Comment réinitialiser le mot de passe administrateur de WordPress
Perdre l’accès à votre compte administrateur WordPress est frustrant, mais c’est un problème qui peut être résolu. Que vous ayez oublié votre mot de passe, que l’e-mail de réinitialisation n’arrive pas, ou que vous soyez bloqué hors d’un site sans serveur de messagerie fonctionnel, il existe une méthode adaptée à votre situation. Ce guide présente quatre approches fiables pour réinitialiser un mot de passe administrateur WordPress — classées de la plus simple à la plus technique.
Points clés à retenir
- Commencez toujours par la méthode la plus simple disponible : réinitialisation depuis le tableau de bord si vous êtes connecté, ou le lien « Mot de passe oublié ? » si vous pouvez recevoir des e-mails.
- WP-CLI est l’option de récupération la plus rapide et la plus sûre pour toute personne ayant un accès SSH, car elle utilise les fonctions internes de hachage propres à WordPress.
- phpMyAdmin avec une valeur MD5 est une méthode de récupération de dernier recours ; WordPress mettra automatiquement à niveau le hachage vers la norme actuelle lors de votre prochaine connexion.
- Après avoir retrouvé l’accès, auditez votre liste d’utilisateurs et activez l’authentification à deux facteurs pour éviter les futurs blocages.
Sélecteur rapide de méthode
| Votre situation | Meilleure méthode |
|---|---|
| Vous êtes connecté | Réinitialisation depuis le tableau de bord |
| Vous pouvez recevoir des e-mails | Lien de mot de passe oublié |
| Vous avez un accès SSH | WP-CLI |
| Ni e-mail, ni SSH | phpMyAdmin |
Méthode 1 : Réinitialiser depuis le tableau de bord WordPress
À utiliser quand : Vous êtes déjà connecté et souhaitez simplement mettre à jour votre mot de passe.
- Accédez à Utilisateurs → Profil dans le menu d’administration.
- Faites défiler jusqu’à la section Gestion du compte.
- Cliquez sur Définir un nouveau mot de passe. WordPress génère automatiquement un mot de passe robuste.
- Remplacez-le par le vôtre si vous le souhaitez, puis cliquez sur Mettre à jour le profil.
C’est l’approche la plus propre. Aucun accès à la base de données, aucun outil — juste une mise à jour standard du mot de passe via l’interface.
Méthode 2 : Utiliser le lien « Mot de passe oublié ? »
À utiliser quand : Vous êtes bloqué hors du site mais pouvez recevoir des e-mails à l’adresse associée à votre compte.
- Rendez-vous sur
yoursite.com/wp-login.php. - Cliquez sur Mot de passe oublié ?
- Saisissez votre nom d’utilisateur ou l’adresse e-mail enregistrée.
- Vérifiez votre boîte de réception pour le lien de réinitialisation et suivez-le.
- Définissez un nouveau mot de passe et connectez-vous.
Si l’e-mail n’arrive jamais, vérifiez d’abord votre dossier spam. Si votre site n’est pas configuré pour envoyer des e-mails de manière fiable, envisagez d’installer WP Mail SMTP — mais pour un accès immédiat, passez à la Méthode 3 ou 4.
Discover how at OpenReplay.com.
Méthode 3 : Réinitialisation du mot de passe avec WP-CLI (recommandée pour les développeurs)
À utiliser quand : Vous avez un accès SSH au serveur. C’est la méthode la plus rapide et la plus fiable pour récupérer un compte administrateur WordPress sans manipuler directement la base de données.
# List users to confirm the username or ID
wp user list
# Reset by username
wp user update admin --user_pass="YourNewPassword123!"
# Or reset by user ID
wp user update 1 --user_pass="YourNewPassword123!"WP-CLI gère correctement le hachage du mot de passe en utilisant les fonctions internes de WordPress, il n’est donc pas nécessaire de générer les hachages manuellement. Vous pouvez consulter la documentation officielle de WP-CLI user update pour découvrir d’autres options.
Note de sécurité : Les mots de passe passés en arguments inline peuvent apparaître dans l’historique du shell ou les logs de processus. Privilégiez les workflows basés sur des invites ou les mots de passe générés lorsque c’est possible, en particulier sur les systèmes partagés.
Méthode 4 : Réinitialiser via phpMyAdmin (récupération par base de données)
À utiliser quand : Vous n’avez ni accès aux e-mails ni accès SSH, mais vous pouvez atteindre phpMyAdmin via votre panneau de contrôle d’hébergement.
- Ouvrez phpMyAdmin et sélectionnez votre base de données WordPress.
- Ouvrez la table
wp_users(le préfixe peut différer — vérifiezwp-config.phppour$table_prefix). - Trouvez votre utilisateur administrateur et cliquez sur Modifier.
- Dans le champ
user_pass, effacez la valeur existante. - Saisissez votre nouveau mot de passe en texte clair, puis sélectionnez MD5 dans le menu déroulant des fonctions.
- Cliquez sur Exécuter pour enregistrer.
Contexte important : WordPress moderne stocke les mots de passe en utilisant des algorithmes de hachage plus robustes comme bcrypt. Écrire directement un hachage MD5 est une technique de récupération, pas une méthode privilégiée. WordPress détectera le format MD5 lors de votre prochaine connexion et mettra automatiquement à niveau le hachage vers la norme actuelle. Modifiez ensuite votre mot de passe à nouveau via le tableau de bord pour vous assurer qu’il est stocké correctement.
Vous pouvez également consulter la documentation officielle de réinitialisation du mot de passe WordPress pour découvrir d’autres méthodes de récupération.
Après avoir retrouvé l’accès
Une fois reconnecté, prenez quelques minutes pour :
- Modifier à nouveau votre mot de passe via le tableau de bord si vous avez utilisé une méthode liée à la base de données.
- Vérifier qu’aucun compte administrateur non autorisé n’a été ajouté dans Utilisateurs → Tous les utilisateurs.
- Envisager d’activer l’authentification à deux facteurs avec une extension comme WP 2FA.
Conclusion
Les situations de blocage sont rarement permanentes. Commencez par la méthode la plus simple à votre disposition et descendez la liste uniquement si nécessaire. WP-CLI est la voie la plus efficace pour toute personne disposant d’un accès au serveur, tandis que phpMyAdmin reste la solution de repli fiable lorsque vous travaillez sans cela. Quelle que soit la méthode choisie, faites-la suivre d’une réinitialisation appropriée via le tableau de bord et d’un audit de sécurité rapide pour vous assurer que votre compte reste le vôtre.
FAQ
L'astuce MD5 ne fonctionne que lorsque WordPress lit une chaîne MD5 brute depuis la colonne user_pass et la reconnaît comme un hachage hérité. Si vous collez un hachage sans sélectionner la fonction MD5 dans phpMyAdmin, ou si la valeur contient des espaces ou des guillemets supplémentaires, WordPress la traite comme un hachage hérité invalide. Collez toujours le mot de passe en clair et sélectionnez MD5 dans le menu déroulant des fonctions.
C'est sûr pour une récupération ponctuelle, mais pas en routine. Les modifications directes de la base de données contournent les hooks WordPress, donc les extensions qui suivent les changements de mot de passe ou appliquent des politiques ne s'exécuteront pas. Après avoir retrouvé l'accès, connectez-vous et réinitialisez à nouveau le mot de passe via le tableau de bord afin que le hachage bcrypt approprié soit stocké et que les extensions de sécurité enregistrent correctement l'événement.
WP-CLI doit être exécuté depuis le répertoire racine de WordPress, là où se trouve wp-config.php. Soit vous vous déplacez avec cd dans ce répertoire d'abord, soit vous passez le chemin explicitement avec l'option --path, par exemple : wp user update admin --user_pass='NewPass123!' --path=/var/www/html. Confirmez également que l'utilisateur système qui exécute WP-CLI a accès en lecture à wp-config.php.
Stockez les identifiants d'administrateur dans un gestionnaire de mots de passe, conservez un compte administrateur secondaire au cas où le principal serait compromis, et configurez un service SMTP fiable afin que les e-mails de réinitialisation arrivent réellement. Activer l'authentification à deux facteurs ajoute une protection, mais associez-la à des codes de secours stockés hors ligne afin qu'un appareil perdu ne vous empêche pas de récupérer l'accès.
Gain Debugging Superpowers
Unleash the power of session replay to reproduce bugs, track slowdowns and uncover frustrations in your app. Get complete visibility into your frontend with OpenReplay — the most advanced open-source session replay tool for developers. Check our GitHub repo and join the thousands of developers in our community.
