Jetzt anfragen

WordPress Login-URL ändern: wp-login.php, wp-admin und die Login-Seite absichern – so geht Login URL ändern richtig

Wordpress Login URL ändern

Jeder kennt sie. deinedomain.de/wp-admin. Oder deinedomain.de/wp-login.php. Die Standard-Login-URL von jeder WordPress-Installation auf der Welt. Jeder weiß, wo dein Login-Bereich ist. Jeder kann sich auf deiner WordPress Login-Seite anmelden – oder es zumindest versuchen.

Auch Hacker. Besonders Hacker.

Brute-Force-Attacken auf die WP-Login-Seite gehören zu den häufigsten Angriffen im Web. Bots probieren tausende Kombinationen aus Benutzernamen und Passwort – automatisch, rund um die Uhr. Und sie finden deine Login-Seite garantiert, weil die Standard-Login-URL bei jeder WordPress-Website gleich ist. Wenig Schutz, viel Risiko. Das Backend steht offen wie eine Scheunentür.

Die Lösung: Die WordPress Login-URL ändern. Eine eigene Anmelde-URL verwenden, die nur du kennst. In diesem Artikel zeigen wir dir, wie du deine WordPress Login URL änderst – per Plugin wie WPS Hide Login oder Rename wp-login.php, per .htaccess und was du sonst noch tun kannst, um deinen WordPress-Login abzusichern. Volle Kontrolle über deine Website beginnt beim Login.

 

Warum solltest du die WordPress Login-URL ändern?

Weil wp-admin und wp-login.php weltweit bekannt sind. Die Standard-URL ist bei jeder neuen WordPress-Installation identisch. Professionelle Hacker und automatisierte Bots kennen diese URLs. Sie scannen das Internet nach WordPress-Websites und greifen die WP-Login-Seite automatisch an. Brute-Force-Angriffen – also das massenhafte Durchprobieren von Passwörtern – treffen zuerst die Standard-Login-URL. Wenn deine Login-Seite unter einer anderen Adresse liegt, laufen diese Angriffe ins Leere.

Das Ändern der Login-URL ist kein Allheilmittel. Aber es ist eine zusätzliche Schutzschicht. Angreifer vom Zugriff auf die Login-Seite abzuhalten ist wie die Haustür zu verstecken. Wer sie nicht findet, kann auch nicht einbrechen. WordPress gibt dir die Möglichkeit, die Anmelde-URL frei zu wählen. Zusammen mit einem sicheren Passwort und begrenzten Anmeldeversuchen machst du es Hackern deutlich schwerer, auf dein WordPress-Dashboard zuzugreifen. Login URL ändern ist der erste Schritt zu einem sicheren WordPress-Login.

 

Wie ist die Standard-Login-URL deiner WordPress Website aufgebaut?

Drei Wege führen standardmäßig zum WordPress Admin Login. Alle sind öffentlich zugänglich.

deinedomain.de/wp-admin/ – der WordPress Admin Bereich. Wenn du nicht eingeloggt bist, leitet WordPress dich automatisch zur Login-Seite weiter. deinedomain.de/wp-login.php – die eigentliche WP-Login-Seite. Hier gibst du Benutzernamen und Passwort eingeben. deinedomain.de/login/ – ein Alias, den manche WordPress-Installationen unterstützen. Auch über ein Unterverzeichnis wie /wp-login ist der Login-Bereich oft erreichbar.

Alle diese URLs sind öffentlich. Jeder kann die WordPress Login-Seite aufrufen. Jeder kann das Formular sehen. Dass WordPress diese Standard-URL verwenden lässt, ist kein Bug – es ist die Standardkonfiguration jedes Content Management Systems. Aber es heißt auch: Du musst selbst für Sicherheit sorgen. Die Standard-Login-URL zu ändern ist der erste Schritt. Die Anmelde-URL für Angreifer unsichtbar machen der zweite.

 

Wie änderst du die WordPress Login-URL mit dem Plugin WPS Hide Login?

Der einfachste und beliebteste Weg. Ein WordPress-Plugin installieren, URL festlegen, fertig.

WPS Hide Login ist das bekannteste Plugin dafür. Kostenlos, schlank, über eine Million aktive Installationen. Sobald du das Plugin installiert hast, findest du die Einstellungen unter Einstellungen → WPS Hide Login im WordPress-Dashboard. Dort siehst du ein Feld: „Login URL“. Trage deine gewünschte neue Anmelde-URL ein – z.B. mein-geheimer-zugang oder portal2024. Klicke auf Speichern. In wenigen Klicks ist die WordPress-Login-URL geändert.

Ab sofort erreichst du dein Backend unter deinedomain.de/mein-geheimer-zugang. Die alten URLs wp-admin und wp-login.php zeigen einen 404-Fehler. Angreifer finden deine Login-Seite nicht mehr. WPS Hide Login ändert keine Dateien auf dem Server – es arbeitet per Redirect. Wenn du das Plugin deaktiviert, ist die Standard-URL sofort wieder aktiv. Sicher, reversibel, einsteiger-freundlich. Die WordPress-Logins laufen danach nur noch über deine neue, geheime URL. Dein Login-Bereich ist versteckt.

Wichtig: Merk dir die neue URL! Speichere den Login-Link als Lesezeichen. Wenn du die neue Adresse vergisst und WPS Hide Login aktiv ist, kommst du nicht mehr ins Backend. Lösung in dem Fall: Per FTP den Plugin-Ordner wps-hide-login in wp-content/plugins/ umbenennen. WordPress deaktiviert das Plugin, und du kannst dich wieder über die Standard-URL anmelden.

 

Welche anderen Plugins gibt es, um die WordPress Login-Seite zu ändern?

WPS Hide Login ist nicht die einzige Option. Es gibt mehrere Plugins, die den WordPress-Login absichern.

Rename wp-login.php – macht genau das, was der Name sagt. Leichtgewichtig, ohne Overhead. Du installierst das WordPress-Plugin, legst eine neue Admin-URL fest, fertig. Ähnlich wie WPS Hide Login, nur minimalistischer. Rename wp-login.php ist für Leute, die keine Zusatzfunktionen benötigen – nur die URL-Änderung. Der Login-Bereich wird umgeleitet, die alte WP-Login-Seite ist nicht mehr erreichbar.

iThemes Security (heute: Solid Security) – ein umfassendes Sicherheits-Plugin, das unter anderem die Login-URL ändern kann. Plus: Brute-Force-Schutz, Zwei-Faktor-Authentifizierung, Dateiüberwachung. Auch All In One WP Security bietet die Funktion. Je nach Plugin bekommst du mehr oder weniger Zusatzfeatures. Für die reine URL-Änderung: WPS Hide Login oder Rename wp-login.php. Für ein Gesamtpaket: Sicherheits-Plugin verwenden. Die WordPress-Logins absichern geht mit jedem dieser Tools.

 

Kann man die Login-URL auch ohne Plugin per htaccess ändern?

Ja. Per htaccess-Datei. Aber mit mehr Risiko.

Du kannst die htaccess-Datei im Hauptverzeichnis deiner WordPress-Installation bearbeiten. Dort fügst du Regeln ein, die den Zugriff auf wp-login.php blockieren und auf eine eigene URL umleiten. Das funktioniert – aber wenn du einen Fehler machst, sperrst du dich selbst aus. Oder schlimmer: Die gesamte Website zeigt Fehler. Per htaccess die WordPress-Login-URL zu ändern ist die Methode für Fortgeschrittene, die wissen was sie tun.

Für die meisten ist ein Plugin der sicherere Weg. Plugins lassen sich deaktivieren. Eine fehlerhafte htaccess-Datei musst du per FTP reparieren. Du kannst auch per .htaccess bestimmte IPs blockieren oder nur bestimmte IPs zum Login-Bereich zulassen. Aber auch das birgt Risiken – wenn sich deine IP ändert, kannst du dich nicht mehr anmelden. Tipp: Erst per Plugin testen, ob das Konzept für dich funktioniert. Dann bei Bedarf auf htaccess umsteigen.

 

Was tun, wenn du dich ausgesperrt hast und die neue URL vergessen hast?

Kein Grund zur Panik. Es gibt immer einen Weg zurück ins WordPress-Dashboard.

Weg 1: Per FTP. Verbinde dich mit deinem Webserver. Navigiere zu wp-content/plugins/. Den Ordner des Login-Plugins (z.B. wps-hide-login) umbenennen – in irgendwas anderes. WordPress erkennt, dass das Plugin fehlt, und die Standard-URL funktioniert wieder. Unter wp-login.php kannst du dich jetzt wieder anmelden. WP Login funktioniert dann wie gewohnt.

Weg 2: Per Datenbank. Wenn der FTP-Weg nicht hilft: Öffne phpMyAdmin. In der WordPress-Datenbank die Tabelle wp_options durchsuchen. Bei WPS Hide Login nach dem Eintrag whl_page suchen. Den Wert ändern oder löschen. Die Datenbank zu bearbeiten ist der Notfall-Weg. Das falsche Passwort eingeben ist nervig – die Login-Seite nicht zu finden ist schlimmer. Passwort vergessen lässt sich über die Login Seite zurücksetzen. Login-URL vergessen braucht FTP oder Datenbank-Zugriff.

Deshalb der Rat: Neue Anmelde-URL als Lesezeichen speichern. Und an einem sicheren Ort notieren. Der Login-Link gehört in deinen Passwort-Manager – zusammen mit Benutzername und Passwort.

 

Welche zusätzlichen Maßnahmen schützen den WordPress-Login?

Die URL ändern ist Schritt eins. Aber dein WordPress Admin Login braucht mehr als nur eine versteckte Tür.

Anmeldeversuche begrenzen. Das Plugin Limit Login Attempts (Reloaded) beschränkt die Anzahl der Anmeldeversuche pro IP. Nach drei oder fünf Fehlversuchen wird die IP gesperrt. Brute-Force-Attacken werden damit nutzlos. Die Anzahl der Anmeldeversuche zu begrenzen ist eine der wirkungsvollsten Maßnahmen gegen Hacker. Professionelle Hacker verwenden zwar wechselnde IPs – aber die meisten automatisierten Bots nicht. Schon dieses eine Plugin macht deinen Login-Bereich deutlich sicherer.

Sicheres Passwort verwenden. Kein admin123. Ein sicheres Passwort hat mindestens 12 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Wenn ein Angreifer deine Login-Seite findet, ist das Passwort die letzte Verteidigung. Ein neues Passwort setzen kostet eine Minute – kann aber den Unterschied machen.

Standard-Benutzernamen vermeiden. Nicht „admin“ als Benutzername verwenden. Hacker probieren „admin“ als erstes. Verwende einen individuellen Benutzernamen. Wenn du noch den Standard-Benutzernamen hast: Neuen Benutzer mit Adminrechten erstellen, WordPress einloggen, alten User löschen. Die WordPress-Webseite ist nur so sicher wie ihr schwächstes Login.

 

Solltest du den Zugriff auf wp-admin komplett per IP blockieren?

Eine Option für Fortgeschrittene. Aber nicht für jeden geeignet.

Manche Tutorials empfehlen, den Zugriff auf den WordPress Admin Bereich komplett per IP-Whitelist zu blockieren. Nur bestimmte IPs dürfen auf die WP-Login-Seite zugreifen. Klingt sicher – und ist es auch. Aber: Wenn sich deine IP ändert, sperrst du dich selbst aus. Die meisten Internetanbieter vergeben dynamische IPs. Morgen hast du eine andere als heute.

Für Firmen mit fester IP: Sinnvoll. Für Freelancer und Blogger: Unpraktisch. Die bessere Lösung: Login-URL ändern plus Anmeldeversuche begrenzen. Das bietet starken Schutz, ohne dich einzuschränken. Den WordPress-Admin per IP zu blockieren ist die Fort-Knox-Variante. Für den Alltag reicht das Verstecken der Login-URL plus sicheres Passwort. Dass WordPress so flexibel konfigurieren lässt, ist einer seiner Stärken.

 

Was tun bei einer gehackten WordPress-Webseite?

Wenn es trotz allem passiert. Worst Case. Jemand hat Zugriff auf dein WordPress-Dashboard erhalten.

Zeichen: Du kannst dich nicht mehr anmelden kannst. Dein Passwort funktioniert nicht. Im Backend tauchen unbekannte Benutzer auf. Deine WordPress Seite zeigt Spam oder leitet weiter. Die WordPress-Website verhält sich seltsam. Angreifer haben deinen WordPress-Admin-Login übernommen.

Sofortmaßnahmen: Neues Passwort setzen – über phpMyAdmin direkt in der Datenbank, wenn das Backend nicht mehr erreichbar ist. Alle Benutzer prüfen, unbekannte löschen. Plugins und Themes aktualisieren. WordPress-Installation auf Malware scannen. Im schlimmsten Fall: Backup einspielen. Und danach: Login-URL ändern, sicheres Passwort verwenden, Limit Login Attempts aktivieren, Zwei-Faktor-Authentifizierung einrichten. WordPress einloggen sollte nur du können. Die WordPress-Logins absichern, die Anmelde-URL verstecken, die Admin-URL ändern. Dann bist du für die Zukunft gewappnet.

 

Checkliste: WordPress Login-Seite richtig absichern – URL ändern und mehr

Alles zusammen. In der richtigen Reihenfolge.

1. Login-URL ändern. WPS Hide Login oder Rename wp-login.php installieren, neue URL festlegen, Lesezeichen setzen. Die WordPress-Login-URL ist dann nur dir bekannt. Dein Login-Bereich verschwindet vom Radar.

2. Anmeldeversuche begrenzen. Limit Login Attempts aktivieren. Drei Fehlversuche, dann Sperre.

3. Sicheres Passwort. Mindestens 12 Zeichen. Nicht den Standard-Benutzernamen „admin“ verwenden.

4. Zwei-Faktor-Authentifizierung. Plugin dafür installieren – z.B. WP 2FA. Selbst wenn jemand dein Passwort errät, kommt er nicht rein.

5. WordPress und Plugins aktuell halten. Updates schließen Sicherheitslücken.

Fünf Schritte. Zehn Minuten. Dein WordPress-Login ist danach um Welten sicherer. WordPress-Admin-Login absichern ist keine Raketenwissenschaft. Es ist Handwerk. Die neue WordPress Login URL ist dein erster Schritt – der Rest folgt logisch. Erfahren hast du jetzt alles, was du brauchst.

 

Das Wichtigste auf einen Blick

  • wp-admin und wp-login.php sind die Standard-Login-URLs – weltweit bekannt, auch bei Hackern.
  • WPS Hide Login ist das beliebteste Plugin zum Ändern der Login-URL – kostenlos, in wenigen Klicks eingerichtet.
  • Rename wp-login.php ist die minimalistische Alternative – nur URL-Änderung, kein Overhead.
  • Sicherheits-Plugins wie iThemes Security ändern die URL und bieten Zusatzschutz.
  • Neue Login-URL als Lesezeichen speichern – bei Vergessen: Per FTP das Plugin deaktivieren.
  • Per htaccess geht es auch – aber riskanter als per Plugin, nur für Fortgeschrittene.
  • Anmeldeversuche begrenzen mit Limit Login Attempts – effektivster Brute-Force-Schutz.
  • Sicheres Passwort und individuellen Benutzernamen verwenden – nicht „admin“.
  • Die URL zu ändern ist eine Schutzschicht von mehreren – kombiniere alle Maßnahmen.
  • Fünf Schritte, zehn Minuten – und dein WordPress-Login ist sicher.

 

Sicherheit fängt bei der Login-URL an. Und hört dort nicht auf.

SSL, sichere Plugins, regelmäßige Updates, Backups – als WordPress Agentur kümmern wir uns um die Sicherheit deiner Seite von A bis Z.

WordPress Agentur

Tharsan Parameswaran

Tharsan ist Mitgründer von Digital Leap. Der Hintergrund ist BWL, die Skills hat er sich selbst beigebracht – Programmieren, SEO, Google Ads. Seit knapp 10 Jahren selbstständig, heute liegt sein Fokus auf Suchmaschinenoptimierung, bezahlter Werbung und dem kaufmännischen Rückgrat der Agentur. Er sorgt dafür, dass Websites nicht nur gefunden werden – sondern dass daraus echte Anfragen werden.

Von Tharsan Parameswaran

Am 27. April 2023

Thema #Sicherheit, #WordPress Sicherheit & DSGVO

Inhaltsverzeichnis

Weitere Artikel

„Es gab einen kritischen Fehler" in WordPress beheben: So löst du Fehler auf deiner Website Schritt für Schritt

Du rufst deine Seite auf – und statt deiner Inhalte erscheint nur dieser eine Satz: „Es gab einen kritischen Fehler auf dieser Website.“ Kein Backend, kein Frontend, nichts. Einfach Schwarz. Das ist ein WordPress kritischer Fehler. Unangenehm, aber in den meisten Fällen lösbar – wenn du weißt, wo du hinschauen musst. In diesem Guide zeige […]

WordPress Anker setzen: Anleitung für Ankerlinks, Sprungmarken & Inhaltsverzeichnis erstellen

Du hast eine lange Seite in WordPress – und niemand scrollt bis ganz unten. Du willst, dass Besucher direkt beim richtigen Abschnitt landen, statt sich durch alles durchzuarbeiten. Dafür sind Ankerlinks da. Wer einmal verstanden hat, wie man in WordPress Anker setzen kannst, hat ein echtes Werkzeug in der Hand: Inhaltsverzeichnisse, Onepager-Navigation, Buttons, die gezielt […]

WordPress Papierkorb: Gelöschte Beiträge & Seiten wiederherstellen, automatisch löschen oder dauerhaft leeren

Du hast einen Beitrag gelöscht. Und jetzt ist er weg. Oder du suchst eine Seite und findest sie einfach nicht mehr. Bevor du in Panik verfällst: Wahrscheinlich steckt sie im WordPress Papierkorb. Wer versteht, wie der Papierkorb in WordPress funktioniert, spart sich Nerven – und vermeidet Datenverluste, die sich eigentlich verhindern lassen. Dieser Guide zeigt […]

icon telefon single lime Jetzt anrufen icon mail single lime Erstgespräch anfragen