WordPress Login funktioniert nicht

Wenn Ihr WordPress Login nicht mehr funktioniert, kann das viele Gesichter haben. Mal erscheint eine Fehlermeldung, mal lädt die Login-Seite nicht, mal sehen Sie nur eine weiße Fläche. Die Ursache hängt davon ab, was genau passiert, wenn Sie ihre-domain.de/wp-login.php oder /wp-admin/ aufrufen. Auch die Alias-Adressen /admin/ und /login/ führen zum WordPress Admin Login.

Identifizieren Sie zuerst Ihr Symptom – das spart Zeit bei der Fehlersuche. Die folgende Tabelle hilft Ihnen, direkt zum richtigen Abschnitt zu springen:

Wenn statt eines Login-Problems Ihre gesamte Website eine Fehlermeldung zeigt, liegt ein anderes Problem vor: Bei der Meldung "Es gab einen kritischen Fehler" hilft mein Ratgeber zum kritischen WordPress-Fehler. Erscheint "Fehler beim Aufbau einer Datenbankverbindung", ist die Datenbank nicht erreichbar.

Passwort vergessen ist die häufigste und gleichzeitig einfachste Ursache für WordPress-Login-Probleme. Wichtig: WordPress unterscheidet beim Passwort zwischen Groß- und Kleinschreibung – beim Benutzernamen spielt die Schreibweise hingegen keine Rolle. Prüfen Sie daher zuerst die Caps-Lock-Taste, bevor Sie weitere Schritte unternehmen. Seit WordPress 4.5 können Sie sich sowohl mit Ihrem Benutzernamen als auch mit Ihrer E-Mail-Adresse einloggen.

Methode 1: Passwort per E-Mail zurücksetzen (empfohlen)

• Schritt 1: Rufen Sie ihre-domain.de/wp-login.php auf.
• Schritt 2: Klicken Sie auf "Passwort vergessen?" unter dem Login-Formular.
• Schritt 3: Geben Sie Ihren Benutzernamen oder Ihre E-Mail-Adresse ein.
• Schritt 4: Prüfen Sie Ihr Postfach (auch den Spam-Ordner) auf eine E-Mail mit dem Reset-Link.
• Schritt 5: Klicken Sie den Link und vergeben Sie ein neues, starkes Passwort.

Die Reset-E-Mail kommt nicht an? WordPress versendet E-Mails standardmäßig über die PHP-Mailfunktion des Servers. Viele Hoster blockieren diese oder die E-Mails landen im Spam. Ohne ein konfiguriertes SMTP-Plugin (ein Protokoll für zuverlässigen E-Mail-Versand) erreichen WordPress-Mails den Empfänger oft nicht. Details dazu in meinem Artikel WordPress E-Mail kommt nicht an.

Methode 2: Passwort über phpMyAdmin zurücksetzen

Wenn die E-Mail-Methode nicht funktioniert, können Sie das Passwort direkt in der Datenbank ändern. Öffnen Sie phpMyAdmin (ein browserbasiertes Verwaltungstool für MySQL-Datenbanken) über das Hosting-Panel Ihres Anbieters und führen Sie folgenden SQL-Befehl aus:

Warum MD5? WordPress nutzt seit Version 6.8 (April 2025) bcrypt zum Hashen von Passwörtern – deutlich sicherer als das frühere phpass-Verfahren. Ein per phpMyAdmin gesetzter MD5-Hash wird trotzdem akzeptiert: WordPress erkennt beim nächsten Login automatisch, dass es sich um einen MD5-Hash handelt, und konvertiert ihn im Hintergrund in das aktuelle bcrypt-Format. Der MD5-Hash ist also nur ein temporärer Einstieg, kein Sicherheitsrisiko.

Methode 3: Passwort über FTP und functions.php zurücksetzen

Wenn Sie keinen phpMyAdmin-Zugang haben, aber FTP-Zugang: Öffnen Sie die Datei /wp-content/themes/ihr-aktives-theme/functions.php und fügen Sie ganz oben (nach <?php) folgende Zeile ein:

Die 1 ist die Benutzer-ID des ersten Admin-Users. Speichern Sie die Datei, rufen Sie einmal Ihre Website auf, und entfernen Sie die Zeile sofort wieder. Ihr Passwort ist jetzt geändert.

Wenn die WordPress Login-Seite nicht lädt, nur eine komplett weiße Fläche zeigt oder eine PHP-Fehlermeldung erscheint, liegt das Problem nicht beim Login selbst, sondern bei WordPress. Ein defektes Plugin oder ein inkompatibles Theme bringt WordPress zum Absturz, bevor die Login-Seite überhaupt laden kann. Das WordPress Backend ist dann nicht erreichbar – weder für Sie noch für Besucher.

Schnelltest: Funktioniert das Frontend Ihrer Website (die Besucheransicht) noch? Wenn ja, ist nur das Backend betroffen. Wenn nein, hat WordPress ein grundsätzliches Problem – dann hilft mein ausführlicher Ratgeber zum WordPress White Screen of Death.

Login-spezifische weiße Seite beheben:

• Schritt 1: Plugins per FTP deaktivieren. Verbinden Sie sich per FTP mit Ihrem Webspace (z.B. mit dem kostenlosen Programm FileZilla). Navigieren Sie zu /wp-content/ und benennen Sie den Ordner plugins um in plugins_deaktiviert. Laden Sie die Login-Seite neu.
• Schritt 2: Theme per FTP wechseln. Falls Schritt 1 nicht hilft, navigieren Sie zu /wp-content/themes/ und benennen Sie den Ordner Ihres aktiven Themes um. WordPress aktiviert dann automatisch ein Standard-Theme (z.B. Twenty Twenty-Five).
• Schritt 3: PHP-Speicherlimit erhöhen. Öffnen Sie die wp-config.php per FTP und fügen Sie vor der Zeile /* That's all, stop editing! */ ein: define('WP_MEMORY_LIMIT', '256M');
• Schritt 4: Debug-Modus aktivieren. Setzen Sie in der wp-config.php define('WP_DEBUG', true); und define('WP_DEBUG_LOG', true);. Prüfen Sie anschließend die Datei /wp-content/debug.log per FTP – dort steht die exakte Fehlerursache mit Dateiname und Zeilennummer. Mehr dazu in meinem Artikel WordPress Error-Logs finden und verstehen.
• Schritt 5: WordPress Core-Dateien ersetzen. Wenn die Debug-Analyse Fehler in wp-admin/ oder wp-includes/ zeigt, laden Sie frische WordPress-Dateien von de.wordpress.org herunter und ersetzen Sie per FTP die Ordner wp-admin/ und wp-includes/. Die wp-config.php und den wp-content/-Ordner dabei nicht überschreiben – dort liegen Ihre Inhalte und Einstellungen.

Eine WordPress Login Weiterleitungs-Schleife gehört zu den frustrierendsten Problemen: Sie geben Ihre Zugangsdaten ein, die Seite lädt – und landet wieder auf dem Login-Formular. Die Fehlermeldung "ERR_TOO_MANY_REDIRECTS" oder "Diese Seite funktioniert nicht – zu viele Weiterleitungen" bedeutet: Der Browser wird in einer Endlosschleife zwischen Login-Seite und Backend hin- und hergeschickt, ohne jemals anzukommen. Chrome und Firefox brechen nach 20 Weiterleitungen ab, Safari bereits nach 16.

Lösung 1: Browser-Cookies löschen

WordPress setzt beim Login ein Authentifizierungs-Cookie (wordpress_logged_in_[hash]), das 14 Tage gültig ist (oder 2 Tage ohne "Angemeldet bleiben"). Ist dieses Cookie beschädigt, kann WordPress den Login nicht abschließen. Löschen Sie die Cookies Ihrer Website im Browser oder testen Sie den Login in einem Inkognito-Fenster.

Lösung 2: URL-Konfiguration in der wp-config.php festlegen

Unterschiedliche Werte für siteurl und home in der Datenbank sind eine häufige Ursache für Login-Redirects. Öffnen Sie die wp-config.php per FTP und fügen Sie folgende Zeilen ein (mit Ihrer tatsächlichen Domain):

Diese Einträge überschreiben die Datenbank-Werte und beseitigen Inkonsistenzen. Achten Sie darauf, dass die URL kein abschließendes / enthält und https:// (nicht http://) verwendet wird.

Lösung 3: .htaccess zurücksetzen

Eine fehlerhafte .htaccess-Datei (die zentrale Konfigurationsdatei des Apache-Webservers) kann Redirect-Schleifen verursachen. Benennen Sie per FTP die .htaccess im WordPress-Hauptverzeichnis um in .htaccess_backup. Prüfen Sie auch, ob eine zweite .htaccess im Ordner /wp-admin/ existiert – diese kann ebenfalls Schleifen auslösen. Ausführliche Anleitungen dazu in meinem Artikel Redirect-Schleifen nach Website-Umzug beheben.

Sicherheitsplugins sind der häufigste Grund, warum WordPress-Besitzer aus ihrem eigenen Backend ausgesperrt werden – ironischerweise durch genau die Software, die sie schützen soll. Plugins wie Wordfence, Solid Security (ehemals iThemes Security) oder Sucuri schützen Ihre WordPress-Installation vor Brute-Force-Angriffen (automatisierte Login-Versuche mit Tausenden von Passwort-Kombinationen), indem sie nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche die IP-Adresse temporär sperren. Das Ergebnis: Sie sind durch Wordfence ausgesperrt oder durch ein anderes Sicherheitsplugin vom eigenen WordPress-Backend abgeschnitten.

Die Lösung in allen Fällen: Das Sicherheitsplugin per FTP deaktivieren. Navigieren Sie zu /wp-content/plugins/ und benennen Sie den Ordner des Sicherheitsplugins um:

• Wordfence: wordfence → wordfence_deaktiviert
• Solid Security: better-wp-security → better-wp-security_deaktiviert
• Sucuri Security: sucuri-scanner → sucuri-scanner_deaktiviert
• Limit Login Attempts Reloaded: limit-login-attempts-reloaded → limit-login-attempts-reloaded_deaktiviert

Nach dem Umbenennen können Sie sich wieder einloggen. Benennen Sie den Plugin-Ordner anschließend zurück und passen Sie im WordPress-Backend die Sicherheitseinstellungen an (z.B. Ihre eigene IP-Adresse auf eine Whitelist setzen oder die Anzahl erlaubter Login-Versuche erhöhen).

Sonderfall: WPS Hide Login – Login-URL geändert

Das Plugin WPS Hide Login (über 2 Millionen aktive Installationen) versteckt die Standard-Login-URL /wp-login.php und leitet stattdessen auf eine benutzerdefinierte Adresse um (z.B. /mein-geheimes-login/). Wenn Sie diese URL vergessen haben, führen Aufrufe von /wp-login.php und /wp-admin/ auf eine 404-Fehlerseite.

Lösung: Deaktivieren Sie WPS Hide Login per FTP (Ordner wps-hide-login umbenennen). Die Standard-Login-URL /wp-login.php ist sofort wieder verfügbar. Das Plugin ändert keine Core-Dateien und fügt keine .htaccess-Regeln hinzu – es arbeitet ausschließlich auf Runtime-Ebene durch WordPress-Hooks. Nach der Deaktivierung ist alles zurück auf Standard.

Wenn der WordPress Login nach einem Umzug nicht möglich ist, liegt es fast immer an falschen URL-Einträgen. Nach einem Hoster-Wechsel ist der WordPress Admin Login ein klassischer Stolperstein. Die häufigste Ursache: WordPress speichert die Website-Adresse in der Datenbank (Tabelle wp_options, Felder siteurl und home). Wenn diese Werte noch auf die alte Adresse zeigen, scheitert die Cookie-Authentifizierung beim Login.

Lösung: URL-Konfiguration reparieren

• Variante A – wp-config.php: Fügen Sie die Zeilen define('WP_HOME', 'https://neue-domain.de'); und define('WP_SITEURL', 'https://neue-domain.de'); in die wp-config.php ein. Das überschreibt die Datenbank-Werte sofort.
• Variante B – phpMyAdmin: Führen Sie folgenden SQL-Befehl aus, um die Werte direkt in der Datenbank zu korrigieren:

Weitere häufige Probleme nach dem Umzug: Vergessen Sie nicht, auch die Datenbank-Zugangsdaten in der wp-config.php zu aktualisieren (DB_HOST, DB_NAME, DB_USER, DB_PASSWORD). Der Wert für DB_HOST ist nicht immer localhost – manche Hoster verwenden eigene Adressen. Diese finden Sie im Hosting-Panel unter den Datenbank-Einstellungen.

Der HTTP-Statuscode 403 bedeutet: Der Server versteht Ihre Anfrage, verweigert aber den Zugriff. Bei WordPress-Login-Seiten hat das fast immer eine von drei Ursachen:

• .htaccess blockiert wp-login.php: Eine IP-basierte Zugriffsbeschränkung in der .htaccess-Datei sperrt alle IP-Adressen außer einer bestimmten. Prüfen Sie die .htaccess per FTP auf Einträge wie Require ip oder Allow from. Entfernen oder aktualisieren Sie die IP-Adresse.
• ModSecurity (Server-Firewall) blockiert den Request: Viele Hoster setzen eine Web Application Firewall (WAF) ein, die bestimmte POST-Requests auf wp-login.php als verdächtig einstuft. Die aktuelle WordPress-Dokumentation zum Brute-Force-Schutz warnt ausdrücklich vor komplexen .htaccess-Regeln und empfiehlt stattdessen eine WAF oder serverseitiges Rate-Limiting. Kontaktieren Sie Ihren Hoster, damit er die ModSecurity-Logs prüft und Ihre IP freigibt.
• Falsche Dateiberechtigungen: Die Datei wp-login.php braucht die Berechtigung 644 (lesbar für alle, schreibbar nur für den Besitzer). Prüfen und korrigieren Sie die Berechtigungen per FTP.

Sie können sich einloggen, sehen aber kein vollständiges Dashboard, keine Menüpunkte und keine Einstellungen? Dann wurde Ihre Benutzerrolle von "Administrator" auf eine niedrigere Rolle herabgestuft – zum Beispiel auf "Abonnent" oder "Autor". Das passiert häufig nach einem Hackerangriff, bei dem der Angreifer sich selbst zum Administrator macht und bestehende Admins herabstuft.

Benutzerrolle über phpMyAdmin wiederherstellen:

Öffnen Sie phpMyAdmin über das Hosting-Panel und führen Sie folgenden SQL-Befehl aus, um Ihre Benutzerrolle auf Administrator zurückzusetzen:

Ersetzen Sie user_id = 1 durch Ihre tatsächliche Benutzer-ID. Diese finden Sie mit dem Befehl SELECT ID, user_login FROM wp_users;. Denken Sie auch hier an den Tabellenpräfix, falls Ihre Installation nicht den Standard wp_ verwendet (dann wird wp_usermeta zu z.B. xyz_usermeta und wp_capabilities zu xyz_capabilities).

Prüfen Sie nach der Wiederherstellung die gesamte Benutzerliste unter Benutzer → Alle Benutzer im WordPress-Dashboard. Löschen Sie unbekannte Administrator-Konten und ändern Sie alle Passwörter. Wenn Sie Anzeichen eines Hacks bemerken, hilft Ihnen mein Ratgeber Website gehackt – Malware erkennen und entfernen.

Wenn alle anderen Methoden scheitern oder Ihre Website gehackt wurde und der Angreifer Ihr Admin-Passwort und Ihre E-Mail-Adresse geändert hat, bleibt ein letzter Ausweg: Ein neues Administratorkonto direkt in der Datenbank anlegen. Dafür brauchen Sie Zugang zu phpMyAdmin über das Hosting-Panel Ihres Anbieters.

Drei SQL-Befehle genügen. Führen Sie diese nacheinander im SQL-Tab von phpMyAdmin aus. Ersetzen Sie 99 durch eine ID, die noch nicht vergeben ist (eine hohe Zahl wie 99 funktioniert in den meisten Fällen):

Schritt 1: Benutzer anlegen

Schritt 2: Administrator-Rolle zuweisen

Schritt 3: Benutzer-Level setzen

Loggen Sie sich anschließend mit notfall_admin und dem gewählten Passwort ein. Wichtig: Löschen Sie den Notfall-Account nach der Reparatur wieder! Ändern Sie außerdem sofort die Passwörter aller bestehenden Administratoren und prüfen Sie die Benutzerliste auf unbekannte Konten.

In den meisten Fällen, in denen der WordPress Login nicht funktioniert, lässt sich das Problem mit diesem Ratgeber selbst lösen. Es gibt aber Situationen, in denen professionelle Hilfe der schnellere und sicherere Weg ist:

• Sie haben weder FTP-Zugang noch phpMyAdmin-Zugang und Ihr Hoster-Support reagiert nicht schnell genug.
• Sie vermuten einen Hackerangriff – unbekannte Admin-Konten, geänderte E-Mail-Adressen oder Weiterleitungen auf fremde Seiten.
• Das Login-Problem besteht nach allen Schritten aus diesem Ratgeber weiter.
• Ihre Website ist ein Online-Shop oder geschäftskritisch und jede Stunde ohne Backend-Zugang kostet Umsatz.
• Sie fühlen sich beim Arbeiten in der Datenbank unsicher und möchten kein Risiko eingehen.

Mein Website-Reparatur-Service bietet Festpreise ab 49 EUR zzgl. MwSt. für solche Fälle. Sie schildern mir das Problem, ich analysiere die Ursache und stelle Ihren Zugang wieder her – in der Regel innerhalb von 24 Stunden. Keine versteckten Kosten, keine Stundensatz-Überraschungen.

WordPress hat standardmäßig keinen eingebauten Brute-Force-Schutz – die offizielle WordPress-Dokumentation bestätigt das ausdrücklich. Die Login-Seite akzeptiert unbegrenzt viele Login-Versuche – ein offenes Tor für automatisierte Angriffe. Allein 2023 wurden laut dem Patchstack Security Report 5.948 neue Schwachstellen im WordPress-Ökosystem entdeckt (2023; die Zahlen steigen seither weiter an), davon 96,77 % in Plugins. Fast 59 % dieser Schwachstellen waren ohne Authentifizierung ausnutzbar. Wer seinen Login nicht aktiv schützt, riskiert genau die Probleme, die dieser Ratgeber löst.

Die 6 wichtigsten Maßnahmen:

• 1. Starkes, einzigartiges Passwort nutzen: Mindestens 16 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Nutzen Sie einen Passwort-Manager wie Bitwarden – niemals dasselbe Passwort für WordPress und andere Dienste verwenden.
• 2. Zwei-Faktor-Authentifizierung (2FA) einrichten: Ein zweiter Faktor (z.B. ein Code aus einer Authenticator-App) macht Brute-Force-Angriffe wirkungslos, selbst wenn das Passwort kompromittiert wird. Empfohlene Plugins: WP 2FA oder Wordfence (kostenlose 2FA-Funktion integriert).
• 3. Login-Versuche begrenzen: Installieren Sie ein Plugin wie Limit Login Attempts Reloaded oder nutzen Sie die Brute-Force-Schutzfunktion von Wordfence. Empfohlene Einstellung: maximal 5 Versuche, danach 30 Minuten Sperre.
• 4. Regelmäßige Backups erstellen: Erstellen Sie vor jedem Update ein WordPress-Backup. Im schlimmsten Fall können Sie damit den letzten funktionierenden Zustand wiederherstellen.
• 5. FTP-Zugangsdaten griffbereit halten: Dokumentieren Sie Ihre FTP-Zugangsdaten und bewahren Sie sie sicher auf. Im Notfall ist FTP Ihr Bypass, wenn das Backend nicht erreichbar ist. Die Zugangsdaten finden Sie in der Willkommens-E-Mail Ihres Hosters oder im Hosting-Panel.
• 6. E-Mail-Zustellung sicherstellen: Konfigurieren Sie ein SMTP-Plugin, damit Passwort-Reset-E-Mails und Recovery-Mode-E-Mails (der eingebaute Notfallmechanismus seit WordPress 5.2) zuverlässig ankommen. Ohne funktionierenden E-Mail-Versand sind Sie bei Login-Problemen auf FTP angewiesen.