Recuperare la password di WordPress

Cos’è il problema del recupero password e le cause più comuni

Quando non si riesce più ad accedere a WordPress, il primo istinto è usare il link “Password dimenticata?” nella schermata di login. Nella maggior parte dei casi questo funziona, ma esistono situazioni in cui il flusso standard non è percorribile, ed è lì che serve un metodo alternativo diretto sul database.

La causa più comune: l’email di reset non arriva mai

Il motivo più frequente per cui il recupero standard non funziona è che l’email con il link di reimpostazione non arriva nella casella del destinatario: può dipendere da un problema di invio email del sito stesso (approfondito nella guida dedicata a WordPress che non invia email via SMTP), da un indirizzo email associato all’account non più accessibile, o dal messaggio finito in spam senza che l’utente se ne accorga.

Seconda causa frequente: account bloccato da un plugin di sicurezza (nominata)

Molti siti WordPress usano un plugin di sicurezza che blocca temporaneamente l’accesso dopo un certo numero di tentativi di login falliti, per proteggersi da attacchi automatizzati: in questo caso il problema non è la password in sé, ma un blocco temporaneo (lockout) che impedisce ogni tentativo di accesso, incluso quello con la password corretta, per un periodo di tempo definito.

Causa meno comune: perdita dell’accesso al secondo fattore di autenticazione (nominata)

Se il sito ha l’autenticazione a due fattori (2FA) attiva e si perde l’accesso al dispositivo o all’app che genera il codice, la password da sola non basta più per accedere: questo scenario richiede un intervento diverso, spesso la disattivazione del 2FA direttamente dal database, non un semplice reset della password.


Come capire quale caso si applica al tuo accesso bloccato

Prima di intervenire sul database, vale la pena distinguere quale dei tre scenari si sta verificando, perché richiedono interventi diversi.

Step 1: provare il flusso di reset standard e osservare cosa succede

Cliccando su “Password dimenticata?” e inserendo l’username o l’email associata, WordPress dovrebbe mostrare un messaggio di conferma dell’invio. Il test è a esito binario: se il messaggio di conferma compare ma l’email non arriva entro qualche minuto (controllando anche lo spam), la causa è confermata come un problema di invio email; se invece compare subito un messaggio diverso, tipo un avviso di troppi tentativi o un blocco temporaneo, la causa è un lockout di sicurezza, non un problema di email.

Step 2: verificare se il blocco riguarda il login in sé, non solo il reset

Se anche il tentativo di login con la password che si pensa corretta restituisce un messaggio generico di blocco temporaneo (spesso con indicazione di riprovare dopo un certo numero di minuti), è confermato un lockout da plugin di sicurezza: in questo caso aspettare il tempo indicato, o intervenire direttamente da FTP/pannello hosting per disattivare temporaneamente il plugin di sicurezza, risolve senza bisogno di toccare la password.

Sintomo osservatoCausa probabile
Messaggio di conferma invio compare ma l’email non arriva maiProblema di invio email del sito (SMTP) o email associata non più accessibile
Messaggio di blocco/troppi tentativi anche con password correttaLockout temporaneo da un plugin di sicurezza
Login richiede un codice aggiuntivo che non si può più generareAccesso al secondo fattore di autenticazione (2FA) perso
Reset completato ma il login continua a rifiutare la nuova passwordCache del browser o del sito che mostra ancora la schermata di login precedente

Risolvere: reimpostare la password direttamente dal database

Questa soluzione funziona indipendentemente dalla causa dell’email che non arriva, ed è il percorso più diretto quando il flusso standard di reset non è praticabile.

Step 1: accedere a phpMyAdmin dal pannello dell’hosting

La maggior parte degli hosting fornisce accesso a phpMyAdmin dal proprio pannello di controllo (cPanel, Plesk o area clienti), lo strumento che permette di consultare e modificare direttamente il database di WordPress.

Step 2: individuare la tabella wp_users e l’utente corretto

All’interno del database del sito, va aperta la tabella wp_users (il prefisso può variare se personalizzato in fase di installazione) e individuata la riga corrispondente all’utente amministratore di cui si vuole reimpostare la password, identificabile dal campo user_login.

Step 3: modificare il campo user_pass con la funzione di hashing corretta

Cliccando su “Modifica” per quella riga, nel campo user_pass va inserita la nuova password, ma è fondamentale selezionare la funzione MD5 nel menu a tendina della colonna corrispondente prima di salvare: WordPress non salva le password in chiaro, e senza applicare questa funzione durante il salvataggio la nuova password non verrà riconosciuta al login.

In alternativa: reimpostare la password via WP-CLI

Se il sito ha accesso SSH e WP-CLI già installato (argomento approfondito nella guida dedicata a WP-CLI), lo stesso risultato si ottiene in modo più rapido e senza rischio di errori di digitazione nel database con il comando wp user update nome-utente --user_pass=nuovapassword, che gestisce automaticamente l’hashing corretto.

Verifica finale osservabile

Dopo la modifica, va effettuato un tentativo di accesso immediato con la nuova password sulla schermata di login standard di WordPress (/wp-admin): l’accesso deve riuscire senza ulteriori richieste, a conferma che la password sia stata salvata con l’hashing corretto e non semplicemente in chiaro nel campo.


Caso particolare: l’accesso è bloccato da un plugin di sicurezza, non dalla password

Se la diagnosi ha confermato un lockout da plugin di sicurezza, il campo user_pass non va toccato: la password è quasi certamente già corretta. In questo caso va disattivato temporaneamente il plugin responsabile via FTP o file manager dell’hosting, rinominando la cartella del plugin all’interno di wp-content/plugins/ (questo lo disattiva automaticamente senza bisogno di accedere al pannello di WordPress), effettuato il login, e poi riattivato il plugin regolando le sue impostazioni di blocco se troppo aggressive.


Non riesci a recuperare l’accesso al tuo sito WordPress? Intervento tecnico a distanza

Modificare direttamente il database o distinguere tra un problema di password e un lockout di sicurezza comporta il rischio di un errore che, su un sito in produzione, può rendere l’accesso ancora più difficile da recuperare. Se preferisci non intervenire da solo su phpMyAdmin, o hai già provato senza risultato, è possibile richiedere una verifica diretta: invia l’accesso al pannello hosting e viene ripristinato l’accesso al sito in sicurezza, individuando anche la causa di fondo per evitare che si ripeta.


Domande frequenti sul recupero password WordPress

Reimpostare la password dal database rischia di rompere il sito? No, se limitato esclusivamente al campo user_pass con la funzione di hashing corretta selezionata: è un’operazione mirata su un singolo valore, che non tocca contenuti, plugin o configurazioni del sito.

Perché dopo aver cambiato la password dal database il login continua a fallire? Il motivo più comune è aver dimenticato di selezionare la funzione MD5 nel menu a tendina di phpMyAdmin prima di salvare: senza quella selezione, la password viene salvata in chiaro e WordPress non riesce a verificarla correttamente.

Quanto dura il blocco di un plugin di sicurezza dopo troppi tentativi falliti? Varia da plugin a plugin e dalle impostazioni configurate, tipicamente da pochi minuti a diverse ore: se il messaggio di blocco indica un tempo specifico, conviene attenderlo prima di intervenire manualmente sul file del plugin.

Posso creare un nuovo utente amministratore invece di recuperare la password di quello esistente? Sì, tramite lo stesso accesso a phpMyAdmin o WP-CLI è possibile creare un nuovo utente con ruolo amministratore, utile se non si vuole modificare l’utente esistente o se ci sono dubbi sulla sua integrità.

Ho perso l’accesso al 2FA, posso disattivarlo dal database? Sì, ma richiede di individuare e rimuovere i metadati specifici del plugin di 2FA associati a quell’utente nella tabella wp_usermeta, un’operazione più delicata rispetto al semplice reset della password e da fare con attenzione per non alterare altri dati dell’account.

Vuoi risolverlo con un intervento diretto? Se preferisci non rischiare di intervenire da solo sul database del sito, → Richiedi assistenza specializzata: invia l’accesso al pannello hosting e viene ripristinato l’accesso in sicurezza, verificando anche se la causa di fondo (email, lockout, 2FA) richiede una correzione permanente.

Articoli correlati