ManageWP: „Der Token zur automatischen Anmeldung ist nicht korrekt signiert.“

Wenn du dich über ManageWP (One-Click-Login / Auto-Login) in eine WordPress-Website einloggen willst und die Meldung „Der Token zur automatischen Anmeldung ist nicht korrekt signiert“ bekommst, ist das fast immer ein Hinweis darauf, dass der Login-Request unterwegs blockiert oder verändert wird – oder dass der Verbindungsschlüssel (Key) zwischen ManageWP und dem Worker-Plugin nicht mehr sauber zusammenpasst.

In der Praxis ist eine sehr häufige Ursache: Wordfence. Viele merken das daran, dass der Login sofort wieder funktioniert, sobald Wordfence deaktiviert wird. Ziel ist aber: Wordfence aktiv lassen und ManageWP korrekt erlauben.

Warum erscheint diese Fehlermeldung?

Der Auto-Login von ManageWP arbeitet mit einem signierten Token. Kommt dieser Token auf deiner Website nicht exakt so an, wie er signiert wurde, schlägt die Prüfung fehl. Häufige Gründe:

• Wordfence Firewall blockt den Request oder behandelt Parameter als verdächtig.
• Wordfence Login Security (z. B. zusätzliche Prüfungen, Captcha, 2FA-Flows) stört den One-Click-Login.
• Connection Key (Worker-Verbindung) ist veraltet/inkonsistent.
• Cache / WAF / Proxy (z. B. Server-WAF, CDN, ModSecurity) verändert oder cached Inhalte/Requests.

Schnelltest: Liegt es wirklich an Wordfence?

1. Wordfence kurz deaktivieren (nur zum Test).
2. One-Click-Login über ManageWP erneut auslösen.

Wenn es dann direkt funktioniert, ist Wordfence sehr wahrscheinlich der Auslöser. Dann nutze die folgenden Lösungen (in Reihenfolge).

Lösung 1: Wordfence – ManageWP als „Allowlisted Service“ erlauben

IP-Whitelisting hilft in Wordfence oft nicht zuverlässig, weil externe Dienste nicht immer mit einer einzigen festen IP arbeiten.
Wichtiger ist, ManageWP als erlaubten Dienst zu setzen.

1. In WordPress: Wordfence → Firewall
2. Bereich Firewall Options / All Firewall Options öffnen (je nach Wordfence-Version kann der Name leicht abweichen)
3. Nach Allowlisted Services (oder ähnlich) suchen
4. ManageWP aktivieren
5. Änderungen speichern

Danach testen: One-Click-Login in ManageWP erneut versuchen.

Lösung 2: ManageWP Worker – Connection Key neu erstellen (Key-Refresh)

Wenn Wordfence korrekt allowlisted ist, bleibt als häufigster nächster Schritt ein sauberer Key-Reset.
Damit stellst du sicher, dass ManageWP und deine Website wieder mit einem aktuellen Schlüssel arbeiten.

1. Als Admin in die betroffene Website einloggen.
2. Folgende URL im Browser aufrufen (Domain entsprechend ersetzen):
   https://DEINE-DOMAIN.TLD/wp-admin/plugins.php?mwp_force_key_refresh=1&worker_connections=1
3. Wenn du eine Option wie Disconnect all / Alle trennen siehst: ausführen.
4. Anschließend in ManageWP die Website Reconnecten bzw. neu verbinden.

Tipp: Wenn du ein Caching-Plugin nutzt, leere danach kurz den Cache (siehe nächste Lösung).

Lösung 3: Cache, WAF, Proxy – typische Stolperfallen ausschließen

Auch wenn Wordfence der Hauptverdächtige ist, können zusätzliche Schutz- oder Cache-Schichten den Request beeinflussen.

• Cache ausschließen: Stelle sicher, dass /wp-admin/ und wp-login.php nicht gecacht werden.
• CDN/Reverse Proxy: Prüfe Weiterleitungen (www → non-www, http → https). Die in ManageWP hinterlegte URL sollte der finalen URL entsprechen.
• Server-WAF/ModSecurity: Manche Regeln blocken Auto-Login-Requests. Testweise kurz deaktivieren oder eine Ausnahme setzen lassen (Hoster-Support).

Lösung 4: Wordfence „Live Traffic“ nutzen und gezielt freigeben

Wenn es trotz Allowlisted Service noch blockt, hilft ein Blick in Wordfence, um die konkrete Regel zu finden.

1. Wordfence → Tools → Live Traffic öffnen.
2. One-Click-Login in ManageWP erneut auslösen.
3. Im Live-Traffic nach einem geblockten Eintrag suchen und Details öffnen.
4. Wenn Wordfence eine Option anbietet wie Allowlist this action / Diese Aktion erlauben, dann gezielt für den betroffenen Request setzen.

Optional: Kurzzeitig Learning Mode (Lernmodus) aktivieren, den ManageWP-Login einmal durchführen und danach wieder auf Schutzmodus stellen.
So können False Positives automatisch als Ausnahme gelernt werden.

Lösung 5: Wordfence Login Security (2FA/Captcha) als Ursache prüfen

Wenn du Wordfence-Login-Funktionen wie Captcha oder zusätzliche Checks aktiviert hast, kann das den One-Click-Login stören.
Teste (kurzzeitig):

• Firewall aktiv lassen, aber Login Security bzw. Captcha/zusätzliche Login-Prüfungen testweise deaktivieren.
• One-Click-Login erneut versuchen.
• Wenn es dann klappt: Login-Regeln gezielt anpassen (statt Wordfence komplett auszuschalten).

Häufige Fragen (FAQ)

Was bedeutet „Token … nicht korrekt signiert“ technisch?

Der signierte Token (Auto-Login-Schlüssel) wird auf dem Weg zur Website blockiert, verändert oder mit einem nicht passenden Key geprüft.
Dadurch stimmt die Signatur nicht mehr und der Login wird abgelehnt.

Reicht IP-Whitelisting in Wordfence?

Oft nicht zuverlässig. Besser ist die Wordfence-Option, ManageWP als erlaubten Dienst zu behandeln (Allowlisted Service) und ggf. den konkreten Request zu allowlisten.

Muss ich Wordfence dauerhaft deaktivieren?

Nein. Die saubere Lösung ist: Wordfence aktiv lassen, ManageWP korrekt erlauben (Allowlisted Service), Connection Key aktualisieren und eventuelle Cache/WAF-Konflikte ausschließen.

Checkliste: In 5 Minuten zur Lösung

• Wordfence: ManageWP als Allowlisted Service aktivieren
• ManageWP Worker: Key-Refresh über die Admin-URL durchführen und Website in ManageWP reconnecten
• Cache/WAF prüfen: wp-admin/wp-login nicht cachen, ggf. ModSecurity/Proxy testen
• Wordfence Live Traffic: Block-Regel finden und gezielt allowlisten
• Optional: Wordfence Login Security (Captcha/2FA-Flow) testweise anpassen

Hinweis: Wenn du in einer Agentur-/Multi-Site-Umgebung arbeitest, wiederhole die Schritte pro betroffener Website – oft ist nur eine einzelne Installation/Regel betroffen.