WordPress admin non accessibile: come recuperare l’accesso

Cos’è “l’accesso non disponibile” a wp-admin e perché succede

Non riuscire ad accedere a wp-admin può significare cose diverse: un blocco temporaneo imposto da un plugin di sicurezza, un’email di reimpostazione password che non arriva mai, o — nel caso più serio — un account amministratore che non esiste più. Distinguere questi casi è il primo passo, perché la soluzione cambia radicalmente da uno all’altro.

Blocco temporaneo di un plugin di sicurezza dopo troppi tentativi

La causa più comune, soprattutto se il blocco è comparso all’improvviso senza che tu abbia cambiato nulla, è un plugin di sicurezza (Wordfence, Limit Login Attempts Reloaded, Solid Security e simili) che ha rilevato troppi tentativi di accesso falliti dal tuo indirizzo IP — magari per un gestore di password che ha inserito credenziali sbagliate, o per un tentativo di accesso automatico da parte di bot — e ha bloccato temporaneamente quell’indirizzo, incluso il tuo, dall’accedere all’area di login.

L’email di reimpostazione della password non arriva

Una causa frequente, distinta dalla precedente, riguarda il processo di recupero password stesso: se clicchi su “Password dimenticata” ma l’email con il link di reset non arriva mai, il problema riguarda quasi sempre l’invio delle email da parte del sito (molti hosting non autenticano correttamente l’invio tramite la funzione mail() di PHP), non le tue credenziali.

L’utente amministratore è stato eliminato o declassato

Un caso più raro, ma da citare, riguarda la sparizione stessa dell’account amministratore: un errore durante una pulizia utenti, un conflitto tra plugin, o un accesso non autorizzato al sito possono portare alla cancellazione dell’unico utente con permessi di amministratore, o alla rimozione di quel ruolo specifico dal suo profilo.

Come capire la causa esatta

Il messaggio mostrato al momento del tentativo di accesso, insieme a una verifica diretta nel database, indica quasi sempre con precisione quale delle tre situazioni stai vivendo.

Leggere il messaggio mostrato al login

Se il tentativo di accesso restituisce un messaggio generico come “Troppi tentativi di accesso” o “Il tuo indirizzo IP è stato temporaneamente bloccato”, la causa è quasi certamente un plugin di sicurezza. Se invece le credenziali vengono rifiutate come “Nome utente non riconosciuto” pur essendo sicuro che siano corrette, l’account potrebbe non esistere più.

Verificare se l’utente amministratore esiste ancora

Se hai accesso a phpMyAdmin, apri la tabella wp_users e cerca l’utente che dovrebbe avere accesso: se non compare affatto, è stato eliminato. Se compare, controlla nella tabella wp_usermeta la riga con meta_key uguale a wp_capabilities per quello stesso utente: se il valore non contiene administrator, l’account esiste ma ha perso i permessi di amministratore.

Sintomo osservabileCausa probabile
Messaggio “Troppi tentativi di accesso” o IP bloccatoPlugin di sicurezza che ha bloccato temporaneamente il tuo indirizzo
Email di reset password mai ricevuta, anche controllando lo spamInvio email del sito non funzionante (problema di configurazione SMTP)
“Nome utente non riconosciuto” per un account di cui sei certoL’utente amministratore non esiste più nella tabella wp_users
L’utente esiste ma il login non concede accesso all’area adminIl ruolo amministratore è stato rimosso da quel profilo (wp_capabilities)
Il blocco riguarda solo te, altri amministratori accedono normalmenteBlocco specifico del tuo indirizzo IP, non un problema generale del sito

Recuperare l’accesso: sbloccare il plugin di sicurezza via FTP

Per il caso più comune, la soluzione più diretta è disattivare temporaneamente il plugin responsabile del blocco, cosa possibile anche senza poter accedere a wp-admin.

Individuare il plugin di sicurezza responsabile

Se ricordi quale plugin di sicurezza è installato sul sito (Wordfence, Limit Login Attempts Reloaded, Solid Security e simili sono i più diffusi), quello è il primo indiziato. In caso di dubbio, puoi comunque procedere con il passaggio successivo su ciascun plugin di sicurezza presente, uno alla volta.

Disattivarlo temporaneamente via FTP

Collegati via FTP/SFTP, apri la cartella wp-content/plugins e rinomina la cartella del plugin sospetto (ad esempio aggiungendo “-disabled” al nome): WordPress lo disattiva automaticamente non trovando più la cartella con il nome originale, e il blocco imposto da quel plugin viene rimosso insieme alla sua disattivazione.

Accedere di nuovo e riconfigurare i limiti

Prova ad accedere di nuovo a wp-admin: se il blocco era davvero causato da quel plugin, ora dovresti riuscire a entrare. Rinomina la cartella del plugin al nome originale per riattivarlo, e nelle sue impostazioni verifica (o alza) il numero di tentativi falliti consentiti prima del blocco, per ridurre il rischio che lo stesso problema si ripresenti, ad esempio per un gestore di password che tenta più volte con una credenziale non aggiornata.

L’utente amministratore non esiste più: crearne uno nuovo via phpMyAdmin

Se hai verificato che l’account amministratore è stato eliminato, WordPress mette a disposizione un metodo ufficiale per crearne uno nuovo direttamente dal database, senza bisogno di accedere a wp-admin. Apri phpMyAdmin, seleziona il database del sito e usa la scheda SQL per eseguire una query che inserisca un nuovo utente nella tabella wp_users con una password già cifrata (il modo più sicuro è generare l’hash con uno strumento dedicato, ad esempio la funzione integrata di phpMyAdmin per il campo password nella tabella utenti), quindi inserisci una riga corrispondente in wp_usermeta con meta_key impostato su wp_capabilities e valore a:1:{s:13:"administrator";b:1;}, per assegnare il ruolo di amministratore al nuovo utente. Se non hai familiarità con query SQL dirette, verifica prima la documentazione ufficiale di WordPress su questo specifico metodo di recupero, per evitare errori di sintassi nella tabella utenti.

Non riesci a risolvere? Intervento tecnico a distanza

Se non sei sicuro di quale plugin stia causando il blocco, se non hai familiarità con le query dirette al database per ricreare un amministratore, o se sospetti che la sparizione dell’account sia legata a un accesso non autorizzato al sito, procedere per tentativi rischia di complicare ulteriormente il recupero. In questi casi è possibile richiedere una verifica diretta dell’accesso FTP/SFTP e del pannello hosting: si individua con precisione la causa del blocco, si ripristina l’accesso in sicurezza e, se necessario, si verifica che non ci siano segnali di compromissione del sito.

Domande frequenti sul recupero dell’accesso a wp-admin

Il blocco di un plugin di sicurezza si sblocca da solo dopo un po’ di tempo? Spesso sì, molti plugin impostano un blocco temporaneo (da pochi minuti ad alcune ore): se non hai fretta, puoi anche solo attendere prima di intervenire manualmente via FTP.

Perdo dati disattivando temporaneamente il plugin di sicurezza? No, disattivare un plugin non cancella le sue impostazioni salvate nel database: riattivandolo con il nome di cartella originale, ritrova la sua configurazione precedente, incluse eventuali regole da correggere.

Come faccio a sapere se l’email di reset password non arriva per un problema del sito? Se il link “Password dimenticata” genera un messaggio di conferma ma l’email non arriva mai (nemmeno nello spam) per nessun utente, è quasi certamente un problema di invio email del sito, non delle tue credenziali specifiche.

È sicuro creare un nuovo amministratore direttamente da phpMyAdmin? È un metodo ufficialmente documentato da WordPress per situazioni in cui l’accesso normale non è possibile, ma richiede attenzione nella sintassi SQL: un errore nella query può causare altri problemi, quindi va eseguito con cautela o con assistenza se non hai familiarità con il database.

Come faccio a evitare che il blocco si ripresenti in futuro? Verifica nelle impostazioni del plugin di sicurezza il numero di tentativi falliti consentiti prima del blocco e valuta se alzarlo leggermente, soprattutto se usi un gestore di password che potrebbe generare più tentativi falliti in sequenza per un problema di sincronizzazione della credenziale salvata.

Vuoi risolverlo con un intervento diretto? Se non riesci a recuperare l’accesso a wp-admin con i metodi visti sopra, è possibile richiedere una verifica diretta dell’accesso FTP/SFTP e del pannello hosting: si individua la causa esatta del blocco e si ripristina l’accesso in sicurezza. → Richiedi supporto tecnico.

Articoli correlati