Die Anmeldung deaktivieren – speziell die Anmeldung mit E-Mail-Adresse – ist für viele Betreiber von WordPress-Websites ein wichtiger Schritt, um Angriffsflächen zu reduzieren und mehr Kontrolle über den Login-Prozess zu gewinnen. In diesem Artikel zeige ich dir, wie du diese Funktion sicher und dauerhaft ausschaltest – wahlweise per Code oder Plugin.
Zentrale Punkte
- Sicherheitsvorteile: durch Einschränkung auf Benutzernamen keine Angriffe mit bekannten Adressen möglich
- Anwendungen für geschlossene oder interne Plattformen
- Code- und Plugin-Optionen stehen zur Auswahl
- Bestehende Benutzerkonten bleiben unangetastet
- Wiederherstellung der Funktion jederzeit möglich
Warum die Anmeldung mit E-Mail-Adresse deaktivieren?
Standardmäßig erlaubt WordPress die Anmeldung mit Benutzername oder E-Mail-Adresse. Was auf den ersten Blick bequem wirkt, kann schnell zur Schwachstelle werden. E-Mail-Adressen lassen sich leichter herausfinden, etwa durch Kontaktformulare, Impressen oder bereits kompromittierte Datenbanken. Der Angriffspunkt liegt offen. Wer den Login auf die Eingabe eines Benutzernamens beschränkt, erhöht die Sicherheit und erschwert Brute-Force-Angriffe erheblich.
Gerade für Community-Plattformen oder interne Systeme mit Zugriffsschutz stellt dies ein einfaches, aber effektives Mittel dar. Öffentlich zugängliche E-Mail-Adressen können nämlich automatisiert abgegriffen und missbraucht werden. Mit einem individuellen Benutzernamen als einzige Login-Möglichkeit erschweren Sie unberechtigte Zugriffsversuche deutlich.
Darüber hinaus sorgt die Beschränkung auf den Benutzernamen dafür, dass Keylogger und andere Schadsoftware weniger Ansätze haben, deinen Zugang zu kompromittieren. In vielen Fällen genügen bereits einfach zu erratende E-Mail-Adressen, um erste brute-force-Angriffe durchzuführen. Der Mehraufwand, einen korrekten Benutzername in Erfahrung zu bringen, ist zwar kein 100%iger Schutz, erhöht aber die Hürde für potenzielle Angreifer beträchtlich.
Nicht zuletzt kann dieser Schritt auch organisatorisch Vorteile bringen: Wer Verantwortliche oder Teammitglieder über mehrere Systeme hinweg koordiniert, minimiert das Risiko, dass dieselbe E-Mail-Adresse in diversen Umgebungen publik wird. So bleibt neben der WordPress-Installation auch die Kommunikation via E-Mail deutlich sicherer.
Was sich nach der Deaktivierung ändert
Die Login-Maske selbst bleibt unberührt – Nutzer sehen weiterhin lediglich das Feld „Benutzername oder E-Mail-Adresse“. Tatsächlich jedoch können sie sich fortan nur noch mit dem Benutzernamen einloggen. Ein Versuch per Mail-Adresse endet mit einer Fehlermeldung („Ungültiger Benutzername“).
Technisch gesehen wird die E-Mail-Erkennung durch einen einzigen Filter gesteuert, der im späteren Abschnitt entsprechend entfernt wird. So bleibt das System stringenter, gerade bei Projekten mit mehreren Nutzerrollen oder vielen Accounts. Die Kommunikation via E-Mail – etwa bei Passwort-Reset – funktioniert weiterhin ohne Einschränkungen.
Solltest du mit einer großen Menge an bestehenden Usern arbeiten, ist es ratsam, deine Anwender kurz in Kenntnis zu setzen. Viele Nutzer gewöhnen sich schnell daran, ihre E-Mail zum Login einzugeben, da WordPress das standardmäßig zulässt. Eine freundliche Mitteilung oder ein Hinweis beim nächsten Login verhindert Verwirrung oder unnötige Support-Anfragen.
Zudem empfiehlt es sich, die Display-Namen von Nutzerprofilen auf Sinnhaftigkeit zu prüfen. Wenn ein Benutzername dem öffentlichen Anzeigennamen entspricht, können andere Besucher diesen womöglich leicht herausfinden. In diesem Szenario könntest du einen zusätzlichen Sicherheitsaspekt erlangen, indem du die öffentlichen Anzeigenamen anders gestaltest als den eigentlichen Benutzerlogin. So machst du es Angreifern nicht unnötig leicht, den richtigen Benutzernamen zu erraten.
Deaktivierung per Code – direkter Eingriff ins System
Wenn du über FTP-Zugang verfügst oder bereits mit Code-Snippets gearbeitet hast, kannst du die Anmeldung mit E-Mail-Adresse direkt deaktivieren. Dazu öffnest du die Datei functions.php deines aktiven Child-Themes und fügst folgenden Befehl hinzu:
remove_filter( 'authenticate', 'wp_authenticate_email_password', 20 );
Alternativ kannst du diesen Code über ein Snippet-Plugin wie WPCode einfügen. Damit greift die Anpassung sogar bei Theme-Updates – ein großer Pluspunkt. Welche Variante du auch nutzt: Sicherheit geht vor. Erstelle vor jeder Änderung ein vollständiges Backup deiner Website.
Ein direkter Eingriff über functions.php bietet den Vorteil, dass du genau weißt, welche Code-Zeilen verantwortlich sind. Sollte es wider Erwarten zu Abweichungen kommen, kannst du mit wenigen Handgriffen den alten Zustand wiederherstellen. Denke aber daran, immer erst in einer Stage- oder Test-Umgebung zu experimentieren, bevor du auf deiner Live-Seite Änderungen durchführst. So vermeidest du potenzielle Ausfallzeiten oder Fehlermeldungen.
Sollten in deinem Projekt bereits eigene Login-Filter aktiv sein, kann es vorkommen, dass du kleine Konflikte oder Prioritäten anpassen musst. Ein Beispiel: Wenn du ein Plug-in nutzt, das beim Loginprozess zusätzliche Überprüfungen auf Benutzernamen oder Passwörter durchführt, ist das Zusammenspiel mit diesem Schnipsel zu klären. In den meisten Fällen reicht es allerdings aus, nur diesen Standardfilter zu entfernen.
Weg über das Plugin – komfortabel und sicher
Kodieren ist nicht dein Ding? Kein Problem. Mit dem Plugin WPCode lässt sich das gleiche Snippet ganz bequem implementieren. Nach der Installation kannst du aus der Bibliothek das vorbereitete Snippet auswählen und mit einem Klick aktivieren. Der Effekt entspricht jener der Code-Lösung. Einstellungen selbst oder bestehende Benutzer bleiben erhalten.
Dank integrierter Sicherungsfunktionen bietet WPCode eine benutzerfreundliche Oberfläche zum Verwalten eigener Funktionen. Auch weitere Sicherheitsanpassungen lassen sich darüber sauber bündeln. Außerdem bleibst du damit flexibel: Ein Deaktivieren oder Aktivieren einzelner Snippets ist jederzeit möglich, ohne direkt im Code Hand anlegen zu müssen. Das verringert das Risiko, durch ein fehlerhaftes Komma oder Semikolon die gesamte Seite lahmzulegen.
Wer Wert auf schlanke Systeme legt, sollte den Plugin-Weg dennoch bewusst abwägen. Jedes zusätzliche Plugin kann zwar Komfort bieten, aber auch die Gesamtperformance beeinflussen – wenn auch in der Regel nur minimal. Nutzt du allerdings schon WPCode für andere Tweaks, lohnt sich die zentrale Verwaltung aller Code-Schnipsel an einem Ort.
Übersicht: Code vs. Plugin
In dieser Tabelle siehst du die beiden Optionen im direkten Vergleich:
| Merkmal | Code-Lösung | Plugin (WPCode) |
|---|---|---|
| Technisches Know-how | Erforderlich | Nicht notwendig |
| Datenbank- oder Theme-Eintrag | Ja | Nein |
| Updatesicher | Nur im Child-Theme | Ja |
| Kombinierbar mit weiteren Snippets | Begrenzt | Umfassend |
Die Code-Lösung ist also etwas direkter, während das Plugin einen benutzerfreundlicheren Ansatz bietet. Beide Wege haben ihre Berechtigung und machen es dir leicht, flexibel zu bleiben, falls du zu einem späteren Zeitpunkt wieder etwas ändern möchtest.
Wer sehr große Mitgliederseiten oder interne Portale betreibt, kann auch über eine Mischstrategie nachdenken: grundlegende Code-Anpassungen direkt im Child-Theme und zusätzliche Login-Funktionen über ein Plugin. So bleibt einerseits der Kern schlank, andererseits kannst du erweiterte Features bequem an- oder abschalten.
Anmeldung zurücknehmen ohne Folgen
Jede Änderung kann rückgängig gemacht werden. Entferne den eingetragenen Code oder deaktiviere das Plugin – schon ist der Login per Mail wieder möglich. Ich empfehle, Änderungen insbesondere auf Systemkompatibilität zu prüfen, falls andere Login-Erweiterungen aktiv sind, wie z. B. Magic Links oder Social Login.
Falls du ohnehin die Registrierung oder Anmeldung komplett auf neuen Wegen realisieren willst, könnte auch ein passwortloser Login mit MagicLink interessant sein.
Darüber hinaus solltest du darauf achten, dass jeder, der bisher regelmäßig die E-Mail-Adresse genutzt hat, nach einer Re-Aktivierung unverändert weiterarbeiten kann. Es bestehen keine dauerhaften Änderungen an den Accounts – die Funktion wird einfach wieder “freigeschaltet”. Gerade bei Projekten mit mehreren Administratoren vermeidest du so, dass jemand ausgesperrt bleibt, weil er oder sie sich auf die Mail-Funktion verlassen hat.
Sicherheit erhöhen mit weiteren Maßnahmen
Warum bei der Deaktivierung aufhören? Wenn du bereits die Anmeldung einschränkst, lohnt sich ein Blick auf die weiteren Sicherheitsvorkehrungen. Schütze dein Loginformular zusätzlich:
- Aktiviere 2-Faktor-Authentifizierung für sensible Rollen wie Admin oder Redakteur
- Verwende Captchas, um Bots zu blockieren
- Erzwinge starke Passwörter per Plugin oder Code
- Verändere die Standard-Login-URL mit einem Tool wie WordPress Login anpassen
Für zusätzlichen Schutz kann es auch sinnvoll sein, Anmeldeversuche zu begrenzen.
Je nachdem, wie stark du dein System verriegeln möchtest, kannst du noch weitere Optionen ins Auge fassen. Wer zum Beispiel eine WooCommerce-Installation mit Kundenkonto-Funktionen betreibt, sollte genau prüfen, ob diese Einstellung (nur Benutzername statt E-Mail) mit dem Shopkonzept harmoniert. Manche Shops fragen automatisch E-Mail und Passwort ab, was für manche Nutzer sehr intuitiv ist. Hier wäre es wichtig, die Nutzererwartung nicht zu stark zu enttäuschen und eine klare Kommunikation zu schaffen.
Weitere Ansätze umfassen das Limitieren des Zugriffs auf das Backend per IP-Whitelist für Administratoren oder Redakteure, was vor allem in geschlossenen Unternehmensnetzen Sinn ergibt. Ebenso ist das Abschalten der XML-RPC-Schnittstelle in vielen Fällen sinnvoll, falls sie nicht für Anwendungen wie Jetpack oder spezielle Mobil-Apps benötigt wird. Je mehr Rückfall-Optionen du Angreifern versperrst, desto seltener kannst du zur Zielscheibe von Angriffen werden.
Last but not least: Eine regelmäßige Prüfung der Userrolle ist hilfreich. Wer sein WordPress mit vielen Teammitgliedern oder Gastbloggern betreibt, sollte die Rollenzuordnung im Blick behalten und nicht mehr benötigte Benutzerkonten entfernen oder zumindest sperren.
Tests durchführen: Läuft alles korrekt?
Nach der Umstellung solltest du die neuen Einstellungen direkt testen. Melde dich mit einem Benutzernamen an – funktioniert alles wie erwartet? Versuche dann die Anmeldung per Mail. Du solltest eine nachvollziehbare Fehlermeldung erhalten. So erkennst du, ob die Deaktivierung korrekt umgesetzt wurde.
Wenn du weitere Authentifizierungs-Plugins wie SSO oder externe Login-Provider nutzt, prüfe frühzeitig, ob sie weiterhin im Einklang mit dem neuen Login-Mechanismus stehen. Ein umfassender Testplan könnte zudem das Zurücksetzen des Passworts sowie die Anmeldung mit unterschiedlichen Nutzerrollen (z. B. Abonnent, Redakteur, Administrator) einschließen.
Stelle außerdem sicher, dass Nutzer, die ihr Passwort vergessen haben, sich problemlos über „Passwort zurücksetzen“ helfen können. Diese Funktion stützt sich weiterhin auf die hinterlegte E-Mail-Adresse zur Zusendung des Reset-Links – das ist nicht betroffen von der Deaktivierung bei der Anmeldung. Dennoch kann es sinnvoll sein, den Abenteuerlichsten einen kleinen Leitfaden zu hinterlegen, falls sie glauben, ihre E-Mail würde allgemein nicht mehr funktionieren.
Gerade bei größeren Projekten empfiehlt es sich, ein wenig Zeit in die Vorbereitung eines FAQ- oder Support-Bereichs zu investieren. Nutzer, die an die E-Mail-Anmeldung gewöhnt sind, könnten sich bei der Umstellung wundern. Ein klarer Hinweis in Form eines Banners oder eines kurzen Textes auf der Login-Seite kann hier Missverständnisse verhindern.
Anmeldung ≠ E-Mail-Versand
Oft herrscht Verwirrung: Wer das Einloggen per E-Mail-Adresse abstellt, kappt nicht den gesamten Mailverkehr deiner Seite. Systemmails – etwa der Link zum Zurücksetzen des Passworts – werden weiterhin wie gewohnt über die registrierte Adresse versendet. Wer darüber hinaus keine Benachrichtigungen mehr versenden möchte, kann Plugins wie WP Mail SMTP einsetzen. So lassen sich gezielt E-Mails abschalten oder konfigurieren.
Es kommt nicht selten vor, dass Seitenbetreiber die E-Mail-Funktion von WordPress generell neu justieren wollen – z. B. um SMTP-Server oder externe Maildienstleister einzubinden. Diese Einstellungen bleiben von der reinen Deaktivierung der E-Mail-Anmeldung unberührt. Du kannst also weiterhin problemlos alle relevanten Transaktionsmails versenden lassen, ohne dass sich ein Angreifer gleich mit einer öffentlich bekannten Mail-Adresse durch das Anmeldeformular versucht.
Behalte aber immer im Hinterkopf, dass nicht nur WordPress selbst, sondern auch verschiedene Themes und Plugins E-Mails verschicken können – zum Beispiel Kontaktformulare oder Newsletter-Erweiterungen. Jede dieser Komponenten kann theoretisch Sicherheitslücken aufweisen oder ungewollte Informationen preisgeben. Wenn du den Fokus auf eine möglichst sichere Kommunikation legen möchtest, lohnt es sich, sämtliche E-Mail-Funktionen in den Blick zu nehmen.
Kurze Zusammenfassung für deine Planung
Die Abschaltung der E-Mail-Adresse beim Login verbessert nicht nur den Datenschutz, sondern schützt auch gezielt vor typischen Angriffsszenarien. Mit einem einzigen Code-Snippet oder Plugin-Einsatz passt du dein System sicher an. Besonders Betreiber von Mitgliederseiten oder internen Netzwerken gewinnen damit schnell und effizient mehr Kontrolle.
Ob du den Code direkt in der functions.php verwendest oder ein Plugin wie WPCode nutzt, hängt vom gewünschten Komfort und deinem technischen Know-how ab. In jedem Fall solltest du dich vor Änderungen mit Backups absichern und genau prüfen, wie sich die Anpassungen auf andere Login-Funktionen oder Plugins auswirken. Mit zusätzlichen Sicherheitsmaßnahmen wie Captchas, 2-Faktor-Authentifizierung oder dem Anpassen der Login-URL bringst du deine WordPress-Installation auf ein weitaus höheres Level an Schutz.
Gerade im Zusammenspiel mit mehreren Administratoren oder Redakteuren solltest du klar kommunizieren, was sich am Login geändert hat. Wer sich neu anmeldet, muss sich keine Sorgen um E-Mail-bedingte Fehlermeldungen machen, sofern er den richtigen Benutzernamen kennt. Sofern du bei mehreren Projekten ähnliche Maßnahmen ergreifst, erleichtert eine einheitliche Vorgehensweise allen Beteiligten die Handhabung. Mit einem durchdachten Konzept für Accounts, Passwörter und Anmeldedaten geht die Arbeit im Team reibungslos weiter, ohne unnötige Kosten oder Frust.
Darüber hinaus empfiehlt es sich, bei sämtlichen Projekten eine klare Rollen- und Rechteverwaltung zu pflegen. Denn selbst wenn die Anmeldung sicherer geworden ist – ein User mit Administratorenrechten sollte nur dann existieren, wenn es tatsächlich notwendig ist. Eine beschränkte Redakteursrolle verursacht wesentlich weniger Risiken, falls ein Hacker doch an die Login-Daten gelangen sollte. Auf diese Weise schützt du nicht nur das Login, sondern auch die Inhalte deiner Website nachhaltig.
