So setzen Sie das WordPress-Admin-Passwort zurück
Der Verlust des Zugriffs auf Ihr WordPress-Admin-Konto ist ärgerlich, aber lösbar. Egal, ob Sie Ihr Passwort vergessen haben, die Reset-E-Mail nicht ankommt oder Sie aus einer Website ohne funktionierenden Mailserver ausgesperrt sind – es gibt eine passende Methode für Ihre Situation. Dieser Leitfaden behandelt vier zuverlässige Ansätze zum Zurücksetzen eines WordPress-Admin-Passworts – sortiert vom einfachsten bis zum technisch anspruchsvollsten.
Die wichtigsten Erkenntnisse
- Beginnen Sie immer mit der einfachsten verfügbaren Methode: Reset über das Dashboard, wenn Sie eingeloggt sind, oder den Link „Passwort vergessen?”, wenn Sie E-Mails empfangen können.
- WP-CLI ist die schnellste und sicherste Wiederherstellungsoption für alle mit SSH-Zugang, da es die WordPress-eigenen Hashing-Funktionen verwendet.
- phpMyAdmin mit einem MD5-Wert ist eine Wiederherstellungsmethode der letzten Wahl; WordPress aktualisiert den Hash bei Ihrer nächsten Anmeldung automatisch auf den aktuellen Standard.
- Nachdem Sie den Zugang wiedererlangt haben, überprüfen Sie Ihre Benutzerliste und aktivieren Sie die Zwei-Faktor-Authentifizierung, um zukünftige Aussperrungen zu vermeiden.
Schnelle Methodenauswahl
| Ihre Situation | Beste Methode |
|---|---|
| Sie sind eingeloggt | Dashboard-Reset |
| Sie können E-Mails empfangen | Link „Passwort vergessen” |
| Sie haben SSH-Zugang | WP-CLI |
| Keine E-Mail, kein SSH | phpMyAdmin |
Methode 1: Zurücksetzen über das WordPress-Dashboard
Verwenden Sie dies, wenn: Sie bereits eingeloggt sind und einfach Ihr Passwort aktualisieren möchten.
- Gehen Sie im Admin-Menü zu Benutzer → Profil.
- Scrollen Sie zum Abschnitt Kontoverwaltung.
- Klicken Sie auf Neues Passwort festlegen. WordPress generiert automatisch ein starkes Passwort.
- Ersetzen Sie es bei Bedarf durch Ihr eigenes und klicken Sie dann auf Profil aktualisieren.
Dies ist der sauberste Ansatz. Kein Datenbankzugriff, keine Tools – einfach eine Standard-Passwortaktualisierung über die Oberfläche.
Methode 2: Verwenden Sie den Link „Passwort vergessen?”
Verwenden Sie dies, wenn: Sie ausgesperrt sind, aber E-Mails an die in Ihrem Konto hinterlegte Adresse empfangen können.
- Rufen Sie
yoursite.com/wp-login.phpauf. - Klicken Sie auf Passwort vergessen?
- Geben Sie Ihren Benutzernamen oder Ihre registrierte E-Mail-Adresse ein.
- Prüfen Sie Ihren Posteingang auf den Reset-Link und folgen Sie diesem.
- Legen Sie ein neues Passwort fest und melden Sie sich an.
Falls die E-Mail nicht ankommt, überprüfen Sie zuerst Ihren Spam-Ordner. Wenn Ihre Website nicht zuverlässig für den E-Mail-Versand konfiguriert ist, ziehen Sie die Installation von WP Mail SMTP in Betracht – für einen sofortigen Zugriff springen Sie jedoch zu Methode 3 oder 4.
Discover how at OpenReplay.com.
Methode 3: Passwort-Reset mit WP-CLI (empfohlen für Entwickler)
Verwenden Sie dies, wenn: Sie SSH-Zugang zum Server haben. Dies ist die schnellste und zuverlässigste Methode, um ein WordPress-Admin-Konto wiederherzustellen, ohne direkt auf die Datenbank zuzugreifen.
# List users to confirm the username or ID
wp user list
# Reset by username
wp user update admin --user_pass="YourNewPassword123!"
# Or reset by user ID
wp user update 1 --user_pass="YourNewPassword123!"WP-CLI führt das Passwort-Hashing über die WordPress-eigenen Funktionen korrekt durch, sodass keine manuelle Hash-Erzeugung erforderlich ist. Weitere Optionen finden Sie in der offiziellen WP-CLI user update-Dokumentation.
Sicherheitshinweis: Passwörter, die als Inline-Argumente übergeben werden, können in der Shell-Historie oder in Prozessprotokollen erscheinen. Bevorzugen Sie nach Möglichkeit prompt-basierte Workflows oder generierte Passwörter, insbesondere auf gemeinsam genutzten Systemen.
Methode 4: Zurücksetzen über phpMyAdmin (Datenbank-Wiederherstellung)
Verwenden Sie dies, wenn: Sie weder E-Mail- noch SSH-Zugang haben, aber phpMyAdmin über das Control Panel Ihres Hosters erreichen können.
- Öffnen Sie phpMyAdmin und wählen Sie Ihre WordPress-Datenbank aus.
- Öffnen Sie die Tabelle
wp_users(das Präfix kann abweichen – prüfen Siewp-config.phpauf$table_prefix). - Suchen Sie Ihren Admin-Benutzer und klicken Sie auf Bearbeiten.
- Löschen Sie den vorhandenen Wert im Feld
user_pass. - Geben Sie Ihr neues Passwort im Klartext ein und wählen Sie dann MD5 aus dem Funktions-Dropdown.
- Klicken Sie auf OK, um zu speichern.
Wichtiger Kontext: Modernes WordPress speichert Passwörter mit stärkeren Hashing-Algorithmen wie bcrypt. Das direkte Schreiben eines MD5-Hashs ist eine Wiederherstellungstechnik, kein bevorzugter Workflow. WordPress erkennt das MD5-Format bei Ihrer nächsten Anmeldung und aktualisiert den Hash automatisch auf den aktuellen Standard. Ändern Sie Ihr Passwort danach erneut über das Dashboard, um sicherzustellen, dass es korrekt gespeichert wird.
Weitere Wiederherstellungsmethoden finden Sie auch in der offiziellen WordPress-Dokumentation zum Passwort-Reset.
Nach der Wiederherstellung des Zugriffs
Sobald Sie wieder Zugriff haben, nehmen Sie sich einige Minuten Zeit, um:
- Ihr Passwort erneut über das Dashboard zu ändern, falls Sie eine Datenbankmethode verwendet haben.
- Unter Benutzer → Alle Benutzer zu prüfen, ob keine unbefugten Admin-Konten hinzugefügt wurden.
- Die Aktivierung der Zwei-Faktor-Authentifizierung mit einem Plugin wie WP 2FA in Erwägung zu ziehen.
Fazit
Aussperrungen sind selten dauerhaft. Beginnen Sie mit der einfachsten verfügbaren Methode und arbeiten Sie sich nur bei Bedarf die Liste hinunter. WP-CLI ist der effizienteste Weg für alle mit Serverzugriff, während phpMyAdmin die zuverlässige Notlösung bleibt, wenn dieser nicht zur Verfügung steht. Welchen Weg Sie auch wählen, führen Sie anschließend einen ordnungsgemäßen Dashboard-Reset und eine kurze Sicherheitsprüfung durch, um sicherzustellen, dass Ihr Konto Ihnen erhalten bleibt.
FAQs
Der MD5-Trick funktioniert nur, wenn WordPress einen rohen MD5-String aus der Spalte user_pass liest und ihn als Legacy-Hash erkennt. Wenn Sie einen Hash einfügen, ohne in phpMyAdmin die MD5-Funktion auszuwählen, oder wenn der Wert zusätzliche Leerzeichen oder Anführungszeichen enthält, behandelt WordPress ihn als ungültigen Legacy-Hash. Fügen Sie immer das Passwort im Klartext ein und wählen Sie MD5 aus dem Funktions-Dropdown.
Für eine einmalige Wiederherstellung ist es sicher, jedoch nicht als Routine. Direkte Datenbankänderungen umgehen WordPress-Hooks, sodass Plugins, die Passwortänderungen verfolgen oder Richtlinien durchsetzen, nicht ausgeführt werden. Melden Sie sich nach Wiedererlangung des Zugriffs an und setzen Sie das Passwort erneut über das Dashboard zurück, damit der korrekte bcrypt-Hash gespeichert wird und Sicherheits-Plugins das Ereignis korrekt protokollieren.
WP-CLI muss aus dem WordPress-Stammverzeichnis ausgeführt werden, in dem sich wp-config.php befindet. Wechseln Sie entweder zuerst mit cd in dieses Verzeichnis oder übergeben Sie den Pfad explizit mit dem --path-Flag, zum Beispiel: wp user update admin --user_pass='NewPass123!' --path=/var/www/html. Stellen Sie außerdem sicher, dass der Systembenutzer, der WP-CLI ausführt, Lesezugriff auf wp-config.php hat.
Speichern Sie Admin-Zugangsdaten in einem Passwortmanager, behalten Sie ein sekundäres Administratorkonto für den Fall einer Kompromittierung des primären Kontos und konfigurieren Sie einen zuverlässigen SMTP-Dienst, damit Reset-E-Mails tatsächlich ankommen. Die Aktivierung der Zwei-Faktor-Authentifizierung bietet zusätzlichen Schutz, kombinieren Sie sie aber mit offline gespeicherten Backup-Codes, damit ein verlorenes Gerät Sie nicht von der Wiederherstellung aussperrt.
Gain Debugging Superpowers
Unleash the power of session replay to reproduce bugs, track slowdowns and uncover frustrations in your app. Get complete visibility into your frontend with OpenReplay — the most advanced open-source session replay tool for developers. Check our GitHub repo and join the thousands of developers in our community.
