Bei der Bearbeitung deiner Website beginnt alles auf der Anmeldeseite mit dem WordPress Login in das Backend.
Zu Beginn einer jeden Karriere als WordPress Nutzer stellt sich die Frage:
„Wie logge ich mich eigentlich ein?“.
In diesem Artikel zeige ich dir aber nicht nur, wie du dich einloggst.
Du wirst erfahren, wie du unerwünschte Anmeldungen auf deiner Login-Seite verhindern kannst (ca. 16% aller Einbrüche in WordPress Websites passieren über die Login Maske – Quelle) und wie du bei Problemen mit dem Login ganz schnell eine Lösung hast.
Wo finde ich den WordPress Login?
Die Login-Seite erreichst du nach der WordPress Installation von Haus aus immer unter der selben URL. (Vorausgesetzt, sie wurde von dir nicht verändert)
Um auf die Anmeldeseite zu kommen, gib einfach in deine Adresszeile die folgende URL ein:
deinedomain.de/admin
Durch diese Eingabe wirst du automatisch zu der korrekten Webseite weitergeleitet, welche den WordPress Login steuert: die wp-login.php Datei.
Solltest du bereits eingeloggt gewesen sein, wirst du statt zu der WordPress Login URL „/wp-login.php „direkt in das Dashboard („/wp-admin“) weitergeleitet.
Nach der Eingabe der oben genannten URL wird dein Browser dich also zu folgender URL weiterleiten (die du natürlich auch direkt eingeben kannst, statt nur „/admin“):
deinedomain.de/wp-login.php
Hier findest du nun die bekannte WordPress Login-Maske und kannst dich in WordPress anmelden.
🧐 Die WordPress Login URL ist von Haus aus immer über „deinedomain.de/admin“ zu erreichen. Damit du diesen Link immer schnell erreichst, setze dir am besten ein Lesezeichen.
Mach es dir einfach mit der „Angemeldet bleiben“ Funktion
Unterhalb der beiden Felder für deinen Benutzernamen / E-Mail Adresse und das Passwort gibt es eine Checkbox mit der Beschreibung „Angemeldet bleiben“.
Wenn du hier den Haken setzt und dich anmeldest, wird in deinem Browser ein Cookie gesetzt und beim nächsten Aufruf der WordPress Login URL bist du, ohne dich einloggen zu müssen, direkt im Dashboard.
Dieses Cookie hat eine Laufzeit von 14 Tagen. Das bedeutet also, dass du dich aus Sicherheitsgründen nach 14 Tagen erneut einloggen musst.
Loggst du dich ein, ohne den Haken bei „Angemeldet bleiben“ zu setzen, wirst du dieses komfortable Verhalten nur für zwei Tage genießen können und musst dich anschließend erneut anmelden.
So kannst du das WordPress Login absichern
Je nach Quelle finden etwa 8-16% (Quelle) aller erfolgreichen Angriffe auf WordPress Websites über die Login-Maske statt. Der Großteil der Websites wird über veraltete Plugins, Themes & WordPress-Versionen geknackt.
Auf die Login-Maske laufen sogenannte „Brute-Force“ Attacken. Hierbei wird mit möglichst viel Rechenpower versucht, sich mit einer Kombination aus den üblichen Nutzernamen und klassischen Passwörtern WordPress anzumelden. Diese Versuche lassen Hacker täglich tausend bis hunderttausendfach gegen fast jede WordPress Website laufen.
Es gibt ein paar einfache Maßnahmen, mit denen du in fünf Minuten mehr Sicherheit für deine WordPress Login-Seite gegen solche unerwünschten Anmeldeversuche kreieren kannst. Diese Maßnahmen sind ein wichtiger Schritt, wenn du deine Website gerade erstellst oder auch, wenn sie schon länger besteht und Angriffen ausgesetzt ist.
Nutze sichere Zugangsdaten
Der beste Weg gegen erfolgreiche Angriffe über das WordPress Login ist die Nutzung eines wirklich sicheren Passworts.
In einem Bericht über Sicherheit von Sucuri wurden die am häufigsten ausprobierten Nutzernamen und Passwörter bei den Brute-Force Attacken veröffentlicht.
Am meisten ausprobierte Benutzernamen:
admin
test
administrator
Admin
root
Am häufigsten ausprobierte Passwörter:
admin
123456
666666
111111
12345678
qwerty
1234567
Ja, ich weiß… Solche einfachen Benutzer und Passwörter nutzt doch niemand zum Anmelden…
Doch, diese Benutzernamen und Passwörter sind häufig im Einsatz, obwohl sie keinerlei Sicherheit bieten. Es gibt ja schließlich einen Grund, wieso die bösen Hacker diese Kombinationen nutzen.
Und woher soll auch jeder WordPress Nutzer wissen, dass „Admin“ als Benutzer keine gute Idee ist.
So, jetzt sollte es aber jeder wissen!
Nutze als für deinen Zugriff keinen der „üblichen“ Begriffe. Da du dich ja auch statt des Nutzernamens mit deiner E-Mail Adresse einloggen kannst, könntest du auch eine willkürliche Zeichenfolge als Benutzer verwenden.
Dein Passwort sollte zudem eine willkürliche Ziffern-, Buchstaben- und Sonderzeichenfolge sein. Wörter zu verwenden ist deutlich gefährlicher, als zufällig angeordnete Klein- und Großbuchstaben, Ziffern und Sonderzeichen.
🧐 Nutze keine „klassischen“ Zugangsdaten und ergänze sie am besten mit einer Ziffernfolge. Wähle als Passwort keine „echten“ Wörter, sondern eine zufällige Abfolge von Ziffern, Klein- und Großbuchstaben und Sonderzeichen.
Blockiere IP Adressen mit mehrfach fehlerhaften Loginversuchen
Die oben angesprochenen Brute-Force Attacken werden bei dir natürlich keinen Erfolg zeigen, da du ja spätestens jetzt ein sicheres Zugangspasswort und keinen der klassischen Nutzernamen verwendest.
Trotzdem finden diese Hackerangriffe weiterhin statt, die sich bei WordPress anmelden wollen und belasten deinen Server. Natürlich nicht so stark, dass sie deine Website lahm legen. Trotzdem ist es so, dass mit jedem Angriff die Last für den Server minimal steigt.
Bei manchen sehr guten Hostern wie RAIDBOXES (hier bei mir im Test) ist ein Schutz integriert, wodurch IP Adressen mit zu vielen fehlerhaften Loginversuchen (vorübergehend) blockiert werden.
Wenn dein Hoster eine solche Funktion nicht anbietet (was bei den meisten der Fall ist), kannst du sie mit dem kostenlos Plugin „Limit Login Attempts Reloaded“ nachrüsten.
Nach der Installation musst du einmal zu „Einstellungen“ -> „Limit Login Attempts“ navigieren. Setze dort auf jeden Fall den Haken bei „GDPR compliance“, damit die IP Adressen wie von der DSGVO gefordert verschlüsselt werden und stelle bei „Lockout“ die gewünschten erlaubten Versuche und Sperrzeiten ein.
Du kannst bei den unter „Lockout“ hinterlegten Daten auch alles stehen lassen, wie es von Haus aus ist.
Solltest du dich aus Versehen selber aussperren, kannst du das Plugin jederzeit per FTP deaktivieren und anschließend den WordPress Login wieder wie gewohnt aufrufen.
🧐 Mit dem kostenlosen Plugin „Limit Login Attempts Reloaded“ kannst du gegen Brute-Force vorgehen und Nutzer bei unerwünschten Zugriffen automatisch sperren lassen, die sich zu oft falsch einloggen wollen. (Setze unbedingt den Haken bei „GDPR compliance“, damit das Plugin DSGVO konform ist)
Verstecke die WordPress Login URL
Es gibt eine weitere einfache Möglichkeit, den meisten automatisierten Angriffen auszuweichen: Du veränderst die WordPress standard Login URL!
Diese ganzen oben angesprochenen Anmeldeversuche laufen von Hackern automatisiert ab und machen sich dabei die immer gleichbleibende WordPress Login URL zu Nutze. Ist diese Seite zur Anmeldung nicht erreichbar, kann sie auch nicht angegriffen werden.
Mit dem kostenlosen WordPress Login Plugin „WPS Hide Login“ wird deine Login-URL zu einer beliebigen anderen URL geändert.
Nach der Aktivierung findest du die zwei einzigen Einstellungen dieses Plugins unter „Einstellungen“ -> „Allgemein“.
Natürlich solltest du dir die neue Login URL merken oder einfach ein Lesezeichen setzen. Aber solltest du sie mal vergessen, kannst du das WordPress Login Plugin per FTP deaktivieren und anschließend wieder wie gewohnt auf die WordPress standard Login URL zugreifen..
🧐 Wenn du die WordPress Login URL ändern möchtest, um automatisierte Angriffe abzuwehren, nutze das kostenlose Plugin „WPS Hide Login„. Du kannst dich dann über eine selbst festgelegte URL in WordPress anmelden.
Der WordPress Login funktioniert nicht
Irgendwann stößt jeder mal an seine Grenzen beim WordPress Login. Fast täglich liest man in diversen Facebook Gruppen: „Mein WordPress Login funktioniert nicht„, „Ich kann mich nicht anmelden“ oder auf eine andere Art und Weise, dass der WordPress Login nicht möglich ist.
Es gibt verschiedene Gründe, wieso es Probleme beim Einloggen geben kann. Hier sind die drei Klassiker und ihre Lösungen.
Ich habe mein Passwort vergessen
Das kommt natürlich mal vor. Wenn du es nicht im Browser gespeichert und es auch nicht mehr im Kopf hast, kannst du jederzeit über den „Passwort vergessen?“ Link unterhalb der Loginmaske die Generierung eines neuen starten.
Hierfür gibst du im nächsten Schritt einfach deine E-Mail Adresse oder deinen Benutzernamen ein und bekommst anschließend eine E-Mail mit einem Link zugesandt.
Klicke diesen Link dann einfach an, gib ein neues Passwort ein und du kannst dich wieder anmelden.
🧐 Wenn du dein Passwort vergessen hast, klicke unterhalb der Loginmaske auf „Passwort vergessen?“, gib deine E-Mail Adresse oder deinen Nutzernamen ein und du bekommst eine E-Mail mit einem Link zur Erstellung des neuen Passworts.
Die Login-Seite lässt sich nicht aufrufen
Wenn du dich einloggen möchtest und die Login-Seite nicht erreichbar ist, musst du dir keine Sorgen machen. Das lässt sich in 99% der Fälle recht einfach korrigieren.
Du bekommst einen „500 Server Error“
Wenn dir ein 500er Error angezeigt wird, prüfe als erstes, ob dein Frontend (also deine Website selber) noch erreichbar ist. Gibt es dort das selbe Probleme hat das meistens einen dieser beiden Gründe:
- Der Server bei deinem Hoster ist gerade kurzzeitig nicht erreichbar
- Ein Plugin oder Theme macht Probleme
Wenn es an dem Server liegt, kannst du entweder den Support deines Hosters anrufen und nachfragen oder auf der Website des Hosters nach einer „Status“ oder „Serverstatus“ Seite schauen. Wenn es daran liegt, sollte deine Website innerhalb von kurzer Zeit (meist deutlich unter einer Stunde) wieder erreichbar sein.
Sollte es nicht am Server liegen, ist ein Problem mit einem Plugin oder Theme am wahrscheinlichsten. Du kannst das ganz einfach herausfinden, indem du dich per FTP einloggst und den Pluginordner umbenennst (wp-content -> plugins). Machst du das, werden alle Plugins deaktiviert.
Kannst du dich anschließend wieder einloggen, ist eines der Plugins schuld und du kannst sie einzeln wieder aktivieren.
Wenn es anschließend immer noch nicht geht, gehe genau gleich mit dem Themesordner vor (wp-content -> themes).
Die Seite ist komplett weiß
Der gefürchtete „White Screen of Death“…
Auch hier liegt das Problem mit hoher Wahrscheinlichkeit bei einem Plugin oder Theme. Logge dich also via FTP ein und benenne den Pluginordner um (wp-content -> plugins). Dadurch werden alle Plugins deaktiviert und du kannst prüfen, ob die weiße Seite noch erscheint. Wenn du die WordPress Login Seite wieder ordentlich aufrufen kannst, logge dich ein und aktiviere ein Plugin nach dem anderen wieder. Dadurch findest du die Fehlerquelle heraus.
Wenn keines der Plugins das Problem verursacht, deaktiviere alle Themes, indem du den Themeordner umbenennst (wp-content -> themes). Kannst du dich wieder einloggen, wird es an deinem bisher immer aktiven Theme liegen.
Du wirst zu oft weitergeleitet (too many redirects)
Leider ein recht häufig auftretendes Problem beim WordPress Login. Hierbei bekommst du keinerlei Fehlermeldung, sondern wirst einfach immer weitergeleitet bis dein Browser irgendwann mit einer Meldung „Error, too many redirects“ aufgibt.
Es gibt hier mehrere Lösungsansätze, wir gehen sie hier durch und starten bei den am einfachsten umsetzbaren:
Beim Login wird, wie du oben sicherlich gelesen hast, ein Cookie von WordPress in deinem Browser gesetzt. Manchmal kann das auch schon die Fehlerquelle sein.
Lösche also zur Sicherheit deinen Browsercache und die gespeicherten Cookies. Das funktioniert bei jedem Browser etwas anders, Ionos hat hierfür eine gute Anleitung für die gängigen Webbrowser geschrieben.
Deaktiviere alle Plugins
Probiere aus, ob eines deiner Plugins das Problem verursacht. Logge dich per FTP ein und benenne den Pluginsordner unter wp-content -> plugins um. Nenne ihn beispielsweise „Plugins_alt“ oder ähnliches. Durch das Umbenennen werden alle Plugins deaktiviert.
Rufe nun die WordPress Login URL erneut auf. Wenn du dich einloggen kannst, deaktiviere ein Plugin nach dem anderen. So findest du heraus, welches Schuld ist!
Generiere eine neue .htaccess Datei
Manchmal liegt es auch an einer der mächtigsten Dateien in WordPress: der .htaccess Datei.
Wenn es dort einen fehlerhaften Eintrag gibt (der gar nicht von dir kommen muss, da auch manche Plugins in diese Datei schreiben), kann das die Ursache sein.
Auf die .htaccess Datei hast du Zugriff, wenn du dich per FTP einloggst und in deinem FTP Programm „versteckte Dateien“ anzeigen lässt. Anschließend siehst du sie als ausgegraute Datei in deinem WordPress Hauptverzeichnis.
Benenne sie nun um und prüfe, ob der WordPress Login wieder erreichbar ist.
Wenn du dich wieder einloggen kannst, navigiere unter „Einstellungen“ -> „Permalinks“ und klicke einfach unten auf „Änderungen speichern“. Dadurch wird eine frische .htaccess erstellt.
Hinterlege die Site- und Home-URL
Hat nichts der bisherigen Maßnahmen geholfen, logge dich per FTP ein und öffne die wp-config.php Datei im Hauptverzeichnis von WordPress.
Dort fügen wir nun ein bisschen Code ein, um WordPress ganz klar zu sagen, über welche URL das Anmelden zu laufen hat.
Füge dort nun die beiden folgenden Codezeilen ein und ersetze „deinedomain.de“ mit deinem Domainnamen:
define('WP_HOME','https://deinedomain.de');
define('WP_SITEURL','https://deinedomain.de');
Füge diese Zeilen irgendwo in einer leeren Zeile ein, nur nicht in der ersten oder letzten Zeile.
Hattest du schonmal Probleme mit dem WordPress Login oder hast aktuell sogar welche? Hinterlasse einen Kommentar und ich helfe dir gerne!
Super erklärt. Vielen Dank!
Moin Alfred,
sehr gerne! 🙂
Grüße
Jonas
Großartige Tipps, lieber Jonas. Ganz herzlichen Dank.
Ich werde auf jeden Fall die Login-URL meiner Blogs ändern.
Ich habe extrem viele Angriffe, die mir das Plugin iThemes Security anzeigt.
Macht es Sinn, zusätzlich das Plugin Limit Login Attempts Reloaded zu installieren?
Herzliche Grüße aus Berlin
Roswitha
Moin Roswitha,
das kannst du auf jeden Fall beides gut kombinieren! 🙂
Allerdings hat iThemes Security soweit ich weiß auch eine Funktion zur Einschränkung der Loginversuche. Wenn ich es korrekt im Kopf habe, nennt sich das dort „Brute Force Protection“.
Dann brauchst du dafür natürlich kein zusätzliches Plugin 🙂
Ich danke dir, Jonas. Habe gleich mal die Einstellungen in meinem Plugin geprüft und verschärft. 🙂
Herzliche Grüße aus Berlin
Roswitha
Hallo Jonas,
ich lese Deinen Newsletter immer total gerne! Jetzt habe ich für unser örtliches Tierasyl eine Homepage erstellt, die noch gar nicht fertig ist. Ich habe sämtliche Login Daten gespeichert und kann mich trotzdem seit heute nicht mehr einloggen! Es erscheint eine Fehlermeldung: „Kontoprüfung ausstehend: Dein Konto ist momentan noch nicht aktiv. Ein Administrator muss Dein Konto aktivieren, bevor du dich anmelden kannst“ Ich bin aber selbst der Administrator! Der Support von allinkl kann mir nicht helfen. Für ein Backup sei der Vertrag zu neu. Es existiert ein Backup, das aber meine ganze Arbeit zunichte machen würde. An der IP-Adresse liegt es NICHT. Ich wechselte die Geräte und Browser, aber ich komme nicht ins Backend! Kannst Du mir helfen, Jonas? DANKE 🙏!!! Liebe Grüße Katharina
Moin Katharina,
da ich von dieser Fehlermeldung beim WP Login noch nie gelesen oder gehört habe, nehme ich an, dass du ein Plugin installiert hast, dass den Login schützt bzw. Nutzer kontrolliert.
Du könntest dich via FTP einloggen und den plugins-Ordner umbenennen. Dadurch werden alle Plugins deaktiviert und du kannst schauen, ob das Problem noch besteht.
Grüße
Jonas
Hast Du mal wieder sehr schön aufgebaut!
Schönen Tag noch, Kornelia Pfütze
Vielen Dank, Jonas!!
Super erklärt.
Konnte mich nicht einloggen .
Hab mich durch FTP durchgegraben. Zu guter Letzt bei "Hinterlege die Site- und Home-URL" hat's funktioniert!!! 🙂
Servus Jonas,
genau vor dem Problem stehe ich aktuell. Gerade hab ich noch auf der Internetseite gearbeitet, meldet mich der Browser ab und ich komm nicht mehr drauf. Ich hatte das gleiche Problem bei meiner privaten Interenseite und konnte es mit den genannten Tricks und Tipps lösen. Hier funktionier das nicht! Egal was ich auch versucht habe ich komme aus der Schleife nicht raus.
Gibt es noch einen anderen Trick?
LG André
Moin,
ich würde in diesem Fall zuerst einmal den Browsercache leeren oder einen anderen Browser / ein Incognito-Fenster nutzen. Häufig ist bei solchen Login-Problemen der Cache Schuld 🙂
Grüße
Jonas