WordPress-Admin-Login: So loggen Sie sich bei WordPress ein
Für Nicht-Profis kann es verwirrend sein, wenn Funktionen zwischen WordPress-Installationen unterschiedlich sind. In unserem WordPress-Login-How-to erklären wir, wie die WordPress-Anmeldung funktioniert und was es dabei zu beachten gibt.
WordPress Hosting
Ihr WordPress mit KI-Boost - In Sekunden zur professionellen WordPress Website mit KI-Tools
- Jetzt bis zu 3x schneller dank SSD, Caching & optimierter Plattform
- Tägliche Sicherheits-Scans, DDoS-Schutz und 99,98 % Verfügbarkeit
Was passiert bei der WordPress-Anmeldung?
Mit der Anmeldung erfolgt die Authentifizierung als registrierter Nutzer der WordPress-Installation. Ein angemeldeter Nutzer hat Zugriff auf das WordPress-Dashboard, die zentrale Administrations-Oberfläche, die oft auch als „WordPress-Backend“ bezeichnet wird. Schauen wir uns an, was die einzelnen Schritte vom Öffnen eines Browser-Fensters bis zum Betreten des WordPress-Dashboards sind:
- Aufrufen einer WP-Admin-Login-Adresse im Browser:
- Übermittlung der Nutzerdaten auf der WP-Admin-Login-Seite:
- Weiterleitung auf das WordPress-Dashboard:
Jedem WordPress-Nutzer wir beim Einloggen eine Nutzer-Rolle zugewiesen. Je nach zugewiesener Rolle stehen im Dashboard beschränkte Möglichkeiten für den Zugriff auf Inhalte und Funktionen zur Verfügung. Beispielsweise verfügt ein Autor nicht über die Rechte, Plugins zu installieren. Wir geben einen Überblick der standardmäßig in WordPress vorkommenden Nutzer-Rollen:
WordPress Nutzer-Rolle | Zugriffsrechte |
---|---|
Super Admin | Kann Sites anlegen und auf sämtliche Einstellungen und Inhalte zugreifen; nur bei Multisite-Installation. |
Administrator | Zugriff auf alle Einstellungen und Inhalte einer Site. |
Editor | Kann Inhalte beliebiger Nutzer bearbeiten und veröffentlichen. |
Author | Kann eigene Inhalte erstellen und veröffentlichen. |
Contributor | Kann eigene Inhalte erstellen, jedoch nicht veröffentlichen. |
Subscriber | Kann eigenes Nutzer-Profil bearbeiten. |
Ein in WordPress eingeloggter Nutzer ist per Cookie authentifiziert, der im verwendeten Browser gesetzt wird. Es ist daher möglich, mit einem Inkognito-Fenster, anderem Browser oder weiterem Gerät gleichzeitig als mehrere Benutzer in einer WordPress-Installation eingeloggt zu sein. Praktisch ist dies u. a., um als Admin den WordPress-Login für neu angelegte Nutzerkonten zu testen.
Bei WordPress gilt wie bei anderen Systemen auch: Anmeldung ist nicht dasselbe wie Registrierung. Das kann verwirrend sein, da manche englischen Begriffe ähnlich klingen und oft synonym verwendet werden:
Aktion | Synonyme | Bedeutung |
---|---|---|
Anmeldung | Login, Logon, Sign-in, Sign-on | Mit Benutzername und Passwort anmelden |
Registrierung | Register, Sign-up | Neues Konto erstellen |
Als Best Practice in der Webentwicklung gilt: Für optimale Usability bei Registrierung und Anmeldung nutzt man eine Kombination unterschiedlich klingender Begriffe. Gute Kombinationen sind „Sign-up / Login“ oder „Register / Sign-in“, jedoch nicht „Sign-up / Sign-in“.
Wie finde ich die WP-Admin-Login-Seite?
Die WP-Admin-Login-Seite ist das Tor zum WordPress-Dashboard. Zum Zugriff auf die Login-Seite müssen Sie die WP-Admin-Login-URL kennen. Entweder geben Sie diese in der Adresszeile des Browsers ein oder Sie klicken auf einen Link, der die URL enthält. Glücklicherweise folgt der Aufbau der URL einem bekannten Schema. So lässt sich die Adresse der WP-Admin-Login-Seite leicht ermitteln, solange man die WordPress-Site-URL kennt.
Bei der WordPress-Site-URL (WP_SITEURL) handelt es sich um die Adresse, unter der eine WordPress-Site im Web zu finden ist. Je nach Domain und der Art der WordPress-Installation gibt es dabei verschiedene mögliche Varianten. Schauen wir uns ein paar Beispiele an:
Bei der WordPress-Site-URL (WP_SITEURL) handelt es sich um die Adresse, unter der eine WordPress-Site im Web zu finden ist. Je nach Domain und der Art der WordPress-Installation gibt es dabei verschiedene mögliche Varianten. Schauen wir uns ein paar Beispiele an:
Subdomain | Domain | Unterverzeichnis | WP_SITEURL |
---|---|---|---|
— | example.com | — | http://example.com/ |
www. | example.com | — | http://www.example.com/ |
www. | example.com | /blog/ | http://www.example.com/blog/ |
blog. | example.com | — | http://blog.example.com/ |
Wir zeigen hier alle URLs mit dem HTTP-Protokoll; in der Praxis kommt heutzutage meist HTTPS zum Einsatz. Am grundlegenden Schema ändert dies nichts.
Ist die WordPress-Site-URL bekannt, lassen sich die Webadressen von WP-Admin-Login-Seite und WordPress-Dashboard leicht ermitteln. Neben den eigentlichen Adressen der beiden Seiten existiert jeweils eine Weiterleitung, die sich äquivalent nutzen lässt. Ist ein Nutzer nicht eingeloggt und ruft die Dashboard-Adresse auf, erfolgt eine Weiterleitung auf die WP-Admin-Login-Seite. In allen Fällen wird die Adresse im Browser aufgerufen, um die WordPress-Anmeldung durchzuführen:
WordPress Admin-Bereich | WP_SITEURL + | Beispiel |
---|---|---|
WP-Admin Login-Seite | wp-login.php | http://example.com/wp-login.php |
Login-Weiterleitung | login | http://example.com/login |
WordPress-Dashboard | wp-admin/ | http://example.com/wp-admin/ |
Dashboard-Weiterleitung | admin | http://example.com/admin |
Wie lässt sich die WordPress-Anmeldung vereinfachen?
Die Nutzer einer WordPress-Site möchten sich anmelden, um ins WordPress-Dashboard zu gelangen. Sie benötigen dazu die Adresse der WP-Admin-Login-Seite bzw. einen Link zum Anklicken. Nicht alle Benutzer sind technisch so versiert, die URL selber zu ermitteln. Glücklicherweise gibt es einige Tricks, die WordPress-Anmeldung zu vereinfachen. Wir unterscheiden zwei Vorgehensweisen:
- Schritte, die ein Nutzer selbsttätig vornehmen kann, um die die WordPress-Anmeldung zu vereinfachen. Diese wirken sich nur auf den jeweiligen Nutzer aus.
- Schritte, die durch einen Admin erfolgen, um die die WordPress-Anmeldung zu vereinfachen. Diese wirken sich auf die Anmeldung über alle Nutzer hinweg aus.
Als Nutzer einfacher in WordPress einloggen
Um als WordPress-Nutzer die Anmeldung mit dem eigenen Nutzer-Konto zu vereinfachen, setzt man auf der WP-Admin-Login-Seite ein Häkchen beim Feld „Angemeldet bleiben“. Somit wird der Authentifizierungs-Cookie für einige Zeit gespeichert. Innerhalb dieser Zeit ist keine weitere WordPress-Anmeldung nötig. Zu beachten ist, dass dieses Vorgehen nur im selben Browser funktioniert und nur dann, wenn die Anmeldung nicht in einem Inkognito-Fenster erfolgt.
Ein einfacher Trick, der immer funktioniert, besteht darin, im Browser ein Lesezeichen zur WP-Admin-Login-Seite zu setzen. So speichert der Browser die URL unter dem Titel der Seite. Möchte man sich erneut bei WordPress einloggen, ruft man die Seite einfach per Klick auf. So braucht man sich die URL nicht zu merken. Das ist insbesondere praktisch, wenn eine vom Ausgangszustand abweichende WP-Admin-Login-URL zum Einsatz kommt.
Als Nutzer Passwörter per Hand einzugeben, ist äußerst unpraktisch. Stattdessen kann man einen Passwort-Manager nutzen, wie er z. B. im Firefox-Browser integriert ist. Der Browser merkt sich die Kombination aus Login-URL, Benutzername und Passwort und trägt beim Besuch einer bekannten Login-URL die Zugangsdaten ein. Besonders gut funktioniert dieser Ansatz in Kombination mit einem im Browser gespeicherten Lesezeichen.
Als Admin den WordPress-Login vereinfachen
Admins können in WordPress den Login-Prozess für Nutzer vereinfachen. Zumeist erfolgt dies, indem der Link zur WP-Admin-Login-Seite im Frontend der Website platziert wird. So brauchen Nutzer nur auf den Link zu klicken, um zur WordPress-Anmeldung zu gelangen. Schauen wir uns ein paar geläufige Ansätze an.
Mit dem „Meta-Widget“ steht in WordPress standardmäßig ein vorgefertigter Block zur Verfügung, der sich in das Layout der Site einbinden lässt. Das Meta-Widget enthält eine Reihe von „Meta“-Links. Es handelt sich also um Links, die sich nicht an den eigentlichen Seiteninhalten orientieren, sondern an der darüber liegenden Ebene. Das Meta-Widget enthält die folgenden Links:
Mit dem „Meta-Widget“ steht in WordPress standardmäßig ein vorgefertigter Block zur Verfügung, der sich in das Layout der Site einbinden lässt. Das Meta-Widget enthält eine Reihe von „Meta“-Links. Es handelt sich also um Links, die sich nicht an den eigentlichen Seiteninhalten orientieren, sondern an der darüber liegenden Ebene. Das Meta-Widget enthält die folgenden Links:
- Link zur WP-Admin-Login-Seite
- Logout-Link
- Link zum Beiträge-Feed
- Link zum Kommentare-Feed
- Link zu WordPress.org
Auch wenn das Meta-Widget praktisch ist und sich schnell einbinden lässt, handelt es sich nicht unbedingt um die beste Wahl. Möchte man ausschließlich die WP-Admin-Login-Seite oder das WordPress-Dashboard verlinken, bietet sich an, einen Link direkt im Navigations-Menü oder im Footer zu platzieren. Dazu fügt man die entsprechende URL als „individuellen Link“ in den jeweiligen Navigationsbereich ein. Nutzer gelangen über den Link zur WordPress-Anmeldung bzw. auf das Dashboard.
Besonders für größere Organisationen bietet es sich an, Single-Sign-on (SSO) zu verwenden. Die SSO-Technologie erlaubt Nutzern die Anmeldung über mehrere Systeme hinweg. Nutzer melden sich zentral an und sind daraufhin in einer Reihe von Systemen eingeloggt. Der jeweilige Prozess ist abhängig vom spezifischen Ansatz.
Was tun, wenn die WordPress-Anmeldung fehlschlägt?
Wenn die WordPress-Anmeldung fehlschlägt, ist man als Nutzer ausgesperrt. Es ist dann nicht möglich, auf das Dashboard zuzugreifen und Inhalte zu veröffentlichen bzw. zu verwalten. Ferner lassen sich keine Nutzer hinzufügen oder Plugins installieren bzw. aktivieren und deaktivieren.
Der öffentliche Teil der WordPress-Site ist weiterhin für Besucher erreichbar. Daher ist ein vorübergehender Verlust der Anmelde-Funktion akzeptabel. Es darf jedoch kein Dauerzustand sein, da es ansonsten nicht möglich ist, die Site mit Sicherheits-Updates zu versorgen. Schauen wir uns ein paar häufige Szenarien an, in denen die WordPress-Anmeldung fehlschlägt.
Der öffentliche Teil der WordPress-Site ist weiterhin für Besucher erreichbar. Daher ist ein vorübergehender Verlust der Anmelde-Funktion akzeptabel. Es darf jedoch kein Dauerzustand sein, da es ansonsten nicht möglich ist, die Site mit Sicherheits-Updates zu versorgen. Schauen wir uns ein paar häufige Szenarien an, in denen die WordPress-Anmeldung fehlschlägt.
Das verwendete Passwort oder der Nutzername sind falsch
Der wohl häufigste Fehler bei der WordPress-Anmeldung besteht darin, dass das Passwort oder der Nutzername inkorrekt eingegeben wurden. In den meisten Fällen genügt es, Nutzername und Passwort zu überprüfen und ggf. zu korrigieren. Dabei gilt zu beachten, dass bei mehrfacher Eingabe eines falschen Passworts die Sperrung des Benutzer-Kontos droht. Besser ist es, zehn bis zwanzig Minuten zu warten und es dann erneut zu probieren.
Bei Nutzung mehrerer virtueller Tastatur-Layouts kann es schnell zu diesem Fehler kommen. Beispielsweise sind bei Nutzung des englischen Tastatur-Layouts auf einer deutschen Tastatur die Buchstaben [Y] und [Z] vertauscht. Da das Passwort versteckt eingegeben wird, fällt einem dieser Fehler oft nicht auf. Ein einfacher Trick zur Abhilfe besteht darin, das Passwort in ein Text-Dokument zu schreiben und von dort ins Passwort-Feld zu kopieren.
Wurde ein falsches Passwort zu oft eingegeben oder ist das Kennwort komplett abhandengekommen, ist es notwendig, das WP-Admin-Passwort zurückzusetzen. Auf der WP-Admin-Login-Seite findet sich ein Link zu einer entsprechenden Seite. Dort gibt man die E-Mail-Adresse an, mit der man bei WordPress als Nutzer registriert ist. Im Folgenden wird einem eine E-Mail mit einem zeitlich begrenzten „Passwort zurücksetzen“-Link zugeschickt. Dies funktioniert jedoch nur, wenn WordPress und der Server korrekt für den Mailversand konfiguriert sind.
Wurde ein falsches Passwort zu oft eingegeben oder ist das Kennwort komplett abhandengekommen, ist es notwendig, das WP-Admin-Passwort zurückzusetzen. Auf der WP-Admin-Login-Seite findet sich ein Link zu einer entsprechenden Seite. Dort gibt man die E-Mail-Adresse an, mit der man bei WordPress als Nutzer registriert ist. Im Folgenden wird einem eine E-Mail mit einem zeitlich begrenzten „Passwort zurücksetzen“-Link zugeschickt. Dies funktioniert jedoch nur, wenn WordPress und der Server korrekt für den Mailversand konfiguriert sind.
Beim Herstellen der Datenbankverbindung tritt ein Fehler auf
Diese berüchtigte Fehlermeldung deutet auf einen Server-Fehler hin. Der Fehler tritt auf, wenn die Datenbank nicht erreichbar ist. Das kann mehrere Gründe haben, z. B. den, dass zu viele Zugriffe gleichzeitig eingehen. Die Site ist dann nicht mehr erreichbar – auch nicht für Besucher. Der Fehler kann vorübergehender Natur sein. Dauert der Fehler an, wird er sich nicht von allein richten. Dann hilft nur, den Admin zu benachrichtigen, um Rettungsmaßnahmen einzuleiten.
Fehler tritt auf | Vorgehen |
Kurzfristig | WP-Admin-Login-Seite neu laden: nach 1, 5, 20, 60 Minuten |
Anhaltend | Admin alarmieren, Rettungsmaßnahmen einleiten |
Sporadisch | Log-Dateien sichten, um Fehler zu analysieren; ggf. WordPress optimieren bzw. schneller machen, mehr Ressourcen zuweisen oder Hosting-Anbieter wechseln. |
Die WP-Admin-Login-Seite wurde umbenannt
Liefert der Zugriff auf die WP-Admin-Login-URL einen „Seite nicht gefunden“-Fehler, wurde wahrscheinlich die WP-Admin-Login-Seite umbenannt. Das ist an sich eine gute Idee, denn so lassen sich „Brute Force“-Attacken mit geringem Aufwand unterbinden. Jedoch müssen die Nutzer über die neue WP-Admin-Login-URL informiert werden. Sämtliche vor dem Umbenennen gesetzten Lesezeichen, Links und Einträge in Passwort-Managern müssen erneuert werden.
Für gewöhnlich kommt für das Umbenennen der WP-Admin-Login-Seite ein WordPress Sicherheits-Plugin zum Einsatz. Es kann jedoch auch vorkommen, dass die WordPress-Installation beschädigt wurde. So können sich Fehler in der .htaccess-Datei ebenfalls darin äußern, dass die WP-Admin-Login-Seite nicht erreichbar ist. In diesem Fall bietet sich an, die .htaccess-Datei von WordPress zurückzusetzen. Dabei gilt es jedoch, Vorsicht zu wahren. Denn unsachgemäße Veränderungen an der .htaccess-Datei können sich negativ auf SEO auswirken und obendrein sensible Seitenbereiche preisgeben.
Wurde die WP-Admin-Login-Seite mit einem Sicherheits-Plugin umbenannt und dabei die neue WP-Admin-Login-URL vergessen, sitzt man als Admin in der Zwickmühle. Da man sich nicht anmelden kann, ist es nicht möglich, das Sicherheits-Plugin aus dem Dashboard heraus zu deaktivieren. Solange man weiterhin Zugriff auf den WordPress-Server hat, gibt es jedoch einen Trick: Es genügt meist, den Plugin-Ordner zu löschen bzw. zu verschieben. So wird das Plugin deaktiviert und die WP-Admin-Login-Seite unter der normalen Adresse wiederhergestellt. Jedoch muss man dafür den Namen des Plugins kennen.
Besteht SSH-Zugang zum WordPress-Server, bedient man sich am besten der WordPress-Kommandozeilen-Schnittstelle („WordPress Command-line Interface“, WP-CLI). Mithilfe von WP-CLI lässt sich eine Liste der aktiven Plugins samt Namen ausgeben. Plugins, die die WP-Admin-Login-Seite umbenennen, enthalten oft einen der Begriffe „Login“, „Hide“ oder „Security“. Hat man ein Plugin als Kandidat identifiziert, lässt sich dieses per WP-CLI-Kommando deaktivieren. Alternativ deaktiviert man temporär alle Plugins. Schauen wir uns die einzelnen Schritte im Detail an:
Wurde die WP-Admin-Login-Seite mit einem Sicherheits-Plugin umbenannt und dabei die neue WP-Admin-Login-URL vergessen, sitzt man als Admin in der Zwickmühle. Da man sich nicht anmelden kann, ist es nicht möglich, das Sicherheits-Plugin aus dem Dashboard heraus zu deaktivieren. Solange man weiterhin Zugriff auf den WordPress-Server hat, gibt es jedoch einen Trick: Es genügt meist, den Plugin-Ordner zu löschen bzw. zu verschieben. So wird das Plugin deaktiviert und die WP-Admin-Login-Seite unter der normalen Adresse wiederhergestellt. Jedoch muss man dafür den Namen des Plugins kennen.
Besteht SSH-Zugang zum WordPress-Server, bedient man sich am besten der WordPress-Kommandozeilen-Schnittstelle („WordPress Command-line Interface“, WP-CLI). Mithilfe von WP-CLI lässt sich eine Liste der aktiven Plugins samt Namen ausgeben. Plugins, die die WP-Admin-Login-Seite umbenennen, enthalten oft einen der Begriffe „Login“, „Hide“ oder „Security“. Hat man ein Plugin als Kandidat identifiziert, lässt sich dieses per WP-CLI-Kommando deaktivieren. Alternativ deaktiviert man temporär alle Plugins. Schauen wir uns die einzelnen Schritte im Detail an:
- Aktive Plugins auflisten:
wp plugin list --status=active
- Plugins auflisten und nach Kandidaten filtern:
wp plugin list | grep -E --ignore-case 'login|hide|security'
- Spezifisches Plugin deaktivieren:
wp plugin deactivate <plugin></plugin>
- Alternativ alle Plugins deaktivieren:
wp plugin deactivate --all
Weitere Fehler beim WordPress-Einloggen
Neben den bereits genannten, relativ häufig auftretenden Fehlern gibt es ein paar weitere Umstände, die die WordPress-Anmeldung verhindern können.
Admins konfigurieren das WordPress-Login für gewöhnlich so, dass das Einloggen über eine sichere Verbindung (HTTPS) erzwungen wird. Denn bei der WordPress-Anmeldung werden Nutzername und Passwort an den Server gesendet, und ohne HTTPS könnten Unbefugte die Zugangsdaten auslesen. Ist das der HTTPS-Verbindung zugrundeliegende SSL-Zertifikat abgelaufen, verweigert der Browser das Laden der WP-Admin Login-Seite. In diesem Fall muss das SSL-Zertifikat erneuert oder ausgetauscht werden.
Admins konfigurieren das WordPress-Login für gewöhnlich so, dass das Einloggen über eine sichere Verbindung (HTTPS) erzwungen wird. Denn bei der WordPress-Anmeldung werden Nutzername und Passwort an den Server gesendet, und ohne HTTPS könnten Unbefugte die Zugangsdaten auslesen. Ist das der HTTPS-Verbindung zugrundeliegende SSL-Zertifikat abgelaufen, verweigert der Browser das Laden der WP-Admin Login-Seite. In diesem Fall muss das SSL-Zertifikat erneuert oder ausgetauscht werden.
Die WordPress-Anmeldung authentifiziert einen registrierten Nutzer gegenüber WordPress. In manchen Situationen wird ein zusätzlicher Passwort-Schutz auf Server-Ebene gesetzt. Dieser wird für gewöhnlich über die .htaccess-Datei konfiguriert. Besonders beliebt ist dieses Vorgehen, um Staging-Sites bzw. in der Entwicklung befindliche Sites vor öffentlichem Zugriff und Suchmaschinen-Bots zu verbergen. Der Versuch, ohne korrekte Nutzerdaten auf die Site zuzugreifen, liefert einen HTTP-Fehler „401 Unauthorized“ zurück.
Zu guter Letzt kann die WordPress-Anmeldung fehlschlagen, wenn die Zwei-Faktor-Authentisierung (2FA) aktiv ist. Dann wird neben dem WordPress-Passwort eine weitere Zugriffsberechtigung zum Einloggen benötigt. Dabei kann es sich beispielsweise um einen Code handeln, der auf einem anderen Gerät bereitgestellt wird. Zum Einsatz kommen sowohl dedizierte Apps wie Google Authenticator, mit denen sich WordPress schützen lässt, als auch SMS-basierte Lösungen.
Starten Sie gerade mit Ihrer ersten WordPress-Seite? In unserem Spezial-Ratgeber zeigen wir, wie Sie WordPress-Seiten erstellen und anschließend den WordPress Admin-Login mittels eines .htaccess-Passworts schützen.