WP Ninjas ist einer der führenden deutschen WordPress Blogs

Schließe dich jetzt über 3.000 Empfängern der WordPress News, Tipps und Tricks an und sichere dir mein meistverkauftes E-Book "WordPress und SEO Grundlagen für Solopreneure" gratis!

Du bekommst etwa eine E-Mail pro Woche. Mehr -> Datenschutz

Der WordPress Login – Einloggen, Absichern, Problembehebung

Der WordPress Login – Einloggen, Absichern, Problembehebung

Bei der Bearbeitung deiner Website beginnt alles mit dem WordPress Login in das Backend.

Zu Beginn einer jeden Karriere als WordPress Nutzer stellt sich die Frage:

„Wie logge ich mich eigentlich ein?“.

In diesem Artikel zeige ich dir aber nicht nur, wie du dich einloggst.

Du wirst erfahren, wie du deine Login-Seite absichern kannst (ca. 16% aller Einbrüche in WordPress Websites passieren über die Login Maske – Quelle) und wie du bei Problemen mit dem Login ganz schnell eine Lösung hast.

Wo finde ich den WordPress Login?

Die Login-Seite erreichst du bei WordPress Installationen von Haus aus immer unter der selben URL. (Vorausgesetzt, sie wurde von dir nicht verändert)

Gib einfach in deinen Browser die folgende URL ein:

deinedomain.de/admin

Durch diese Eingabe wirst du automatisch zu der korrekten Webseite weitergeleitet, welche den WordPress Login steuert: die wp-login.php Datei.

Solltest du bereits eingeloggt gewesen sein, wirst du statt zu der WordPress Login URL „/wp-login.php „direkt in das Dashboard („/wp-admin“) weitergeleitet.

Nach der Eingabe der oben genannten URL wird dein Browser dich also zu folgender URL weiterleiten (die du natürlich auch direkt eingeben kannst, statt nur „/admin“):

deinedomain.de/wp-login.php

Hier findest du nun die bekannte WordPress Login-Maske.

Die WordPress Login Seite
Die klassische WordPress Login-Seite erreichst du über „deinedomain.de/admin“

🧐 Die WordPress Login URL ist von Haus aus immer über „deinedomain.de/admin“ zu erreichen. Damit du diesen Link immer schnell erreichst, setze dir am besten ein Lesezeichen in deinem Browser.

Mach es dir einfach mit der „Angemeldet bleiben“ Funktion

Unterhalb der beiden Felder für deinen Benutzernamen / E-Mail Adresse und das Passwort gibt es eine Checkbox mit der Beschreibung „Angemeldet bleiben“.

Wenn du hier den Haken setzt und dich anmeldest, wird in deinem Browser ein Cookie gesetzt und beim nächsten Aufruf der WordPress Login URL bist du, ohne dich einloggen zu müssen, direkt im Dashboard.

Dieses Cookie hat eine Laufzeit von 14 Tagen. Das bedeutet also, dass du dich aus Sicherheitsgründen nach 14 Tagen erneut einloggen musst.

Loggst du dich ein, ohne den Haken bei „Angemeldet bleiben“ zu setzen, wirst du dieses komfortable Verhalten nur für zwei Tage genießen können und musst dich anschließend erneut anmelden.

So kannst du das WordPress Login absichern

Je nach Quelle finden etwa 8-16% (Quelle) aller erfolgreichen Angriffe auf WordPress Websites über die Login-Maske statt. Der Großteil der Websites wird über veraltete Plugins, Themes & WordPress-Versionen geknackt.

Auf die Login-Maske laufen sogenannte „Brute-Force“ Attacken. Hierbei wird mit möglichst viel Rechenpower eine Kombination aus den üblichen Nutzernamen und klassischen Passwörtern ausprobiert. Diese Angriffe laufen täglich tausend bis hunderttausendfach gegen fast jede WordPress Website.

Es gibt ein paar einfache Maßnahmen, mit denen du in fünf Minuten deine WordPress Login-Seite gegen Angriffe verstärken kannst.

Nutze sichere Nutzernamen & Passwörter

Der beste Weg gegen erfolgreiche Angriffe über das WordPress Login ist die Nutzung eines wirklich sicheren Passworts.

In einem Sicherheitsbericht von Sucuri wurden die am häufigsten ausprobierten Nutzernamen und Passwörter bei den Brute-Force Attacken veröffentlicht.

Am meisten ausprobierte Nutzernamen:

admin
test
administrator
Admin
root

Am häufigsten ausprobierte Passwörter:

admin
123456
666666
111111
12345678
qwerty
1234567

Ja, ich weiß… Solche einfachen Nutzernamen und Passwörter nutzt doch niemand…

Doch, diese Nutzernamen und Passwörter sind häufig im Einsatz. Es gibt ja schließlich einen Grund, wieso bei den Attacken diese Kombinationen genutzt werden.

Und woher soll auch jeder WordPress Nutzer wissen, dass „Admin“ kein guter Nutzername ist.

So, jetzt sollte es aber jeder wissen!

Nutze als Nutzernamen keinen der „üblichen“ Begriffe. Da du dich ja auch statt des Nutzernamens mit deiner E-Mail Adresse einloggen kannst, könntest du auch eine willkürliche Zeichenfolge als Nutzernamen verwenden.

Dein Passwort sollte zudem eine willkürliche Ziffern-, Buchstaben- und Sonderzeichenfolge sein. Wörter zu verwenden ist deutlich gefährlicher, als zufällig angeordnete Klein- und Großbuchstaben, Ziffern und Sonderzeichen.

🧐 Nutze keinen „klassischen“ Nutzernamen und ergänze ihn am besten mit einer Ziffernfolge. Wähle als Passwort keine „echten“ Wörter, sondern eine zufällige Abfolge von Ziffern, Klein- und Großbuchstaben und Sonderzeichen.

Blockiere IP Adressen mit mehrfach fehlerhaften Loginversuchen

Die oben angesprochenen Brute-Force Attacken werden bei dir natürlich keinen Erfolg zeigen, da du ja spätestens jetzt ein sicheres Passwort und keinen der klassischen Nutzernamen verwendest.

Trotzdem finden diese Attacken weiterhin statt und belasten deinen Server. Natürlich nicht so stark, dass sie deine Website lahm legen. Trotzdem ist es so, dass mit jedem Angriff die Last für den Server minimal steigt.

Bei manchen sehr guten Hostern wie RAIDBOXES (hier bei mir im Test) ist ein Schutz integriert, wodurch IP Adressen mit zu vielen fehlerhaften Loginversuchen (vorübergehend) blockiert werden.

Wenn dein Hoster eine solche Funktion nicht anbietet (was bei den meisten der Fall ist), kannst du sie mit dem kostenlos Plugin „Limit Login Attempts Reloaded“ nachrüsten.

Nach der Installation musst du einmal zu „Einstellungen“ -> „Limit Login Attempts“ navigieren. Setze dort auf jeden Fall den Haken bei „GDPR compliance“, damit die IP Adressen wie von der DSGVO gefordert verschlüsselt werden und stelle bei „Lockout“ die gewünschten erlaubten Versuche und Sperrzeiten ein.

Du kannst bei den unter „Lockout“ hinterlegten Daten auch alles stehen lassen, wie es von Haus aus ist.

Limit Login Attempts Reloaded Plugin zur Absicherung des WordPress Logins
Limit Login Attempts Reloaded: Setze den Haken bei „DGPR compliance“ und stelle die erlaubten Versuche & Sperrzeiten ein.

Solltest du dich aus Versehen selber aussperren (weil du dein Passwort zu oft falsch eingibst), kannst du das Plugin jederzeit per FTP deaktivieren und anschließend den WordPress Login wieder wie gewohnt aufrufen.

🧐 Mit dem kostenlosen Plugin „Limit Login Attempts Reloaded“ kannst du Brute-Force Attacken blockieren und Nutzer automatisch sperren lassen, die sich zu oft falsch einloggen wollen. (Setze unbedingt den Haken bei „GDPR compliance“, damit das Plugin DSGVO konform ist)

Verstecke die WordPress Login URL

Es gibt eine weitere einfache Möglichkeit, den meisten automatisierten Angriffen auszuweichen: Du veränderst die standard WordPress Login URL!

Diese ganzen oben angesprochenen Angriffe laufen automatisiert ab und machen sich dabei die immer gleichbleibende WordPress Login URL zu Nutze.

Mit dem kostenlosen Plugin „WPS Hide Login“ wird deine Login-URL zu einer beliebigen anderen URL geändert.

Nach der Aktivierung findest du die zwei einzigen Einstellungen dieses Plugins unter „Einstellungen“ -> „Allgemein“.

WPS Hide Login zum Verstecken der WordPress Login URL
Nach der Aktivierung von WPS Hide Login kannst du in den allgemeinen WordPress Einstellungen die gewünschte Login URL einstellen

Natürlich solltest du dir die neue Login URL merken oder einfach ein Lesezeichen setzen. Aber solltest du sie mal vergessen, kannst du das Plugin per FTP deaktivieren und anschließend wieder wie gewohnt auf die Login-Seite zugreifen.

🧐 Wenn du die WordPress Login URL ändern möchtest, um automatisierte Angriffe abzuwehren, nutze das kostenlose Plugin „WPS Hide Login„.

Der WordPress Login funktioniert nicht

Irgendwann stößt jeder mal an seine Grenzen beim WordPress Login. Fast täglich liest man in diversen Facebook Gruppen: „Mein WordPress Login funktioniert nicht“ oder auf eine andere Art und Weise, dass der WordPress Login nicht möglich ist.

Es gibt verschiedene Gründe, wieso es Probleme beim Einloggen geben kann. Hier sind die drei Klassiker und ihre Lösungen.

Ich habe mein Passwort vergessen

Das kommt natürlich mal vor. Wenn du dein Passwort nicht im Browser gespeichert und es auch nicht mehr im Kopf hast, kannst du jederzeit über den „Passwort vergessen?“ Link unterhalb der Loginmaske die Generierung eines neuen Passworts starten.

Klicke auf „Passwort vergessen?“, um den Prozess zur Erstellung deines neuen Passworts zu starten.

Hierfür gibst du im nächsten Schritt einfach deine E-Mail Adresse oder deinen Benutzernamen ein und bekommst anschließend eine E-Mail mit einem Link zugesandt.

WordPress Passwort vergessen Formular
Gib deine E-Mail Adresse oder deinen Nutzernamen ein, um ein neues Passwort zu erstellen.

Klicke diesen Link dann einfach an und du kannst ein neues Passwort eingeben.

🧐 Wenn du dein Passwort vergessen hast, klicke unterhalb der Loginmaske auf „Passwort vergessen?“, gib deine E-Mail Adresse oder deinen Nutzernamen ein und du bekommst eine E-Mail mit einem Link zur Erstellung des neuen Passworts.

Die Login-Seite lässt sich nicht aufrufen

Wenn du dich einloggen möchtest und die Login-Seite nicht erreichbar ist, musst du dir keine Sorgen machen. Das lässt sich in 99% der Fälle recht einfach korrigieren.

Du bekommst einen „500 Server Error“

Wenn dir ein 500er Error angezeigt wird, prüfe als erstes, ob dein Frontend (also deine Website selber) noch erreichbar ist. Gibt es dort das selbe Probleme hat das meistens einen dieser beiden Gründe:

  • Der Server bei deinem Hoster ist gerade kurzzeitig nicht erreichbar
  • Ein Plugin oder Theme macht Probleme

Wenn es an dem Server liegt, kannst du entweder den Support deines Hosters anrufen und nachfragen oder auf der Website des Hosters nach einer „Status“ oder „Serverstatus“ Seite schauen. Wenn es daran liegt, sollte deine Website innerhalb von kurzer Zeit (meist deutlich unter einer Stunde) wieder erreichbar sein.

Sollte es nicht am Server liegen, ist ein Problem mit einem Plugin oder Theme am wahrscheinlichsten. Du kannst das ganz einfach herausfinden, indem du dich per FTP einloggst und den Pluginordner umbenennst (wp-content -> plugins). Machst du das, werden alle Plugins deaktiviert.

Kannst du dich anschließend wieder einloggen, ist eines der Plugins schuld und du kannst sie einzeln wieder aktivieren.

Wenn es anschließend immer noch nicht geht, gehe genau gleich mit dem Themesordner vor (wp-content -> themes).

Die Seite ist komplett weiß

Der gefürchtete „White Screen of Death“…

Auch hier liegt das Problem mit hoher Wahrscheinlichkeit bei einem Plugin oder Theme. Logge dich also via FTP ein und benenne den Pluginordner um (wp-content -> plugins). Dadurch werden alle Plugins deaktiviert und du kannst prüfen, ob die weiße Seite noch erscheint. Wenn du die WordPress Login Seite wieder ordentlich aufrufen kannst, logge dich ein und aktiviere ein Plugin nach dem anderen wieder. Dadurch findest du die Fehlerquelle heraus.

Wenn keines der Plugins das Problem verursacht, deaktiviere alle Themes, indem du den Themeordner umbenennst (wp-content -> themes). Kannst du dich wieder einloggen, wird es an deinem bisher immer aktiven Theme liegen.

Du wirst zu oft weitergeleitet (too many redirects)

Leider ein recht häufig auftretendes Problem beim WordPress Login. Hierbei bekommst du keinerlei Fehlermeldung, sondern wirst einfach immer weitergeleitet bis dein Browser irgendwann mit einer Meldung „Error, too many redirects“ aufgibt.

Es gibt hier mehrere Lösungsansätze, wir gehen sie hier durch und starten bei den am einfachsten umsetzbaren:

Lösche deinen Browsercache und die Cookies

Beim Login wird, wie du oben sicherlich gelesen hast, ein Cookie von WordPress in deinem Browser gesetzt. Manchmal kann das auch schon die Fehlerquelle sein.

Lösche also deinen Browsercache und die gespeicherten Cookies. Das funktioniert bei jedem Browser etwas anders, Ionos hat hierfür eine gute Anleitung für die gängigen Browser geschrieben.

Deaktiviere alle Plugins

Probiere aus, ob eines deiner Plugins das Problem verursacht. Logge dich per FTP ein und benenne den Pluginsordner unter wp-content -> plugins um. Nenne ihn beispielsweise „Plugins_alt“ oder ähnliches. Durch das Umbenennen werden alle Plugins deaktiviert.

Rufe nun die WordPress Login URL erneut auf. Wenn du dich einloggen kannst, deaktiviere ein Plugin nach dem anderen. So findest du heraus, welches Schuld ist!

Generiere eine neue .htaccess Datei

Manchmal liegt es auch an einer der mächtigsten Dateien in WordPress: der .htaccess Datei.

Wenn es dort einen fehlerhaften Eintrag gibt (der gar nicht von dir kommen muss, da auch manche Plugins in diese Datei schreiben), kann das die Ursache sein.

Die .htaccess Datei findest du, wenn du dich per FTP einloggst und in deinem FTP Programm „versteckte Dateien“ anzeigen lässt. Anschließend siehst du sie als ausgegraute Datei in deinem WordPress Hauptverzeichnis.

Benenne sie nun um und prüfe, ob der WordPress Login wieder erreichbar ist.

Wenn du dich wieder einloggen kannst, navigiere unter „Einstellungen“ -> „Permalinks“ und klicke einfach unten auf „Änderungen speichern“. Dadurch wird eine frische .htaccess erstellt.

Hinterlege die Site- und Home-URL

Hat nichts der bisherigen Maßnahmen geholfen, logge dich per FTP ein und öffne die wp-config.php Datei im Hauptverzeichnis von WordPress.

Dort fügen wir nun ein bisschen Code ein, um WordPress ganz klar zu sagen, über welche URL es zu laufen hat.

Füge dort nun die beiden folgenden Codezeilen ein und ersetze „deinedomain.de“ mit deinem Domainnamen:

define('WP_HOME','https://deinedomain.de');
define('WP_SITEURL','https://deinedomain.de');

Füge diese Zeilen irgendwo in einer leeren Zeile ein, nur nicht in der ersten oder letzten Zeile.

Hattest du schonmal Probleme mit dem WordPress Login oder hast aktuell sogar welche? Hinterlasse einen Kommentar und ich helfe dir gerne!

3.5/5 (8 Reviews)
  1. Großartige Tipps, lieber Jonas. Ganz herzlichen Dank.
    Ich werde auf jeden Fall die Login-URL meiner Blogs ändern.
    Ich habe extrem viele Angriffe, die mir das Plugin iThemes Security anzeigt.
    Macht es Sinn, zusätzlich das Plugin Limit Login Attempts Reloaded zu installieren?
    Herzliche Grüße aus Berlin
    Roswitha

    1. Moin Roswitha,

      das kannst du auf jeden Fall beides gut kombinieren! 🙂
      Allerdings hat iThemes Security soweit ich weiß auch eine Funktion zur Einschränkung der Loginversuche. Wenn ich es korrekt im Kopf habe, nennt sich das dort „Brute Force Protection“.

      Dann brauchst du dafür natürlich kein zusätzliches Plugin 🙂

  2. Hallo Jonas,
    ich lese Deinen Newsletter immer total gerne! Jetzt habe ich für unser örtliches Tierasyl eine Homepage erstellt, die noch gar nicht fertig ist. Ich habe sämtliche Login Daten gespeichert und kann mich trotzdem seit heute nicht mehr einloggen! Es erscheint eine Fehlermeldung: „Kontoprüfung ausstehend: Dein Konto ist momentan noch nicht aktiv. Ein Administrator muss Dein Konto aktivieren, bevor du dich anmelden kannst“ Ich bin aber selbst der Administrator! Der Support von allinkl kann mir nicht helfen. Für ein Backup sei der Vertrag zu neu. Es existiert ein Backup, das aber meine ganze Arbeit zunichte machen würde. An der IP-Adresse liegt es NICHT. Ich wechselte die Geräte und Browser, aber ich komme nicht ins Backend! Kannst Du mir helfen, Jonas? DANKE 🙏!!! Liebe Grüße Katharina

    1. Moin Katharina,

      da ich von dieser Fehlermeldung beim WP Login noch nie gelesen oder gehört habe, nehme ich an, dass du ein Plugin installiert hast, dass den Login schützt bzw. Nutzer kontrolliert.
      Du könntest dich via FTP einloggen und den plugins-Ordner umbenennen. Dadurch werden alle Plugins deaktiviert und du kannst schauen, ob das Problem noch besteht.

      Grüße
      Jonas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.