Bei der Bearbeitung deiner Website beginnt alles auf der Anmeldeseite mit dem WordPress Login in das Backend.
Zu Beginn einer jeden Karriere als WordPress Nutzer stellt sich die Frage:
โWie logge ich mich eigentlich ein?โ.
In diesem Artikel zeige ich dir aber nicht nur, wie du dich einloggst.
Du wirst erfahren, wie du unerwรผnschte Anmeldungen auf deiner Login-Seite verhindern kannst (ca. 16% aller Einbrรผche in WordPress Websites passieren รผber die Login Maske โ Quelle) und wie du bei Problemen mit dem Login ganz schnell eine Lรถsung hast.
Wo finde ich den WordPress Login?
Die Login-Seite erreichst du nach der WordPress Installation von Haus aus immer unter der selben URL. (Vorausgesetzt, sie wurde von dir nicht verรคndert)
Um auf die Anmeldeseite zu kommen, gib einfach in deine Adresszeile die folgende URL ein:
deinedomain.de/admin
Durch diese Eingabe wirst du automatisch zu der korrekten Webseite weitergeleitet, welche den WordPress Login steuert: die wp-login.php Datei.
Solltest du bereits eingeloggt gewesen sein, wirst du statt zu der WordPress Login URL โ/wp-login.php โdirekt in das Dashboard (โ/wp-adminโ) weitergeleitet.
Nach der Eingabe der oben genannten URL wird dein Browser dich also zu folgender URL weiterleiten (die du natรผrlich auch direkt eingeben kannst, statt nur โ/adminโ):
deinedomain.de/wp-login.php
Hier findest du nun die bekannte WordPress Login-Maske und kannst dich in WordPress anmelden.
๐ง Die WordPress Login URL ist von Haus aus immer รผber โdeinedomain.de/adminโ zu erreichen. Damit du diesen Link immer schnell erreichst, setze dir am besten ein Lesezeichen.
Mach es dir einfach mit der โAngemeldet bleibenโ Funktion
Unterhalb der beiden Felder fรผr deinen Benutzernamen / E-Mail Adresse und das Passwort gibt es eine Checkbox mit der Beschreibung โAngemeldet bleibenโ.
Wenn du hier den Haken setzt und dich anmeldest, wird in deinem Browser ein Cookie gesetzt und beim nรคchsten Aufruf der WordPress Login URL bist du, ohne dich einloggen zu mรผssen, direkt im Dashboard.
Dieses Cookie hat eine Laufzeit von 14 Tagen. Das bedeutet also, dass du dich aus Sicherheitsgrรผnden nach 14 Tagen erneut einloggen musst.
Loggst du dich ein, ohne den Haken bei โAngemeldet bleibenโ zu setzen, wirst du dieses komfortable Verhalten nur fรผr zwei Tage genieรen kรถnnen und musst dich anschlieรend erneut anmelden.
So kannst du das WordPress Login absichern
Je nach Quelle finden etwa 8-16% (Quelle) aller erfolgreichen Angriffe auf WordPress Websites รผber die Login-Maske statt. Der Groรteil der Websites wird รผber veraltete Plugins, Themes & WordPress-Versionen geknackt.
Auf die Login-Maske laufen sogenannte โBrute-Forceโ Attacken. Hierbei wird mit mรถglichst viel Rechenpower versucht, sich mit einer Kombination aus den รผblichen Nutzernamen und klassischen Passwรถrtern WordPress anzumelden. Diese Versuche lassen Hacker tรคglich tausend bis hunderttausendfach gegen fast jede WordPress Website laufen.
Es gibt ein paar einfache Maรnahmen, mit denen du in fรผnf Minuten mehr Sicherheit fรผr deine WordPress Login-Seite gegen solche unerwรผnschten Anmeldeversuche kreieren kannst. Diese Maรnahmen sind ein wichtiger Schritt, wenn du deine Website gerade erstellst oder auch, wenn sie schon lรคnger besteht und Angriffen ausgesetzt ist.
Nutze sichere Zugangsdaten
Der beste Weg gegen erfolgreiche Angriffe รผber das WordPress Login ist die Nutzung eines wirklich sicheren Passworts.
In einem Bericht รผber Sicherheit von Sucuri wurden die am hรคufigsten ausprobierten Nutzernamen und Passwรถrter bei den Brute-Force Attacken verรถffentlicht.
Am meisten ausprobierte Benutzernamen:
admin
test
administrator
Admin
root
Am hรคufigsten ausprobierte Passwรถrter:
admin
123456
666666
111111
12345678
qwerty
1234567
Ja, ich weiรโฆ Solche einfachen Benutzer und Passwรถrter nutzt doch niemand zum Anmeldenโฆ
Doch, diese Benutzernamen und Passwรถrter sind hรคufig im Einsatz, obwohl sie keinerlei Sicherheit bieten. Es gibt ja schlieรlich einen Grund, wieso die bรถsen Hacker diese Kombinationen nutzen.
Und woher soll auch jeder WordPress Nutzer wissen, dass โAdminโ als Benutzer keine gute Idee ist.
So, jetzt sollte es aber jeder wissen!
Nutze als fรผr deinen Zugriff keinen der โรผblichenโ Begriffe. Da du dich ja auch statt des Nutzernamens mit deiner E-Mail Adresse einloggen kannst, kรถnntest du auch eine willkรผrliche Zeichenfolge als Benutzer verwenden.
Dein Passwort sollte zudem eine willkรผrliche Ziffern-, Buchstaben- und Sonderzeichenfolge sein. Wรถrter zu verwenden ist deutlich gefรคhrlicher, als zufรคllig angeordnete Klein- und Groรbuchstaben, Ziffern und Sonderzeichen.
๐ง Nutze keine โklassischenโ Zugangsdaten und ergรคnze sie am besten mit einer Ziffernfolge. Wรคhle als Passwort keine โechtenโ Wรถrter, sondern eine zufรคllige Abfolge von Ziffern, Klein- und Groรbuchstaben und Sonderzeichen.
Blockiere IP Adressen mit mehrfach fehlerhaften Loginversuchen
Die oben angesprochenen Brute-Force Attacken werden bei dir natรผrlich keinen Erfolg zeigen, da du ja spรคtestens jetzt ein sicheres Zugangspasswort und keinen der klassischen Nutzernamen verwendest.
Trotzdem finden diese Hackerangriffe weiterhin statt, die sich bei WordPress anmelden wollen und belasten deinen Server. Natรผrlich nicht so stark, dass sie deine Website lahm legen. Trotzdem ist es so, dass mit jedem Angriff die Last fรผr den Server minimal steigt.
Bei manchen sehr guten Hostern wie RAIDBOXES (hier bei mir im Test) ist ein Schutz integriert, wodurch IP Adressen mit zu vielen fehlerhaften Loginversuchen (vorรผbergehend) blockiert werden.
Wenn dein Hoster eine solche Funktion nicht anbietet (was bei den meisten der Fall ist), kannst du sie mit dem kostenlos Plugin โLimit Login Attempts Reloadedโ nachrรผsten.
Nach der Installation musst du einmal zu โEinstellungenโ -> โLimit Login Attemptsโ navigieren. Setze dort auf jeden Fall den Haken bei โGDPR complianceโ, damit die IP Adressen wie von der DSGVO gefordert verschlรผsselt werden und stelle bei โLockoutโ die gewรผnschten erlaubten Versuche und Sperrzeiten ein.
Du kannst bei den unter โLockoutโ hinterlegten Daten auch alles stehen lassen, wie es von Haus aus ist.
Solltest du dich aus Versehen selber aussperren, kannst du das Plugin jederzeit per FTP deaktivieren und anschlieรend den WordPress Login wieder wie gewohnt aufrufen.
๐ง Mit dem kostenlosen Plugin โLimit Login Attempts Reloadedโ kannst du gegen Brute-Force vorgehen und Nutzer bei unerwรผnschten Zugriffen automatisch sperren lassen, die sich zu oft falsch einloggen wollen. (Setze unbedingt den Haken bei โGDPR complianceโ, damit das Plugin DSGVO konform ist)
Verstecke die WordPress Login URL
Es gibt eine weitere einfache Mรถglichkeit, den meisten automatisierten Angriffen auszuweichen: Du verรคnderst die WordPress standard Login URL!
Diese ganzen oben angesprochenen Anmeldeversuche laufen von Hackern automatisiert ab und machen sich dabei die immer gleichbleibende WordPress Login URL zu Nutze. Ist diese Seite zur Anmeldung nicht erreichbar, kann sie auch nicht angegriffen werden.
Mit dem kostenlosen WordPress Login Plugin โWPS Hide Loginโ wird deine Login-URL zu einer beliebigen anderen URL geรคndert.
Nach der Aktivierung findest du die zwei einzigen Einstellungen dieses Plugins unter โEinstellungenโ -> โAllgemeinโ.
Natรผrlich solltest du dir die neue Login URL merken oder einfach ein Lesezeichen setzen. Aber solltest du sie mal vergessen, kannst du das WordPress Login Plugin per FTP deaktivieren und anschlieรend wieder wie gewohnt auf die WordPress standard Login URL zugreifen..
๐ง Wenn du die WordPress Login URL รคndern mรถchtest, um automatisierte Angriffe abzuwehren, nutze das kostenlose Plugin โWPS Hide Loginโ. Du kannst dich dann รผber eine selbst festgelegte URL in WordPress anmelden.
Der WordPress Login funktioniert nicht
Irgendwann stรถรt jeder mal an seine Grenzen beim WordPress Login. Fast tรคglich liest man in diversen Facebook Gruppen: โMein WordPress Login funktioniert nichtโ, โIch kann mich nicht anmeldenโ oder auf eine andere Art und Weise, dass der WordPress Login nicht mรถglich ist.
Es gibt verschiedene Grรผnde, wieso es Probleme beim Einloggen geben kann. Hier sind die drei Klassiker und ihre Lรถsungen.
Ich habe mein Passwort vergessen
Das kommt natรผrlich mal vor. Wenn du es nicht im Browser gespeichert und es auch nicht mehr im Kopf hast, kannst du jederzeit รผber den โPasswort vergessen?โ Link unterhalb der Loginmaske die Generierung eines neuen starten.
Hierfรผr gibst du im nรคchsten Schritt einfach deine E-Mail Adresse oder deinen Benutzernamen ein und bekommst anschlieรend eine E-Mail mit einem Link zugesandt.
Klicke diesen Link dann einfach an, gib ein neues Passwort ein und du kannst dich wieder anmelden.
๐ง Wenn du dein Passwort vergessen hast, klicke unterhalb der Loginmaske auf โPasswort vergessen?โ, gib deine E-Mail Adresse oder deinen Nutzernamen ein und du bekommst eine E-Mail mit einem Link zur Erstellung des neuen Passworts.
Die Login-Seite lรคsst sich nicht aufrufen
Wenn du dich einloggen mรถchtest und die Login-Seite nicht erreichbar ist, musst du dir keine Sorgen machen. Das lรคsst sich in 99% der Fรคlle recht einfach korrigieren.
Du bekommst einen โ500 Server Errorโ
Wenn dir ein 500er Error angezeigt wird, prรผfe als erstes, ob dein Frontend (also deine Website selber) noch erreichbar ist. Gibt es dort das selbe Probleme hat das meistens einen dieser beiden Grรผnde:
- Der Server bei deinem Hoster ist gerade kurzzeitig nicht erreichbar
- Ein Plugin oder Theme macht Probleme
Wenn es an dem Server liegt, kannst du entweder den Support deines Hosters anrufen und nachfragen oder auf der Website des Hosters nach einer โStatusโ oder โServerstatusโ Seite schauen. Wenn es daran liegt, sollte deine Website innerhalb von kurzer Zeit (meist deutlich unter einer Stunde) wieder erreichbar sein.
Sollte es nicht am Server liegen, ist ein Problem mit einem Plugin oder Theme am wahrscheinlichsten. Du kannst das ganz einfach herausfinden, indem du dich per FTP einloggst und den Pluginordner umbenennst (wp-content -> plugins). Machst du das, werden alle Plugins deaktiviert.
Kannst du dich anschlieรend wieder einloggen, ist eines der Plugins schuld und du kannst sie einzeln wieder aktivieren.
Wenn es anschlieรend immer noch nicht geht, gehe genau gleich mit dem Themesordner vor (wp-content -> themes).
Die Seite ist komplett weiร
Der gefรผrchtete โWhite Screen of Deathโโฆ
Auch hier liegt das Problem mit hoher Wahrscheinlichkeit bei einem Plugin oder Theme. Logge dich also via FTP ein und benenne den Pluginordner um (wp-content -> plugins). Dadurch werden alle Plugins deaktiviert und du kannst prรผfen, ob die weiรe Seite noch erscheint. Wenn du die WordPress Login Seite wieder ordentlich aufrufen kannst, logge dich ein und aktiviere ein Plugin nach dem anderen wieder. Dadurch findest du die Fehlerquelle heraus.
Wenn keines der Plugins das Problem verursacht, deaktiviere alle Themes, indem du den Themeordner umbenennst (wp-content -> themes). Kannst du dich wieder einloggen, wird es an deinem bisher immer aktiven Theme liegen.
Du wirst zu oft weitergeleitet (too many redirects)
Leider ein recht hรคufig auftretendes Problem beim WordPress Login. Hierbei bekommst du keinerlei Fehlermeldung, sondern wirst einfach immer weitergeleitet bis dein Browser irgendwann mit einer Meldung โError, too many redirectsโ aufgibt.
Es gibt hier mehrere Lรถsungsansรคtze, wir gehen sie hier durch und starten bei den am einfachsten umsetzbaren:
Beim Login wird, wie du oben sicherlich gelesen hast, ein Cookie von WordPress in deinem Browser gesetzt. Manchmal kann das auch schon die Fehlerquelle sein.
Lรถsche also zur Sicherheit deinen Browsercache und die gespeicherten Cookies. Das funktioniert bei jedem Browser etwas anders, Ionos hat hierfรผr eine gute Anleitung fรผr die gรคngigen Webbrowser geschrieben.
Deaktiviere alle Plugins
Probiere aus, ob eines deiner Plugins das Problem verursacht. Logge dich per FTP ein und benenne den Pluginsordner unter wp-content -> plugins um. Nenne ihn beispielsweise โPlugins_altโ oder รคhnliches. Durch das Umbenennen werden alle Plugins deaktiviert.
Rufe nun die WordPress Login URL erneut auf. Wenn du dich einloggen kannst, deaktiviere ein Plugin nach dem anderen. So findest du heraus, welches Schuld ist!
Generiere eine neue .htaccess Datei
Manchmal liegt es auch an einer der mรคchtigsten Dateien in WordPress: der .htaccess Datei.
Wenn es dort einen fehlerhaften Eintrag gibt (der gar nicht von dir kommen muss, da auch manche Plugins in diese Datei schreiben), kann das die Ursache sein.
Auf die .htaccess Datei hast du Zugriff, wenn du dich per FTP einloggst und in deinem FTP Programm โversteckte Dateienโ anzeigen lรคsst. Anschlieรend siehst du sie als ausgegraute Datei in deinem WordPress Hauptverzeichnis.
Benenne sie nun um und prรผfe, ob der WordPress Login wieder erreichbar ist.
Wenn du dich wieder einloggen kannst, navigiere unter โEinstellungenโ -> โPermalinksโ und klicke einfach unten auf โรnderungen speichernโ. Dadurch wird eine frische .htaccess erstellt.
Hinterlege die Site- und Home-URL
Hat nichts der bisherigen Maรnahmen geholfen, logge dich per FTP ein und รถffne die wp-config.php Datei im Hauptverzeichnis von WordPress.
Dort fรผgen wir nun ein bisschen Code ein, um WordPress ganz klar zu sagen, รผber welche URL das Anmelden zu laufen hat.
Fรผge dort nun die beiden folgenden Codezeilen ein und ersetze โdeinedomain.deโ mit deinem Domainnamen:
define('WP_HOME','https://deinedomain.de');
define('WP_SITEURL','https://deinedomain.de');
Fรผge diese Zeilen irgendwo in einer leeren Zeile ein, nur nicht in der ersten oder letzten Zeile.
Hattest du schonmal Probleme mit dem WordPress Login oder hast aktuell sogar welche? Hinterlasse einen Kommentar und ich helfe dir gerne!
Super erklรคrt. Vielen Dank!
Moin Alfred,
sehr gerne! ๐
Grรผรe
Jonas
Groรartige Tipps, lieber Jonas. Ganz herzlichen Dank.
Ich werde auf jeden Fall die Login-URL meiner Blogs รคndern.
Ich habe extrem viele Angriffe, die mir das Plugin iThemes Security anzeigt.
Macht es Sinn, zusรคtzlich das Plugin Limit Login Attempts Reloaded zu installieren?
Herzliche Grรผรe aus Berlin
Roswitha
Moin Roswitha,
das kannst du auf jeden Fall beides gut kombinieren! ๐
Allerdings hat iThemes Security soweit ich weiร auch eine Funktion zur Einschrรคnkung der Loginversuche. Wenn ich es korrekt im Kopf habe, nennt sich das dort „Brute Force Protection“.
Dann brauchst du dafรผr natรผrlich kein zusรคtzliches Plugin ๐
Ich danke dir, Jonas. Habe gleich mal die Einstellungen in meinem Plugin geprรผft und verschรคrft. ๐
Herzliche Grรผรe aus Berlin
Roswitha
Hallo Jonas,
ich lese Deinen Newsletter immer total gerne! Jetzt habe ich fรผr unser รถrtliches Tierasyl eine Homepage erstellt, die noch gar nicht fertig ist. Ich habe sรคmtliche Login Daten gespeichert und kann mich trotzdem seit heute nicht mehr einloggen! Es erscheint eine Fehlermeldung: โKontoprรผfung ausstehend: Dein Konto ist momentan noch nicht aktiv. Ein Administrator muss Dein Konto aktivieren, bevor du dich anmelden kannstโ Ich bin aber selbst der Administrator! Der Support von allinkl kann mir nicht helfen. Fรผr ein Backup sei der Vertrag zu neu. Es existiert ein Backup, das aber meine ganze Arbeit zunichte machen wรผrde. An der IP-Adresse liegt es NICHT. Ich wechselte die Gerรคte und Browser, aber ich komme nicht ins Backend! Kannst Du mir helfen, Jonas? DANKE ๐!!! Liebe Grรผรe Katharina
Moin Katharina,
da ich von dieser Fehlermeldung beim WP Login noch nie gelesen oder gehรถrt habe, nehme ich an, dass du ein Plugin installiert hast, dass den Login schรผtzt bzw. Nutzer kontrolliert.
Du kรถnntest dich via FTP einloggen und den plugins-Ordner umbenennen. Dadurch werden alle Plugins deaktiviert und du kannst schauen, ob das Problem noch besteht.
Grรผรe
Jonas
Hast Du mal wieder sehr schรถn aufgebaut!
Schรถnen Tag noch, Kornelia Pfรผtze
Vielen Dank, Jonas!!
Super erklรคrt.
Konnte mich nicht einloggen .
Hab mich durch FTP durchgegraben. Zu guter Letzt bei "Hinterlege die Site- und Home-URL" hat's funktioniert!!! ๐
Servus Jonas,
genau vor dem Problem stehe ich aktuell. Gerade hab ich noch auf der Internetseite gearbeitet, meldet mich der Browser ab und ich komm nicht mehr drauf. Ich hatte das gleiche Problem bei meiner privaten Interenseite und konnte es mit den genannten Tricks und Tipps lรถsen. Hier funktionier das nicht! Egal was ich auch versucht habe ich komme aus der Schleife nicht raus.
Gibt es noch einen anderen Trick?
LG Andrรฉ
Moin,
ich wรผrde in diesem Fall zuerst einmal den Browsercache leeren oder einen anderen Browser / ein Incognito-Fenster nutzen. Hรคufig ist bei solchen Login-Problemen der Cache Schuld ๐
Grรผรe
Jonas