Как сбросить пароль администратора WordPress
Потеря доступа к учётной записи администратора WordPress — неприятная ситуация, но решаемая. Забыли ли вы пароль, не приходит ли письмо со сбросом пароля или вы заблокированы на сайте без работающего почтового сервера — существует метод, подходящий именно для вашего случая. В этом руководстве рассмотрены четыре надёжных способа сброса пароля администратора WordPress — от самого простого к наиболее техническому.
Ключевые выводы
- Всегда начинайте с самого простого из доступных методов: сброс через панель управления, если вы авторизованы, или ссылка «Забыли пароль?», если вы можете получать электронную почту.
- WP-CLI — самый быстрый и безопасный способ восстановления для всех, у кого есть SSH-доступ, поскольку он использует встроенные механизмы хеширования WordPress.
- phpMyAdmin со значением MD5 — это метод восстановления в крайнем случае; WordPress автоматически обновит хеш до текущего стандарта при следующем входе.
- После восстановления доступа проверьте список пользователей и включите двухфакторную аутентификацию, чтобы избежать подобных ситуаций в будущем.
Быстрый выбор метода
| Ваша ситуация | Лучший метод |
|---|---|
| Вы авторизованы | Сброс через панель |
| Вы можете получать почту | Ссылка «Забыли пароль?» |
| У вас есть SSH-доступ | WP-CLI |
| Ни почты, ни SSH | phpMyAdmin |
Способ 1: Сброс из панели администратора WordPress
Используйте, когда: вы уже авторизованы и просто хотите обновить пароль.
- Перейдите в Users → Profile в меню администратора.
- Прокрутите до раздела Account Management.
- Нажмите Set New Password. WordPress автоматически сгенерирует надёжный пароль.
- При желании замените его собственным, затем нажмите Update Profile.
Это самый чистый подход. Никакого доступа к базе данных, никаких инструментов — просто стандартное обновление пароля через интерфейс.
Способ 2: Использование ссылки «Lost Your Password?»
Используйте, когда: вы заблокированы, но можете получать электронную почту по адресу, указанному в вашей учётной записи.
- Перейдите по адресу
yoursite.com/wp-login.php. - Нажмите Lost your password?
- Введите ваше имя пользователя или зарегистрированный email.
- Проверьте почтовый ящик на наличие письма со ссылкой для сброса и перейдите по ней.
- Установите новый пароль и войдите.
Если письмо так и не пришло, проверьте сначала папку «Спам». Если ваш сайт не настроен для надёжной отправки писем, рассмотрите возможность установки WP Mail SMTP — но для немедленного доступа переходите к Способу 3 или 4.
Discover how at OpenReplay.com.
Способ 3: Сброс пароля через WP-CLI (рекомендуется для разработчиков)
Используйте, когда: у вас есть SSH-доступ к серверу. Это самый быстрый и надёжный способ восстановить учётную запись администратора WordPress без прямого вмешательства в базу данных.
# List users to confirm the username or ID
wp user list
# Reset by username
wp user update admin --user_pass="YourNewPassword123!"
# Or reset by user ID
wp user update 1 --user_pass="YourNewPassword123!"WP-CLI корректно обрабатывает хеширование пароля, используя встроенные механизмы WordPress, поэтому генерировать хеши вручную не требуется. Вы можете ознакомиться с дополнительными опциями в официальной документации WP-CLI по обновлению пользователей.
Замечание по безопасности: пароли, переданные в виде строковых аргументов, могут попасть в историю shell или логи процессов. По возможности используйте интерактивные подсказки или сгенерированные пароли, особенно на общих системах.
Способ 4: Сброс через phpMyAdmin (восстановление через базу данных)
Используйте, когда: у вас нет доступа к электронной почте и SSH, но вы можете открыть phpMyAdmin через панель управления хостингом.
- Откройте phpMyAdmin и выберите вашу базу данных WordPress.
- Откройте таблицу
wp_users(префикс может отличаться — проверьте$table_prefixв файлеwp-config.php). - Найдите пользователя-администратора и нажмите Edit.
- В поле
user_passочистите существующее значение. - Введите новый пароль открытым текстом, затем выберите MD5 из выпадающего списка функций.
- Нажмите Go для сохранения.
Важный контекст: Современный WordPress хранит пароли с использованием более надёжных алгоритмов хеширования, таких как bcrypt. Прямая запись MD5-хеша — это техника восстановления, а не предпочтительный рабочий процесс. WordPress обнаружит формат MD5 при следующем входе и автоматически обновит хеш до текущего стандарта. После этого измените пароль ещё раз через панель управления, чтобы убедиться, что он сохранён корректно.
Вы также можете ознакомиться с официальной документацией WordPress по сбросу пароля для альтернативных методов восстановления.
После восстановления доступа
После того как вы снова получили доступ, уделите несколько минут следующим действиям:
- Измените пароль ещё раз через панель управления, если вы использовали метод с базой данных.
- Убедитесь, что в разделе Users → All Users не появились несанкционированные административные учётные записи.
- Рассмотрите возможность включения двухфакторной аутентификации с помощью плагина, например WP 2FA.
Заключение
Ситуации с потерей доступа редко бывают необратимыми. Начинайте с самого простого из доступных методов и переходите к следующим только по мере необходимости. WP-CLI — наиболее эффективный путь для тех, у кого есть доступ к серверу, тогда как phpMyAdmin остаётся надёжным запасным вариантом, когда его нет. Какой бы путь вы ни выбрали, обязательно выполните корректный сброс через панель управления и проведите быструю проверку безопасности, чтобы убедиться, что ваша учётная запись остаётся под вашим контролем.
Часто задаваемые вопросы
Трюк с MD5 работает только тогда, когда WordPress считывает сырую MD5-строку из колонки user_pass и распознаёт её как устаревший хеш. Если вы вставите хеш без выбора функции MD5 в phpMyAdmin, или если значение содержит лишние пробелы или кавычки, WordPress посчитает его недействительным устаревшим хешем. Всегда вставляйте пароль в открытом виде и выбирайте MD5 из выпадающего списка функций.
Это безопасно для разового восстановления, но не как рутинная практика. Прямые правки базы данных обходят хуки WordPress, поэтому плагины, отслеживающие изменения паролей или применяющие политики, не сработают. После восстановления доступа войдите в систему и сбросьте пароль снова через панель управления, чтобы был сохранён корректный bcrypt-хеш, а плагины безопасности правильно зафиксировали событие.
WP-CLI должен запускаться из корневой директории WordPress, где находится файл wp-config.php. Либо сначала перейдите в эту директорию с помощью cd, либо явно укажите путь с помощью флага --path, например: wp user update admin --user_pass='NewPass123!' --path=/var/www/html. Также убедитесь, что системный пользователь, запускающий WP-CLI, имеет доступ на чтение к wp-config.php.
Храните учётные данные администратора в менеджере паролей, держите запасную учётную запись администратора на случай компрометации основной и настройте надёжный SMTP-сервис, чтобы письма для сброса действительно доходили. Включение двухфакторной аутентификации добавляет защиту, но используйте её вместе с резервными кодами, сохранёнными офлайн, чтобы потерянное устройство не заблокировало вам возможность восстановления.
Gain Debugging Superpowers
Unleash the power of session replay to reproduce bugs, track slowdowns and uncover frustrations in your app. Get complete visibility into your frontend with OpenReplay — the most advanced open-source session replay tool for developers. Check our GitHub repo and join the thousands of developers in our community.
