WordPress-Login: Wo du ihn findest und wie du ihn sicherst

Wo kannst du dich für das WordPress Dashboard anmelden?

Voraussetzung für den Login ist natürlich, dass für dich in WordPress ein Benutzer angelegt ist. Und dann gibt es gleich mehrere Stellen, wo man das Login-Formular aufrufen kann.

Manchmal findest du einen Login auf der Website selbst, also dem Frontend. Das wird allerdings aus Sicherheitsgründen immer weniger so gemacht. Wenn allerdings z. B. ein Mitgliederbereich für die Website eingerichtet ist, dann wird man den Login dazu meistens tatsächlich über so einen Link oder Button erreichen.

Standardmäßig wird der WordPress-Login-Prozess über den Link

• https://deinexxxwebsite.de/wp-admin/ oder
• https://deinewebsite.de/wp-login.php

aufgerufen. Auf diesen beiden Seiten wirst du dann aufgefordert, deinen Benutzernamen und dein Passwort einzugeben.

Eine weitere Variante kann es geben, wenn ein Plugin eingesetzt wird für eine eigene, spezielle Login-Seite. Das schützt den Login: Denn dann befindet sich der Login auf der neu eingerichteten Login-Seite mit einer unbekannteren Login-Adresse als wp-admin oder wp-login. Wenn du die Adresse dieser Seite nicht kennst, dann sollte dir dein Webdesigner (oder der, der die Loginseite eingerichtet hat) hoffentlich Auskunft geben können.

Was tun, wenn du die Zugangsdaten vergessen hast?

Das ist normalerweise gar kein Problem, denn auf den Loginseiten gibt es einen Link, wo du die “Passwort vergessen”-Routine aufrufen kannst. Dort kannst du das Kennwort zurücksetzen und ein neues vergeben.

Wenn du natürlich auch nicht weißt, welche Mailadresse für deinen Account hinterlegt ist, dann wird es schwierig. Wenn es keinen anderen Administrator für die Website gibt, der easypeasy nachschauen könnte, dann bleibt nur noch über die Datenbank der WordPress-Installation zu gehen.

Dazu musst du dich bei deinem Provider einloggen, die Datenbank deiner WordPress-Installation aufrufen und (meistens) über das Tool phpmyadmin zur Datenbankansicht wechseln. Schauen erlaubt, anfassen und ändern nur, wenn du echt weißt, was du tust. Und deine Site mit Datenbank vorher gesichert hast für den Fall der Fälle.

Also: In der Tabelle wp_users (wobei wp auch ein anderes Tabellenpräfix sein kann) findest du die Benutzer und ihre Kennwörter. Letztere sind natürlich verschlüsselt über das Verfahren MD5. Wenn du den entsprechenden Nutzer auswählst und auf den Stift zum Bearbeiten klickst, dann kannst du ein neues Kennwort eingeben. Achte darauf, dass es auch wieder über Funktion → MD5 verschlüsselt wird. Mit OK speichern nicht vergessen. Und nun solltest du dich mit dem neuen Kennwort anmelden können.

Login-Probleme

Wenn es Login-Probleme gibt, dann checke genau:

Benutzername:

• Das kann dein WordPress-Benutzername sein oder aber auch deine hinterlegte Mailadresse. Wenn das eine nicht klappt, dann versuche das andere.
• Ein häufiger Fehler ist, dass der Benutzername oder die Mailadresse kopiert werden und dabei Leerzeichen oder auch ein Satzendepunkt mitrutschen. Bereinige vor und hinter dem eingegebenen Wort.

Passwort:

• Hier gilt das mit den Leerzeichen von oben analog.
• Ein anderer beliebter Fehler gerade bei händischer Eingabe ist die Verwechslung von 1 und l (also die Zahl Eins und der Kleinbuchstabe L). Manchmal spielen auch das kleine L und ein kleines I doppeltes Lottchen. Und die Zahl 0 und das große O machen da auch mit. Also schau genau!

Sicherheit für den WordPress-Login

Wenn es um die Sicherheit einer WordPress-Seite geht, dann ist der Login ein wichtiger Punkt, den jeder Website-Besitzer oder Administrator ernst nehmen sollte. Was kannst du tun, um deinen WordPress-Login sicherer zu machen?

Benutzernamen und Kennwort sicher gestalten

Das ist der allerallerallerwichtigste Punkt: WordPress verwendet standardmäßig den Benutzernamen „admin“, was leider auch ein beliebter Benutzername für Hacker ist. Das bedeutet, dass, wenn du den Standardnamen verwendest, dein WordPress-Konto anfälliger für Angriffe ist. Um dies zu vermeiden, solltest du deinen Benutzernamen in etwas Einzigartigeres als „admin“ ändern.

Ein weiterer wichtiger Aspekt ist dein Passwort. Es ist ratsam, ein starkes Passwort zu wählen, das mindestens 12 Zeichen lang ist und eine Kombination aus Buchstaben, Zahlen und Sonderzeichen enthält. Es gibt viele Tools, um ein sicheres Passwort zu generieren. Und damit du mit kryptischen Kennwörtern locker klarkommst, empfehle ich dir ein Passwort-Safe zu nutzen. Keypass zum Beispiel.

WordPress bietet auch die Möglichkeit, eine Zwei-Faktor-Authentifizierung (2FA) zu aktivieren, die den Login-Prozess noch sicherer macht. Hierbei wird ein zusätzliches Sicherheitsmerkmal eingeführt und der Benutzer muss beim Login zusätzlich einen Code eingeben, der durch eine separate Authentifizierungs-App generiert wird.

Nutzerrollen für die Sicherheit nutzen

Eine weitere Möglichkeit deine Website oder Blog sicherer zu machen, ist, verschiedene Nutzerrollen anzulegen. Einmal eine Zugang als Administrator und einen z. B. als Redakteur. Welche Rolle ein Nutzer haben soll kannst du bestimmen, wenn du einen Nutzer anlegst. Und je nachdem hat der Nutzer unterschiedliche Rechte und Befugnisse. Auch wird das WordPress-Dashboard entsprechend ausgerichtet und der Zugriff auf Plugins oder andere Website-Bereiche je nach Rolle eingeschränkt.

Trittst du nur als Redakteur nach außen beim Schreiben deiner Beiträge, dann bleibt dein Admin-Benutzername nach außen hin unbekannter. Würde nun dein Redakteurszugang geknackt werden, dann hat der Hacker weniger Möglichkeiten, als wenn er den Admin-Zugang gemopst hätte.

Umleitung des Logins

Das kannst du z. B. über das Plugin WPS Hide Login machen. Um deine Site zu schützen gibst du dort deine eigene Loginadresse für die Webseite an. Wenn nun ein Angreifer die üblichen Loginadressen aufruft, dann ist dort kein Login zu finden sondern es wird die Seite aufgerufen, die du als Weiterleitungsadresse eingerichtet hast. Wenn du keine Weiterleitungs-URL einrichtest, gibt es einen 404-Fehler: Also nicht gefunden.

Ja, das ist ein Stück weit Kosmetik, weil ein ernsthafter Hacker mit Ambitionen auch noch andere Möglichkeiten hat, die Site zu knacken. Aber ein paar hält es vielleicht dennoch ab.

Sicherheitsplugins wie Limit Login

Es gibt einige Sicherheitsplugins, die anspringen, wenn jemand versucht, sich mehrfach anzumelden. Denn die Login-Versuche sind von Haus aus erst mal nicht beschränkt. Es wäre eine Illusion zu glauben, dass Hacker an Ihrer Rechenkiste sitzen und ein Kennwort nach dem anderen eintippen. Nein, das geschieht natürlich vollautomatisch über einen Bot, der so superviele Passwortkombinationen durchrattern lassen kann. Das Plugin bewirkt, dass der Bot bei mehrfachen falschen Loginversuchen für eine gewisse Zeit geblockt wird.

Zudem kann man bei dem oben genannten Plugin einstellen, dass bei Eingabe bestimmter Benutzernamen oder Kennwörter direkt geblockt wird. Das ist auch deshalb sinnvoll, um eine unnötige Serverbelastung durch diese sogenannten Brute-Force-Attacken zu vermeiden.

Login-Page individuell gestalten

Und nun noch etwas Nettes: Man kann die WordPress-Loginseite tatsächlich auch etwas gestalten und etwas fürs Branding tun. Ein Plugin dazu ist beispielsweise LoginPress.

Dazu gibt es – surprise – natürlich auch Plugins. Damit kann man z. B. das WordPress-Logo mit dem eigenen Firmenlogo ersetzen und auch den dahinterliegenden Link ändern. Der führt nämlich verwirrenderweise auf wordpress.com.

Wenn Du den Login lieber ohne Plugin aufhübschen möchtest, dann geht auch das mit ein paar Zeilen Code. Das solltest du aber nur tun, wenn du ein Child-Theme nutzt.

Dazu musst du unter Design → Theme Editor → functions.php deines Cild-Themes aufrufen.

Wenn du die URL des WordPress-Logos auf deine eigene Startseite legen möchtest, dann füge folgenden Code ein:

Das Logo kannst du mit folgendem Filter ändern:

function my_login_logo() {?>
  <style type="text/css">#login h1 a, .login h1 a {
    background-image: url('../wp-content/uploads/mylogo.png');
    height:100px;
    width:150px;
    background-size: 100px 150px;
    background-repeat: no-repeat;
    }
  </style>
}
add_action( 'login_enqueue_scripts', 'my_login_logo' );

Dabei muss das neue Logo noch hochgeladen werden: Achte darauf, dass der Pfad zum Bild stimmt. Gib zudem noch die richtigen Maße des Bildes an.

Es gibt noch weitere Möglichkeiten den Login anzupassen: Schaue dazu in den WordPress Codex.