Automatisches Ausloggen verhindern

Ansicht von 11 Antworten – 1 bis 11 (von insgesamt 11)
  • Moderator Hans-Gerd Gerhards

    (@hage)

    vor 2 Wochen, 6 Tagen

    Das automatische Ausloggen von WordPress-Benutzern kann man meist nicht global “abschalten”, weil die Sitzung aus Sicherheitsgründen automatisch abläuft. Dazu wird ein sogenanntes Session-Cookie gesetzt.
    Evtl. ist es möglich, die Cookie-Lebensdauer über ein Snippet oder ein entsprechendes Plugin zu erhöhen.

    Thread-Starter onlaie

    (@onlaie)

    vor 2 Wochen, 6 Tagen

    Danke.
    Also Google KI sagt mir dazu zwei Sachen:

    Standardmäßig speichert WordPress die Sitzung für 14 Tage. Wenn Sie bei der Anmeldung auf dem Login-Bildschirm das Häkchen bei „Angemeldet bleiben“ setzen, wird dieser Zeitraum voll ausgenutzt und die Sitzung bleibt aktiv, selbst wenn Sie den Browser schließen.

    Naja, zum einen schmeißt WP manche Nutzer alle paar Tage (sogar während es Verfassens von Beiträgen!) raus und zum anderen hilft „Angemeldet bleiben“ in dem Bezug nicht immer.

    Dafür zeigt man mir gleich ein Script:

    add_filter( 'auth_cookie_expiration', 'keep_me_logged_in_forever', 20, 3 );
function keep_me_logged_in_forever( $expirein, $user_id, $remember ) {
    if ( $remember ) {
        $expirein = 31536000; // 1 Jahr in Sekunden
    }
    return $expirein;
}

    kann das korrekt sein?
    Denn testweise tut sich das nichts …

    Moderator La Geek

    (@la-geek)

    vor 2 Wochen, 6 Tagen

    Ein Website-Zustandsbericht könnte weiterhelfen. Es könnten andere Faktoren ursächlich sein.

    Thread-Starter onlaie

    (@onlaie)

    vor 2 Wochen, 6 Tagen

    Wie sollte den das Cookie heißen, welches dafür zuständig ist? Hier zeigen sich 12 Cookies und ich kann nur einige davon ausschließen.
    Ist es evtl.:
    wordpress_logged_in_a3he521b30ce8567f5157a63e775346a

    Bericht (Obacht, es ist eine Testsite mit vielen Plugin-Experimenten usw.):

    
### wp-core ###

version: 7.0
site_language: de_DE
user_language: de_DE
timezone: Europe/Vienna
permalink: /%postname%/
https_status: true
multisite: false
user_registration: 0
blog_public: 1
default_comment_status: undefined
environment_type: production
user_count: 7
dotorg_communication: true

### wp-paths-sizes ###

wordpress_path: /var/www/clients/client21/web238/web
wordpress_size: 250,31 MB (262468035 bytes)
uploads_path: /var/www/clients/client21/web238/web/wp-content/uploads
uploads_size: 5,98 MB (6274279 bytes)
themes_path: /var/www/clients/client21/web238/web/wp-content/themes
themes_size: 11,16 MB (11701895 bytes)
plugins_path: /var/www/clients/client21/web238/web/wp-content/plugins
plugins_size: 192,27 MB (201609181 bytes)
fonts_path: /var/www/clients/client21/web238/web/wp-content/uploads/fonts
fonts_size: directory not found
database_size: 100,17 MB (105038976 bytes)
total_size: 559,89 MB (587092366 bytes)

### wp-active-theme ###

name: MH Magazine Child Theme (mh-magazine-child)
version: 1.0.0
author: MH Themes
author_website: https://www.mhthemes.com/
parent_theme: MH Magazine (Premium) (mh-magazine)
theme_features: core-block-patterns, post-thumbnails, widgets-block-editor, menus, title-tag, automatic-feed-links, html5, post-formats, custom-background, custom-header, custom-logo, customize-selective-refresh-widgets, widgets
theme_path: /var/www/clients/client21/web238/web/wp-content/themes/mh-magazine-child

### wp-parent-theme ###

name: MH Magazine (Premium) (mh-magazine)
version: 5.0.6
author: MH Themes
author_website: https://mhthemes.com/
theme_path: /var/www/clients/client21/web238/web/wp-content/themes/mh-magazine

### wp-themes-inactive (1) ###

Twenty Twenty-Four: version: 1.5, author: Das WordPress-Team

### wp-mu-plugins (1) ###

Health Check Troubleshooting Mode: author: (undefined), version: 1.9.2

### wp-plugins-active (27) ###

Advanced Custom Fields: version: 6.8.1, author: WP Engine
Advanced Database Cleaner: version: 4.1.1, author: SigmaPlugin
BackWPup: version: 5.6.9, author: BackWPup – WordPress Backup & Restore Plugin
CODO's Menü Einträge: version: 1.5, author: Codo der Dritte (ZIB-BAUSTELLE)
Content Views: version: 4.4, author: Content Views
Content Views Pro: version: 7.3, author: Content Views
Disable Emojis (GDPR friendly): version: 1.9.2, author: Ryan Hellyer
Disable Gutenberg: version: 3.3.1, author: Jeff Starr
Instant Images: version: 7.1.1, author: Darren Cooney
Kadence Mail: version: 3.0.0, author: Kadence
Limit Login Attempts Reloaded: version: 3.2.4, author: Limit Login Attempts Reloaded
My Sticky Bar: version: 2.9.0, author: Premio
Paid Memberships Pro: version: 3.7.3, author: Paid Memberships Pro
Paid Memberships Pro - Anpassungen: version: 1.5, author: Paid Memberships Pro + Codo der Dritte (ZIB-BAU)
Paid Memberships Pro - PayPal Gateway: version: 1.1.1, author: Paid Memberships Pro
Paid Memberships Pro - Update Manager: version: 1.0.1, author: Paid Memberships Pro
Password Protected: version: 2.8.0, author: Password Protected
Post Snippets (free): version: 4.1.1, author: Postsnippets
Rank Math SEO: version: 1.0.270, author: Rank Math SEO
Real Cookie Banner: version: 5.2.23, author: devowl.io
Regenerate Thumbnails: version: 3.1.6, author: Alex Mills (Viper007Bond)
Shortcodes Ultimate - Content Elements: version: 7.5.3, author: Vova Anokhin
Two Factor: version: 0.16.0, author: WordPress.org Contributors
User Role Editor: version: 4.65, author: Vladimir Garagulya
Widget Options: version: 4.2.4, author: Widget Options Team
WP Crontrol: version: 1.21.0, author: John Blackbourn
WPForms Lite: version: 1.10.0.5, author: WPForms

### wp-plugins-inactive (21) ###

Better Search Replace: version: 1.4.10, author: WP Engine
Bulk remove posts from category: version: 3.4, author: MasterNs
CODO's Bildasuchafinda: version: 1.2, author: Codo der Dritte (ZIB-BAUSTELLE)
CODO's BST Post Counter: version: 1.1.2, author: Codo der Dritte (ZIB-BAU)
CODO's Simple Login Limit: version: 1.0, author: Codo der Dritte (ZIB-BAUSTELLE)
Complianz - Terms and Conditions: version: 1.3.0, author: Complianz
Disable & Remove Google Fonts: version: 1.8.2, author: Fonts Plugin
Donations via PayPal: version: 1.9.11, author: Tips and Tricks HQ, Johan Steen
FooBox Image Lightbox: version: 2.7.43, author: FooPlugins
FooGallery: version: 3.1.26, author: FooPlugins
Health Check & Troubleshooting: version: 1.7.1, author: The WordPress.org community
Iks Menu: version: 1.12.7, author: IksStudio
Loco Translate: version: 2.8.4, author: Tim Whitlock
LuckyWP Table of Contents: version: 2.1.14, author: LuckyWP
PDF & Print by BestWebSoft: version: 2.4.7, author: BestWebSoft
Pixabay Images: version: 3.4, author: Simon Steinberger
Show modified Date in admin lists: version: 1.5, author: Apasionados.es
Statify: version: 1.8.5, author: pluginkollektiv
Steady for WordPress: version: 1.3.3, author: Steady
WP Dashboard Messages: version: 1.1.7, author: Jörn Lund
WP RSS Aggregator: version: 5.0.12, author: RebelCode

### wp-media ###

image_editor: WP_Image_Editor_GD
imagick_module_version: Nicht verfügbar
imagemagick_version: Nicht verfügbar
imagick_version: Nicht verfügbar
file_uploads: 1
post_max_size: 128M
upload_max_filesize: 128M
max_effective_size: 128 MB
max_file_uploads: 20
image_format_transforms: image/heic → image/jpeg, image/heif → image/jpeg, image/heic-sequence → image/jpeg, image/heif-sequence → image/jpeg
gd_version: 2.3.3
gd_formats: GIF, JPEG, PNG, WebP, BMP, XPM
ghostscript_version: unknown

### wp-server ###

server_architecture: Linux 5.4.0-216-generic x86_64
httpd_software: nginx/1.18.0
php_version: 8.3.19 64bit
php_sapi: fpm-fcgi
max_input_variables: 1000
time_limit: 120
memory_limit: 256M
max_input_time: 60
upload_max_filesize: 128M
php_post_max_size: 128M
curl_version: 7.68.0 OpenSSL/1.1.1f
suhosin: false
imagick_availability: false
opcode_cache: true
opcode_cache_memory_usage: 130491704 of 130491720
opcode_cache_interned_strings_usage: 100% of 8388608 (8 free)
opcode_cache_hit_rate: 54.1
opcode_cache_full: true
pretty_permalinks: true
htaccess_extra_rules: false
static_robotstxt_file: false
current: 2026-05-26T15:17:20+00:00
utc-time: Tuesday, 26-May-26 15:17:20 UTC
server-time: 2026-05-26T17:17:18+02:00

### wp-database ###

extension: mysqli
server_version: 10.3.39-MariaDB-0ubuntu0.20.04.2
client_version: mysqlnd 8.3.19
max_allowed_packet: 16777216
max_connections: 151

### wp-constants ###

WP_HOME: undefined
WP_SITEURL: undefined
WP_CONTENT_DIR: /var/www/clients/client21/web238/web/wp-content
WP_PLUGIN_DIR: /var/www/clients/client21/web238/web/wp-content/plugins
WP_MEMORY_LIMIT: 256M
WP_MAX_MEMORY_LIMIT: 256M
WP_DEBUG: true
WP_DEBUG_DISPLAY: false
WP_DEBUG_LOG: true
SCRIPT_DEBUG: false
WP_CACHE: false
CONCATENATE_SCRIPTS: undefined
COMPRESS_SCRIPTS: undefined
COMPRESS_CSS: undefined
WP_ENVIRONMENT_TYPE: undefined
WP_DEVELOPMENT_MODE: undefined
DB_CHARSET: utf8
DB_COLLATE: undefined
EMPTY_TRASH_DAYS: 30

### wp-filesystem ###

wordpress: writable
wp-content: writable
uploads: writable
plugins: writable
themes: writable
fonts: does not exist
mu-plugins: writable

### acf ###

version: 6.8.1
plugin_type: Free
update_source: de.wordpress.org
ui_field_groups: 3
php_field_groups: 0
json_field_groups: 0
rest_field_groups: 0
post_types_enabled: true
ui_post_types: 0
json_post_types: 0
ui_taxonomies: 0
json_taxonomies: 0
rest_api_format: light
admin_ui_enabled: true
field_type-modal_enabled: true
field_settings_tabs_enabled: false
shortcode_enabled: true
registered_acf_forms: 0
json_save_paths: 1
json_load_paths: 1
ai_enabled: false
schema_support: false
schema_ready_objects: 
	blocks: 0
	post_types: 0

### solid-mail ###

active_connections_number: 1
active_connections_names: other
brevo_connections: undefined
mailgun_connections: undefined
sendgrid_connections: undefined
ses_connections: undefined
smtp_connections: 1
sent_emails: 45
    Moderator La Geek

    (@la-geek)

    vor 2 Wochen, 6 Tagen

    Ergebnis von der KI:

    1. Der Hauptverdächtige: „Password Protected“
    Dieses Plugin schützt die gesamte Website mit einem globalen Passwort.
    Das Problem: Es nutzt ein eigenes, separates Cookie, um den Zugriff zu erlauben.
    Der Konflikt: Wenn die Cookie-Laufzeit von Password Protected kürzer eingestellt ist als die WordPress-Sitzung, fliegen Nutzer unweigerlich raus. Läuft das Schutz-Cookie ab, blockiert das Plugin die Seite und der WordPress-Login-Status wird oft korrumpiert oder zurückgesetzt.

    2. Der Sicherheits-Konflikt: „Limit Login Attempts Reloaded“ + „Two Factor“
    Diese Kombination schützt Ihren Login-Bereich extrem strikt.
    Das Problem: Limit Login Attempts Reloaded blockiert IP-Adressen und Sitzungen bei verdächtigem Verhalten.
    Der Konflikt: Wenn Ihre Nutzer (z. B. auf dem Smartphone) den Standort wechseln oder sich die IP-Adresse im Hintergrund ändert (häufig bei Mobilfunknetzen), stufen Sicherheits-Plugins dies manchmal als Session-Hijacking-Versuch ein und zerstören die Sitzung aus Sicherheitsgründen.

    3. Der unsichtbare Faktor: Serverseitiges Caching (Hoster)
    In Ihrer Plugin-Liste fehlt ein typisches Caching-Plugin (wie WP Rocket oder LiteSpeed). Das bedeutet: Wenn auf Ihrer Seite gecacht wird, passiert das direkt über Ihren Webhoster (z. B. Nginx FastCGI Cache, Varnish oder Redis bei Hostern wie Raidboxes, All-In-One, Host Europe etc.).
    Das Problem: Der Server speichert fertige HTML-Seiten.
    Der Effekt: Ein eingeloggter Nutzer bekommt eine gecachte Seite für „nicht eingeloggte“ Nutzer angezeigt. Es sieht so aus, als sei er ausgeloggt. Klickt er auf einen Link, baut sich die Seite neu auf und er ist plötzlich wieder eingeloggt.

    Empfohlener Schlachtplan zur Behebung
    1. Testen Sie Password Protected:
    Deaktivieren Sie das Plugin Password Protected testweise für 24 Stunden (falls die Seite kurzzeitig öffentlich sein darf). Wenn die Logouts aufhören, liegt es an den Cookie-Einstellungen dieses Plugins.

    2. Prüfen Sie das Hoster-Caching:
    Loggen Sie sich in das Kundenmenü Ihres Webhosters ein. Suchen Sie nach „Performance“ oder „Cache“. Fügen Sie die PMPro-Seiten (/mitgliedschaft/, /konto/, /kasse/) zu den Cache-Ausschlüssen (Exclusions) hinzu.

    3. Eigene Anpassungen prüfen:
    Sie nutzen das Plugin Paid Memberships Pro – Anpassungen. Wenn dort benutzerdefinierter PHP-Code hinterlegt ist, der in den Login-Prozess (wp_login, auth_cookie) eingreift, könnte hier ein Fehler vorliegen.

    ¯\_(ツ)_/¯

    Moderator threadi

    (@threadi)

    vor 2 Wochen, 6 Tagen

    Ja, das von dir genannte Script ist so richtig. Ich vermute du hast es von hier: https://dr-code.ch/angemeldet-bleiben-den-zeitraum-des-automatischen-wordpress-logins-veraendern/

    Um das zu testen, würde ich empfehlen die Seite in einem privaten Browserfenster aufzurufen, dich an dem Projekt im Backend anzumelden und dann über die Browser-eigenen Entwicklertools zu schauen, was für eine Lebensdauer die Cookies dann haben.

    Thread-Starter onlaie

    (@onlaie)

    vor 2 Wochen, 6 Tagen

    Das Problem mit dem ausloggen tritt natürlich in allen Webs auf.
    Auch dort, wo keins der genannten Plugins läuft.

    Serverseitiges Caching ist aktiv, ja. Sollte aber lt. den Hostern keinen Einfluss auf die Logins haben.

    Mein Hauptverdächtiger ist eher der jeweilige Zugangsprovider der Autoren. Keiner hat eine fixe IP und deren Wechsel könnte den Status als Benutzer beeinflussen. WP denkt vllt.: „Andere IP = anderer Nutzer“.
    Das könnte erklären, warum ein Script zur künstlichen Lebensverlängerung des „wordpress_logged_in_123abc456def“ Cookies nichts bringt.
    Mir wird zwar eine um 1 Jahr + 14 Tage in der Zukunft liegende Lebensdauer des Cookies angezeigt, doch wenn die IP wechselt, ist das auch egal.

    Moderator La Geek

    (@la-geek)

    vor 2 Wochen, 6 Tagen

    Das Problem mit dem ausloggen tritt natürlich in allen Webs auf.
    Auch dort, wo keins der genannten Plugins läuft.

    Die Information hätte mir die Recherche erspart.

    Mein Hauptverdächtiger ist eher der jeweilige Zugangsprovider der Autoren. Keiner hat eine fixe IP und deren Wechsel könnte den Status als Benutzer beeinflussen. WP denkt vllt.: „Andere IP = anderer Nutzer“.

    Standardmäßig bindet WP die Login-Sitzung an Authentifizierungs-Cookies nicht an IP-Adressen. Ein IP-Wechsel = User-Logout könnte durch Sicherheitsplugins verursacht werden. Aber da gibt es ja – laut deiner nachgereichten Info – keine Parallelen.

    Nachtrag:
    Ich hätte ja eher auf die Cookie-Einstellungen in den Browsern der User getippt (z. B. „Browser schließen = Cookies löschen“), aber da es auch während des Verfassens von Beiträgen passiert, kann man das auch ausschließen.

    • Diese Antwort wurde vor 2 Wochen, 6 Tagen von La Geek geändert.
    Thread-Starter onlaie

    (@onlaie)

    vor 2 Wochen, 6 Tagen

    Die Information hätte mir die Rechercher erspart.

    Sorry!!

    Ein IP-Wechsel = User-Logout könnte durch Sicherheitsplugins verursacht werden.

    Nein, auf keiner Site ist sowas aktiv. Ja, auf einer ist Limit Login Attempts Reloaded und Two Factor. Aber keins der großen Dinger wie Wordfence. Daher kann man sagen, dass sich in den wenigen Optionen der beiden erstgenannten Plugins nichts verbirgt, was so ein Verhalten erklärt.
    Und wie gesagt: Das autom. ausloggen passiert seit immer auf allen Sites, egal wie viele und welche Plugins da laufen.

    Cookie-Einstellungen in den Browsern

    Das kann schon sein!
    Denn ich kann nicht bei allen checken, was die so einstellen. Und ausgerechnet die Person, welche fast täglich über einen Rausschmiss jammert, jammert auch bei anderen Internet-Aktivitäten über ähnliche Phänomene.
    Doch da habe ich nachgesehen und bis auf einen komplett überfrachteten Speicher sah ich in deren Firefox keine Option, welche zu so einem Verhalten führt.

    Moderator La Geek

    (@la-geek)

    vor 2 Wochen, 5 Tagen

    Du kannst bei der Person doch mal Folgendes testen,

    about:preferences#privacy

    Bild mit Klick vergrößern

    Davon abgesehen, sind Session-Cookies ein potenzielles Sicherheitsrisiko:

    https://privacybee.com/what-is-cookie-theft-and-session-hijacking/

    Ich lösche bei jedem Schließen des Browsers die gesamte Chronik und oft auch zwischendurch, wenn ich mich irgendwo ab- bzw. anmelde.

    Thread-Starter onlaie

    (@onlaie)

    vor 2 Wochen, 5 Tagen

    Super Idee. Danke!
    Das könnte auch mit helfen, diesem ärgerlichen Ausloggen Einhalt zu gebieten.

Ansicht von 11 Antworten – 1 bis 11 (von insgesamt 11)

Du musst angemeldet sein, um auf dieses Thema zu antworten.

Schlagwörter