dem Backend heraus hat.
     
  4. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    4.743
    Zustimmungen:
    337
    Du kannst z.B. der Rolle des Accounts die delete_users Capability entziehen, mehr dazu siehe Link oben, dann kann er aber auch keine sonstigen Accounts löschen.

    Zusätzlich müsstest Du auch verhindern, dass der nicht vertrauenswürdige Account einen neuen Admin Account anlegen kann, der dann wiederum Dich löschen könnte.

    Zusätzlich müsstest Du verhindern, dass der nicht vertrauenswürdige Account die Benutzerrolle Deines Accounts von Admin auf eine niedrigere Rolle ändern kann, da er Dich sonst auch "aussperren" könnte.

    Alternativ kannst Du eine entspr. "Sperre" über eine delete_user Action programmieren, die auf Deinen Account "aufpasst".

    Für Mitleser: Jemand (oder ein Kumpel von jemand) mit paar Minuten Google und etwas Programmiererfahrung kann all diese Ansätze aber meist sehr leicht umgehen, daher poste ich auch keinerlei Beispiele dazu.
     
  5. clubbiker

    clubbiker Active Member

    Registriert seit:
    15. Juni 2013
    Beiträge:
    29
    Zustimmungen:
    0
    Oder ganz einfach... Ich könnte doch auch den Admin über "Display:none;" im Backend verstecken. Weißt Du, welche CSS dafür geändert werden muss?
     
  6. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    7.452
    Zustimmungen:
    165
    Das funktioniert nicht. @b3317133 hat den möglichen Weg aufgezeigt.
     
  7. clubbiker

    clubbiker Active Member

    Registriert seit:
    15. Juni 2013
    Beiträge:
    29
    Zustimmungen:
    0
    Funktioniert doch. Über die edit.min.css
     
  8. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    7.452
    Zustimmungen:
    165
    Und beim nächsten Update wird die Datei überschrieben. Ausserdem verhindert das nicht die Löschung.
     
  9. Kurt Singer

    Kurt Singer Well-Known Member

    Registriert seit:
    28. Mai 2017
    Beiträge:
    605
    Zustimmungen:
    39
    Wenn in einem Projekt ein Admin Angst haben muss, von einem anderen Admin gelöscht zu werden, dann wird der obsiegen, der als erster die Löschfunktion betätigt. Mag verstehen, wer will, ich würde mich in so einem Fall selbst löschen, um damit nichts mehr zu tun zu haben. :eek:
     
    SEpp55 und SirEctor gefällt das.
  10. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    4.743
    Zustimmungen:
    337
    Für Mitleser: Die Lösung dafür, dass ein Kunde keinen "Unsinn" macht, ist ein o.g. "Redakteur" Account für den Kunden, damit kann man einen WordPress Website im Alltagsbetrieb komplett betreiben, evtl. die Rolle ganz leicht angepasst für spezielle Bedürfnisse, und dazu ein extra "Administrator" Account mit Kennwort in einem versiegelten Umschlag, und nach Öffnen des Umschlags endet der Support oder er wird teuer.
     
  11. SirEctor

    SirEctor WPDE-Team
    Mitarbeiter

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    11.320
    Zustimmungen:
    237
    Man kann user verstecken, z. B. über solch eine Funktion
    Code:
    Entschuldige, aber du musst dich registrieren oder anmelden um den Inhalt sehen zu können!
    Das nur der Vollständigkeit halber. Einen Redakteur anzulegen ist dennoch die bessere Variante. Denn als Admin kommt man auch an die functions.php und kann das einfach auskommentieren etc.
     
    clubbiker gefällt das.
  12. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    4.743
    Zustimmungen:
    337
    @SirEctor Damit erscheint der versteckte Account zwar nicht mehr in der Liste selbst, wird aber nach wie vor noch oberhalb der Liste mitgezählt, was auffallen könnte, z.B.
    Neben dem dann Suchen und Finden der geposteten Funktion kann man den Account auch einfach so löschen, wenn man den "Löschen" Link eines anderen Accounts in der Liste kopiert und die user ID im Link entspr. errät (oft 1 beim ursprünglichen Admin) und austauscht oder einfach einige IDs durchprobiert, es folgt eine Abfrage mit einer Löschbestätigung, wo der jeweils zugehörige Login angezeigt wird. Die _wpnonce im Link ist für alle Accounts der angezeigten Liste gleich, eigentlich ein Bug, wenn man das genau nimmt...
     
  13. SirEctor

    SirEctor WPDE-Team
    Mitarbeiter

    Registriert seit:
    28. Oktober 2008
    Beiträge:
    11.320
    Zustimmungen:
    237
    Ich weiß das man als Admiin immer Mittel und Wege hat andere zu löschen. Ich glaube aber auch, dass der TE keine 100% Lösung sucht.
     
  14. mensmaximus

    mensmaximus Well-Known Member

    Registriert seit:
    24. Juli 2014
    Beiträge:
    7.452
    Zustimmungen:
    165
    Der sicherste Weg das Löschen eines Objektes (Post, Benutzer, Taxonomy, Term, usw.) zu verhindern ist die Nutzung des Filters 'map_meta_cap'. Ich nutze das z.B. in Plugins wenn es nicht möglich sein soll vordefinierte Produkteigenschaften, notwendige Seiten oder Rollen zu löschen. Durch hinzufügen von 'do_not_allow' zu den $required_caps wird es unmöglich die betroffene Aktion auszuführen - selbst der Admin kann es nicht.
     
  15. clubbiker

    clubbiker Active Member

    Registriert seit:
    15. Juni 2013
    Beiträge:
    29
    Zustimmungen:
    0
    Ich danke Dir. Das ist die perfekte Lösung!

    Denn den Personen, für die ich eine WordPress-Website erstelle, fehlt meistens das Wissen, um zu erkennen, dass sich noch ein versteckter Administrator im System befindet. Sollte ihm die Anzahl der Administratoren, oberhalb der Liste auffallen, so fehlt ihm in den meisten Fällen dass wissen, wie er diesen Administrator sichtbar machen kann bzw. diesen löschen kann.

    Also KLASSE und noch mal vielen Dank!
     
  16. b3317133

    b3317133 Well-Known Member

    Registriert seit:
    21. November 2014
    Beiträge:
    4.743
    Zustimmungen:
    337
    Für Mitleser: Das ist natürlich keine sinnvolle Lösung, ganz im Gegenteil, man unterminiert mit solchen "Backdoors" die Sicherheit des entspr. Websites und bringt nebenbei den Websitebetreiber auch bzgl. DSGVO in Erklärungsnöte, da dieser seinen Besuchern sicher nichts von diesen Zugriffsmöglichkeiten Dritter auf ggf. übermittelte Daten mitgeteilt hat, da er nichts davon weiss. Den Rest hat @Kurt Singer bereits sehr gut erklärt.
     
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden