Gerade für WordPress Anfänger, aber auch bei fortgeschrittenen Benutzern, kann es oft schwierig sein, sich bei seinem Konto anzumelden. Im folgenden Beitrag werde ich Dir die Grundlagen zum WordPress Login sowie weitere wichtige Tipps geben, die bezüglich des Login-Prozesses und der Zugangsdaten hervorgehoben werden sollten.
Die Arbeit mit WordPress beginnt bei der Installation - solltest Du diese selber vornehmen. War die Installation erfolgreich, erhältst Du im Anschluss Deine Zugangsdaten zum Admin-Dashboard Deiner WordPress Website. Dort hast Du dann die Möglichkeit, Deine Website ganz nach Deinem Wunsch einzurichten, zu ändern und anzupassen.
Die klassische WordPress Login Seite
Solltest Du jedoch keinen Zugriff mehr auf Dein WordPress Dashboard haben, könntest Du natürlich auch Deine Webseite nicht mehr verwalten. Durch die Login-Seite wird verhindert, dass unbefugte keinen Zugang auf das Backend der WordPress Seite haben.
Doch wo genau befindet sich der Zugang dieser WordPress Login-Seite?
Egal, womit Du jetzt gerechnet hast, aber das Auffinden der WordPress Login Seite ist ziemlich leicht und unkompliziert. Hänge einfach am Schluss Deiner Domain noch ein /admin/ oder ein /login/ dahinter (Bsp. wordpress.org/admin/). WordPress leitet Dich dann automatisch auf die korrekte Login-Seite weiter. Falls diese Methode aber mal nicht klappen sollte, kannst Du einen weiteren Weg gehen: Gib dafür am Ende der Domain einfach /wp-login.php ein, wodurch Du direkt bei der WordPress Login Seite landest.
Bisher richtete sich alles oben genannte für eine normale Installation oder Neuinstallation von WordPress. Doch es kann auch vorkommen, dass Du WordPress beispielsweise in einem Unterverzeichnis oder auf einer Subdomain installiert hast. In diesem Fall sieht der Prozess ein wenig anders aus.
Wenn das bei Dir so ist wie eben beschrieben, musst Du einen der genannten Pfade (bspw. /login/) an das Unterverzeichnis oder die Unterdomäne anhängen. Falls Deine URL beispielsweise cubetech.ch/wordpress lautet, hängst Du einfach wieder /login/, /admin/ oder auch /wp-login.php hinten dran. In jedem Fall sollte wieder das passieren, was ich oben angesprochen habe - die neue URL sollte Dich zur WordPress Login Seite weiterleiten.
Einige können sich sicher ihre WordPress Login URL merken, während die anderen diesen vielleicht vergessen. Meine Empfehlung ist, diese URL am besten gleich zu Beginn als Lesezeichen abzuspeichern, so musst Du nicht lange suchen.
Ein weiterer Trick, um nicht jedes Mal den Nutzernamen und das Passwort heraussuchen zu müssen, ist die Option “Merken” bei der Anmeldung anzuwählen. So bleibst Du für einige Tage immer eingeloggt.
Prinzipiell ist WordPress ein sicheres CMS und mit dem richtigen Hosting bekommst Du auch zusätzlichen Schutz. Leider sieht die Realität oft anders aus und die WordPress Login Seite ist ein beliebter Ort für Hacker, um sich Zugriff auf Dein Dashboard zu verschaffen.
Neben einem starken Passwort, welches einzigartig und besonders lang sein soll, gibt es noch andere Methoden seine Login Seite zu schützen, indem man sie einfach verschiebt. Dadurch, dass natürlich bei Standard-Installationen jeder mit den oben genannten Tricks auf die Login Seite kommt, ist es bei Seiten mit sehr einfachen Passwörtern auch einfach hereinzukommen. Hacker machen hier gerne “Brute-Force-Angriffe”.
Wer ein sicheres Passwort nutzt, macht es Angreifern auch schwer, das Passwort zu erraten.
Brute-Force-Angriffe sind im Endeffekt einfach nur Hacking-Versuche. Hierbei versucht eine Person mit üblen Intentionen, an Deinen Benutzernamen und an Dein Passwort zu kommen. Die Person nutzt eine Liste gängiger Benutzernamen und Passwörter, um Deine Daten ganz einfach zu erraten. Durch diese Daten und ein Script probiert er nun automatisch tausende Kombinationen aus und versucht so ins WordPress Dashboard zu gelangen.
Heutzutage ist die Wahrscheinlichkeit leider enorm hoch, dass Dein Benutzername oder aber Dein WordPress-Passwort auf einer solchen Liste steht. Weiter ist die WordPress Login URL etwas, was öffentlich bekannt ist.
Neben einem sicheren Passwort, solltest Du Dir vielleicht darüber Gedanken machen, Deine Login Seite auf eine andere URL zu verschieben.
Eines der beliebtesten WordPress Plugins, um die Login-Seite zu verschieben ist sicher WPS Hide Login, welches auf mehr als einer Millionen Seiten installiert ist. Das Plugin ist selber gratis und wird regelmässig gewartet.
Das Tolle an WPS Hide Login für den Benutzer ist, dass Du keine einzige Datei ändern und verschieben musst. Klappt etwas mal nicht, kannst Du das Plugin auch einfach auf dem Server umbenennen, um es temporär zu deaktivieren.
Nach dem Aktivieren des Plugins, gibts Du in den Einstellungen einfach Deine Wunsch-URL an. Am besten etwas, was keine Wörter wie “Login” oder “Admin” beinhaltet. Nach dem Speichern musst Du Dich eventuell noch einmal neu anmelden. Wichtig ist es hier, dass Du Dir die neue Login-URL gemerkt hast.
Die Einstellungen von WPS Hide Login sind relativ einfach erklärt.
Leider ist es bei Hackern immer ein Katz-und Maus-Spiel, weshalb diese Lösung für gute Angreifer auch kein Hindernis darstellt. Neben der Möglichkeit, dass Hacker einen Zugriff auf Dein Dashboard bekommen, wird auch Dein Server bei einem Brute-Force-Angriff in Mitleidenschaft gezogen. Das führt dazu, dass die Ressourcen, welche eigentlich für die Webseiten Besucher genutzt werden sollten, vom Hacker beansprucht werden.
Hier solltest Du auf ein gutes WordPress Hosting setzen, welches schon weit vor der Login-Seite ein Auge auf Hacker wirft und deren Angriffe blockiert.
Kommt dies nicht in Frage für Dich, haben wir noch 2 weitere Tipps.
Es gibt noch viele weitere technische Möglichkeiten, um Deine URL zu Deiner WordPress Anmeldeseite zu ändern (oder gar zu verbergen). Eine davon: die Bearbeitung der .htaccess-Datei.
Diese Datei hält Regeln fest, bspw. ob Permalinks sprechend sind und nimmt systemweite Einstellungen vor. Das Ausblenden der Login-Seite lässt sich auf zwei verschiedene Wege tun; zum einen kann die Login-Seite ganz einfach mit einem Passwort (.htpasswd) geschützt werden, wodurch jeder, der die Seite besucht ein Passwort eingeben muss, bevor er überhaupt die eigentlichen Login Daten eingeben kann.
Die klassische .htaccess Datei mit den ersten WordPress Permalink Regeln.
Eine weitere Methode arbeitet mit der IP-Adresse. Hier fügt man innerhalb der .htaccess-Datei vertrauenswürdige Adressen hinzu, welche auf die Login-Seite zugreifen dürfen. Im Normalfall ist dies die eigene IP-Adresse. Bei dieser Variante muss aber bedacht werden, dass dann vom mobilen Netz sowie aus irgendwelchen Restaurants, Cafés und Hotels kein Zugriff möglich ist, sofern man deren IP-Adresse nicht hinzugefügt hat.
Wer seine Login-Seite so belassen möchte, wie sie ist, kann mithilfe eines Plugins die Anzahl der Anmeldeversuche begrenzen.
Dank Limit Login Attempts Reloaded wird bei zu vielen fehlgeschlagenen Versuchen dann die IP-Adresse des Angreifers blockiert. Eine beliebte Anzahl der möglichen Versuche ist übrigens 4-6, denn auch wir machen ja gerne mal Fehler beim Einloggen und wollen nicht gleich blockiert werden.
Limit Login Attempts Reloaded ist ein Umfangreiches Plugin, jedoch sind dies die wichtigste Einstellungen
Mein Tipp: Setze die Sperre nicht auf “für immer”. Eine halbe Stunde reicht vollkommen und wird auch automatisch für bereits gesperrte IP-Adressen verlängert, sollte diese wieder zu viele Anmeldeversuche unternommen haben (Stichwort: Brute-Force-Angriffe).
Im Normalfall funktioniert das Anmelden auf WordPress ohne Probleme. Leider gibt es hin und wieder aber mal Probleme, welche durch Konfigurationen oder Plugins verursacht werden, weshalb sich der Benutzer dann nicht einloggen kann. Zu den häufigsten Problemen gehören folgende:
Was es bei denen auf sich hat und wie Du diese Probleme beseitigst, erkläre ich Dir direkt unten.
Klappt die Anmeldung in Dein WordPress Dashboard nicht, liegt es oft an den Daten, welche du bei der Anmeldung angegeben hast.
Überprüfe hierbei zuerst, ob Du Dich eventuell nur vertippt hast, was auch mir regelmässig passiert. Sollte dies nicht der Grund sein, kannst Du ganz einfach Dein Passwort zurücksetzen.
Klicke dazu einfach auf “Passwort vergessen?”, wodurch Du auf eine spezielle Seite weitergeleitet wirst.
Hier gibts Du entweder Deinen Benutzernamen oder Deine E-Mail-Adresse an. Ist eines davon korrekt, wird eine E-Mail an Dein Postfach gesendet. Klicke nun auf den Link innerhalb dieser E-Mail und erstelle ein neues sicheres Passwort.
Bekommst Du keine E-Mail oder wird Dein Benutzer nicht gefunden, bleibt Dir nichts anderes übrig, als Dein Passwort über die Datenbank zu ändern. Solltest Du mit der WordPress Datenbank keine Erfahrung haben, empfehlen wir Dir, dies von einem Entwickler machen zu lassen. Wir bei cubetech helfen Dir da gerne.
Für alle, die bereits Erfahrung im Umgang mit MySQL Datenbanken haben, können sich über ihren Self-Hosting-Anbieter Zugriff auf die phpMyAdmin Konsole verschaffen. Bevor Du hier jedoch Änderungen vornimmst, solltest Du unbedingt ein Backup Deiner Datenbank vornehmen.
Das WordPress Passwort innerhalb der phpMyAdmin Datenbank wird mit MD5 verschüsselt
Eine weitere, jedoch oft nur von Entwicklern verwendete Variante, ist die Nutzung von WP-CLI (Kommandozeilen-Benutzeroberfläche für WordPress)
Hierfür musst Du Dir Zugang zu Deinem Server über SSH verschaffen. Befindest Du Dich in der Kommandozeile, gehst Du wie folgt vor:
Nicht immer hindert Dich ein falsches Passwort daran, dass Du Dich einloggen kannst, manchmal sind auch die lieben Cookies schuld. In diesem Fall wird Dir dann folgender Fehler angezeigt:
Fehler: Cookies werden von Ihrem Browser blockiert oder nicht unterstützt. Sie müssen Cookies aktivieren, um WordPress verwenden zu können.
Um Dich bei WordPress anzumelden, benötigt es Cookies, welche Deine erfolgreiche Anmeldung speichern. So musst Du Dich auch nicht bei jedem Seitenwechsel erneut anmelden, was ja nervig wäre.
Besteht nun ein Problem beim Login und die oben gezeigte Fehlermeldung wird angezeigt, solltest Du überprüfen, ob Deine Browser Cookies aktiviert sind.
Eine weitere Option ist es, den Browser-Cache zu leeren. Alternativ kannst Du auch einfach mal versuchen, einen anderen Browser im Inkognito-Modus zu öffnen.
Sollte hiervon noch immer nichts helfen, füge einfach folgende Zeilen in Deine wp-config.php-Datei ein: /define(‘COOKIE_DOMAIN’, false);
Ist Deine Seite eine Multisite, solltest Du nach der sunrise.php-Datei im Ordner /wp-content/ suchen. Ist sie vorhanden, dann nenne sie in sunrise.php.disabled um.
Egal ob Du WordPress Neuling oder bereits ein Erfahrender Admin bist, das WordPress Login nutzen wir alle. Bei Standard Installationen lautet die Login URL domain.com/wp-login.php, sofern Du sie aus Sicherheitsgründen nicht an einen anderen Ort verschoben hast.
Wichtig für eine gute Sicherheit Deines Logins, ist ein starkes Passwort und einen guten Hoster, der Dich vor Angreifern bereits schützt, bevor sie überhaupt Deine Seite erreichen.
Dank zahlreichen Plugins wie Limit Login Attempts Reloaded oder WPS Hide Login hast Du zudem die Möglichkeit Deine Login URL zu ändern und die Login Versuche auf Deiner WordPress Seite zu limitieren.
Gerne stehe ich Dir bei Fragen zur Verfügung. Schreibe mir am besten einfach eine E-Mail.
Pic Credit: Qazal Art