Logo: WPLogin.de

Wordpress Login

Wie finde ich mein Wordpress Login? Was kann ich tun, wenn ich meine Zugangsdaten vergessen habe? Wie lässt sich das Passwort in der Datenbank ändern? Wie lässt sich das Wordpress Login besser absichern?
Wordpress Login

Login-Vorgang zum Wordpress-Backend

Wordpress Login-Formular auf der Anmeldeseite

Wordpress Login

In vielen Wordpress-Themes (oft auch als Layouts, Templates oder Designs bezeichnet) wird darauf verzichtet, den sogenannten WP-Meta-Bereich mit auf der Webseite ausgeben zu lassen. Dieser bindet neben einen Verweis auf wordpress.org Links für RSS-Feeds sowie einen Ab- und Anmelde-Button auf der Seite ein. Für viele Nutzer ist dieser Verweis zur Anmeldung der am häufigsten genutzte Weg zum Login-Formular. Und wenn dieser fehlt, ist oft nicht klar wie man sich am System einloggen kann.

Vorallem Einsteiger und Nutzer, die nur unregelmäßig neue Inhalte erfassen, fragen sich oftmals:

Wo befindet sich mein Admin-Login? Wie erreiche ich das Backend bzw. das Dashboard von Wordpress und wo kann ich mich anmelden?

Wo befindet sich der Wordpress Login-Bereich?

Nehmen wir an, deine Domain lautet wordpress-blog.de (oder auch mit www. bzw. einer Subdomain wie blog. o.ä. davor). Dann ist in den meisten Fällen die URL zur Anmeldung wordpress-blog.de/wp-login.php. Wird der Blog unter wordpress-blog.de/wordpress bzw. wordpress-blog.de/blog betrieben, dann lautet der Link zum Login-Formular wordpress-blog.de/wordpress/wp-login.php bzw. wordpress-blog.de/blog/wp-login.php. Bei einer Subdomain könnte der Aufruf beispielsweise blog.wordpress-blog.de/wp-login.php lauten.

Es wird somit jedes mal lediglich /wp-login.php an die eigene Internetadresse gehängt und in 99% aller Installationen wird sich das Anmeldeformular der eigenen Seite öffnen. In wenigen Ausnahmen könnte die Login-Seite “versteckt” sein, dazu später mehr.

Am Wordpress Dashboard anmelden

Durch die Eingabe des Benutzernamens und des Passworts gelangt man letztendlich zum Wordpress-Dashboard. Von hier aus sind alle (je nach eventuell eingesetzter Rechtevergabe) System-Bereiche aufrufbar. So das Anlegen und Bearbeiten von Beiträgen, Kategorien, Schlagwörtern (Tags), Seiten, Medien wie Bilder und Dokumente, Widgets, Plugins, Designs und so weiter.

In sehr vielen Standard-Wordpress-Installationen und bei Einzelnutzung lautet der Benutzername hierbei admin.

Passwort bzw. Zugangsdaten vergessen

Ohne den korrekten Login-Daten keine Anmeldung

Ein vergessenes Passwort ist bei Wordpress überhaupt kein Problem. Auf der Anmeldeseite unter /wp-login.php gibt es einen Link mit der Bezeichnung "Passwort vergessen". Ein Klick darauf führt zu einem kleinem Formular (unter /wp-login.php?action=lostpassword ), das nach dem Benutzernamen bzw. der E-Mail-Adresse fragt und an diese E-Mail-Adresse einen Verweis zum Setzen eines neuen Passwort verschickt.

Bitte gib deinen Benutzernamen oder deine E-Mail-Adresse hier ein. Du bekommst eine E-Mail zugesandt, mit deren Hilfe du ein neues Passwort erstellen kannst.

Dieser Verweis ist 24 Stunden gültig und verliert danach seine Funktionalität. Sollte nach wenigen Minuten keine entsprechende E-Mail im Posteingang auftauchen, dann als erstes im Spam-Folder nachsehen und die korrekte Schreibweise der eingegebenen Daten überprüfen.

Benutzernamen vergessen

Hast du auch deinen Benutzernamen oder die verwendete E-Mail vergessen bzw. kann auf diese nicht mehr zugegriffen werden, ist auch das kein unlösbares Problem. Der Benutzername und die E-Mail lässt sich in der Datenbank auslesen. Außerdem kann über die Datenbank auch ein neues Passwort vergeben werden.

Wordpress-Passwort in der Datenbank ändern

Die meisten Hoster bieten einen Zugriff auf ein Datenbank-Tool namens phpMyAdmin. Hierzu in den "irgendwann einmal erhalten E-Mails mit Zugangsdaten" nachschauen oder auf der Verwaltungsseite deines Hosters/ Providers nachschauen. Das wird von 1&1, über Strato, Alfahosting, United Domains, Domainfactory, Checkdomain usw. sehr unterschiedlich behandelt und lässt sich hier nicht pauschal beantwortet. Im Zweifelsfall beim jeweiligen Support nachfragen.

Passwort mithilfe von phpMyAdmin ändern

Du konntest erfolgreich phpMyAdmin (oder ein ähnliches Werkzeug) aufrufen und dich dort anmelden? Dann geht es jetzt daran, im ersten Schritt den Benutzernamen und die dazugehörige E-Mail-Adresse herauszufinden.

Anmedlung bei phpMyAdmin

Achtung! Du arbeitest hier direkt auf der Datenbank deines Wordpress-Blogs. Kleine Fehler könnten das komplette System zerstören. Fertige sicherheitshalber ein Backup der Datenbank an und speichere es auf deinem Computer bevor du manuelle Änderungen vornimmst.

Wo speichert Wordpress das Passwort in der Datenbank?

Wordpress speichert die Login-Daten in der Tabelle users

Öffne, falls du mehere Datenbanken nutzt die zur Webseite gehörige (im Screenshot [1] ist das "deine-datenbank"), deine Datenbank und wähle die Tabelle users (im Screenshot [2] "gro_users", je nach gewähltem Präfix auch "wp_users", "xyz_users" oder nur "users") aus. Suche anschließend im Hauptfenster den Benutzer (im Screenshot [3] ist das "nutzername", bei dir möglicherweise "admin").

Wordpress Users-Tabelle in phpMyAdmin

Im Screeshot [4] ist verdeutlicht, welche Tabellen-Informationen für das Ändern des Passworts relevant sind. Von links nach rechts sind das die beiden phpMyAdmin-Funktionen bearbeiten (Stift), löschen (X), die ID (Nummer) des Nutzers, der Benutzername, das verschlüsselte Kennwort, der Anzeigename des Nutzers und die E-Mail-Adresse.

Hast du lediglich die E-Mail-Adresse vergessen, auf diese aber noch Zugriff, dann ändere in der Datenbank nichts. Wechsele einfach zur Anmeldeseite deines Wordpress-Blogs und nutze dort die oben bereits beschriebene Funktion "Passwort vergessen" mit der soeben "wieder entdeckten" E-Mail. Ändere jetzt dein Passwort über die entsprechende Wordpress-Funktion und die Login-Probleme sind dan dieser Stelle sicherlich behoben.

Besteht kein Zugriff mehr auf die hier hinterlegte E-Mail-Adresse, so ließe sich diese über phpMyAdmin ganz einfach ändern. Klicke dazu auf den Bearbeiten-Stift und es öffnet sich der ausgewählte Nutzereintrag. Ändere nun im Feld user_email die E-Mail-Adresse und bestätige diese Anpassung mit einen Klick auf den OK-Button

Wordpress Users-Tabelle

Im hier gezeigten Beispiel führt MySQL die folgende Anweisung aus:

UPDATE `deine-datenbank`.`gro_users` SET `user_email` = 'max-mustermann@wordpress-login.de' WHERE `gro_users`.`ID` = 2;

Nun kannst du wie weiter oben beschrieben das Passwort über die entsprechende Wordpress-Funktion ändern, was "sauberer" ist, als das Passwort direkt in der MySQL-Datenbank zu ändern.

Nicht empfohlen, aber natürlich ebenfalss in der Datenbank möglich, ist das Ändern des Passworts. Dazu über den Bearbeiten-Stift den Nutzereintrag anwählen und im Feld user_pass per Klappbox, wie im Screenshot zu sehen, die Funktion md5 auswählen. Rechts daneben den "Wert" für das neue Passwort eintragen (im Screenshot "mein-neues-passwort") und per OK-Button bestätigen. MySQL führt daraufhin diese Anweisung aus:

UPDATE `deine-datenbank`.`gro_users` SET `user_pass` = MD5( 'mein-neues-passwort' ) WHERE `gro_users`.`ID` = 2;

Wordpress Passwort in der Datenbank ändern

Jetzt kannst du dich mit deinem Nutzernamen und dem soeben neu gesetzten Passwort auf deiner Wordpress-Seite anmelden.

Da ein auf diesem Weg verändertes Passwort zwar funktioniert, aber aufgrund der fehlenden Hash-Verschlüsselung nicht ganz so sicher ist, solltest du umgehend über das Dashboard / Profil das Passwort erneut setzen. Erst dadurch wird aus dem knackbaren MD5-Passwort "ba5485cb116838e82408178031c5bf36" das nochmals verschlüsselte "$P$BL8bEQcBBBEeVWY0dFDXHmuWGkhhN41".

Wordpress Passwort ändern

Wordpress Login absichern

Was ist ein gutes Passwort?

Der vielleicht wichtigste Hinweis an dieser Stelle ist die Verwendung eines guten Passworts! Aber was heißt gut?

  1. Das Passwort sollte nicht bereits wo anders (in einem Forum, Software-Registrierungen, E-Mail-Accounts usw.) in Verwendung sein. Nutzt jedes Passwort nur genau ein mal im Web!
  2. Ein Passwort sollte keine Namen oder Begriffe, die auch in einem Wörterbuch oder in einem Lexikon vorkommen, beinhalten.
  3. Keine Passwörter verwenden, die sich auf dich zurückführen lassen. Schlecht ist z.B. eine Kombination aus Geburtstag und dem Namen des Partners o.ä.
  4. Eine Kombination aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen. Auf deutschen Tastaturen auch ruhig die Umlaute (ä, ü, ö) und das ß einsetzen.
  5. Möglichst lange Kombinationen wählen, da diese auch per Bruteforce nur nach sehr langer Zeit knackbar wären. 11 und mehr Zeichen sind derzeit eine gute Wahl.
  6. Das Passwort nicht im Browser speichern und niemandern verraten.
Da sich sicherlich niemand ein solches Passwort, und schon gar nicht mehre davon, merken kann, wird für einige das Aufschreiben (nicht auf dem Computer, sondern in ein Heftchen) eine Möglichkeit sein. Etwas komfortabler ist die Nutzung eines Passwort-Managers wie KeePass, die es kostenlos im Netz gibt.

Worpress-Plugins zur Login-Sicherheit

Das Plugin Limit Login Attempts verhindert Brute-Force-Attacken, indem es nach mehreren Login-Fehlversuchen die IP-Adresse des potentiellen Angreifers für eine gewisse Zeit sperrt. Zeiten, Anzahl der fehlerhaften Anmeldeversuche und Benachrichtigungen sind frei einstellbar.

Hinweis: Wer sich selbst durch zu viele fehlerhafte Anmeldungen ausgesperrt hat, kann entweder die eingestellte Zeit abwarten oder man löscht einfach Limit Login Attempts aus dem Plugin-Verzeichnis per FTP, meldet sich dann am Backend an und installiert das Plugin neu.

Zusätzliche Passwortabfrage per .htaccess

Serverseitig eine zusätzliche Authentifizierung vor dem eigentlichen Wordpress-Login zu legen, schaltet die Möglichekeit für Angreifer Brute-Force-Attacken auf das Wordpress-Login faktisch aus. Da Login-Versuche am Wordpress-System vom htaccess-Passwortschutz im Vorfeld abgefangen werden, finden das wahllose, massenhafte und automatisierte Hacken nicht mehr statt.

Dazu in der meist schon vorhandenen .htaccess-Datei im Home-Verzeichnis der Wordpress-Installation einige Code-Zeilen hinzufügen und eine dazugehörige Passwortdatei generieren.

Lade dir per FTP-Programm (z.B. Filezilla) deine .htaccess-Datei auf den Rechner und bearbeite sie mit einem Texteditor wie Notepad++, PsPad oder dem Windows-Editor.

Folgenden Code innerhalb deiner .htaccess-Datei einfügen

<files wp-login.php>
AuthName "Wordpress Login"
AuthType Basic
AuthUserFile /server/pfad/zur/datei/.htpasswd
require valid-user
</files>

Bearbeiten der .htaccess-Datei mit Notepad++

XML-RPC API deaktivieren

Oft das Lieblingsziel der Hacker, aber selten wirklich verwendet wird die XML-RPC-Schnittstelle von Wordpress. Sie dient zur Kommunikation mit dem Blog von außen, um z.B. mit Hilfe von Smartphone-Apps oder Desktop-Anwendungen Zugriff auf Wordpress-Oberfläche zu ermöglichen. Wer dies nicht nutzt, kann durch einen zusätzlichen Eintrag in die .htaccess-Datei den Zugriff auf die xmlrpc.php komplett abschalten.

Auszug aus den Server-Logdateien, die Login-Versuche über die xml-rpc.php dokumentieren
Auszug aus den Server-Logdateien, die Login-Versuche über die xml-rpc.php dokumentieren

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Zudem wird im HTTP-Header ein Hinweis auf die Pingback-URL mit gesendet, der sich mit ein paar Zeilen PHP-Code in der functions.php schnell abschalten lässt.

// entfernt Pingback-URL aus HTTP-Header
function remove_x_pingback($headers) {
unset($headers['X-Pingback']);
return $headers;
}
add_filter('wp_headers', 'remove_x_pingback');

HTTP-Header mit Hinweis auf Pingback-URL

Im letzten Schritt sollte noch im Theme - meist in der header.php - der Verweis auf die xmlrpc.php im HTML-Quellcode gelöscht werden. Dazu die folgende Zeile komplett entfernen:

<link rel="pingback" href="<?php bloginfo( 'pingback_url' ); ?>" />

Überprüfen lässt sich der Erfolg der soeben gemachten Änderungen ganz einfach:

  1. der Aufruf von example.com/xmlrpc.php führt zu einem 403 Server-Error (example.com natürlich durch die eigene Adresse ersetzen)
  2. den HTTP-Header per Browser-Plugin oder z.B. unter web-sniffer.net die eigene Webadresse abrufen lassen und im HTTP Response Header überprüfen, ob der Hinweis auf die Pingback-URL verschwunden ist
  3. im HTML-Quellcode nachschauen, ob irgendwo im oberen Bereich die Zeile <link rel="pingback" href="http://example.com/xmlrpc.php" /> nicht mehr ausgegeben wird

Hinweis: Gegebenenfalls ist dazu vorher der Cache zu leeren und natürlich Änderungen möglichst nur im Child-Theme vornehmen.

Wordpress Custom Login Plugins

Eine ganze Reihe kostenloser Plugins rund um das Thema "Wordpress Login" finden sich unter wordpress.org. Einige dieser Erweiterungen bieten die Möglichkeit, die Anmeldeseite frei zu gestalten und so mit einem eigenen Logo, eigenen Feldern und beliebigen Farben zu gestalten. Interessante Beispiele sind hier:

Viele dieser Plugin ähneln sich in den Features. Wer hierzu etwas passendes sucht, wird unter mehreren Hundert Angeboten mit Sicherheit fündig werden. Hier geht es zur Wordpress Plugin-Übersicht zum Thema Login-Seite anpassen.