WordPress Passwort vergessen 2026: Reset in unter 5 Minuten

Q: Was ist der Standard-Login-Pfad in WordPress?

Standardmäßig /wp-login.php oder /wp-admin. Sicherheits-Plugins ändern den Pfad häufig.

Q: Wie sicher ist der phpMyAdmin-Reset?

Sicher, solange phpMyAdmin selbst geschützt ist. Der MD5-Hash wird beim ersten Login durch PHPass ersetzt.

Q: Es kommt keine Reset-Mail an — was tun?

Spam prüfen, andere Mail-Adresse versuchen, dann phpMyAdmin- oder WP-CLI-Reset. Langfristig SMTP-Plugin einrichten.

Q: Kann ich das Passwort ohne Hoster-Zugang ändern?

Nur mit FTP-Zugang über die functions.php. Ohne jeden Zugang muss der Hoster kontaktiert werden.

Q: Wie generiere ich einen WordPress-kompatiblen Passwort-Hash?

Einfach: MD5 in phpMyAdmin. Sauber: WP-CLI mit wp user update. Manuell: wp_hash_password() per PHP.

💡 Das Wichtigste in Kürze
Stand 2026: WordPress-Passwort vergessen ist kein Drama, aber der richtige Weg hängt davon ab, was noch funktioniert. Vier Methoden je nach Situation: E-Mail-Link funktioniert — der Standard-Reset über /wp-login.php?action=lostpassword, fertig in 60 Sekunden. Keine E-Mail kommt an — meist ein SMTP-Problem beim Hoster, Lösung über WP Mail SMTP plus externen Mail-Provider. Kein Mail-Zugang mehr — direkter Eingriff in die Datenbank via phpMyAdmin, Hash in die wp_users-Tabelle. Kein Hoster-Zugang — Reset über functions.php per FTP-Upload oder per WP-CLI auf SSH-Hostern. Alle vier Wege funktionieren 2026 zuverlässig, der Aufwand reicht von 1 Minute bis 15 Minuten.

📋 Inhaltsverzeichnis
aufklappen

1. Warum keine Reset-Mail kommt
2. Methode 1: Standard-Reset
3. Methode 2: phpMyAdmin
4. Methode 3: functions.php per FTP
5. Methode 4: WP-CLI
6. SMTP einrichten
7. Admin-User komplett weg
8. 2FA-Recovery
9. Häufige Fehler
10. FAQ
11. Fazit

Warum WordPress keine Reset-Mail schickt

Bevor du tiefer in die Datenbank greifst, lohnt der Blick auf den häufigsten Ärger 2026: die Reset-Mail kommt einfach nicht an. In über 80 Prozent der Fälle liegt das am Mail-Versand des Hosters und nicht an einem echten Account-Problem. WordPress nutzt standardmäßig die PHP-Funktion mail(), und genau die wird bei vielen Shared-Hostern 2025 und 2026 hart limitiert oder komplett blockiert, weil sie ein Spam-Magnet ist.

Drei typische Ursachen. Erstens: der Hoster blockt mail() komplett oder erlaubt nur Versand von verifizierten Domain-Adressen. All-Inkl, IONOS, Strato, Hetzner und Hostinger handhaben das 2026 unterschiedlich streng. Zweitens: kein SMTP-Plugin installiert, die Mail wird zwar abgesetzt, landet aber nie bei einem echten Mail-Server. Drittens: die Mail kommt an, landet aber im Spam-Ordner oder in einem Quarantäne-System wie das von Microsoft 365. Bevor du Methode 2 bis 4 startest, prüfe in dieser Reihenfolge: Spam-Ordner, Hoster-Logs, Test mit einer Gmail-Adresse statt Firmen-Mail.

⚠️ Quick-Check vor dem Tieferbohren

Spam-Ordner geprüft? — WordPress-Mails von wordpress@deine-domain.de landen häufig im Spam

Richtige E-Mail eingegeben? — Nutzername oder hinterlegte Mail-Adresse, kein Tippfehler

5 Minuten gewartet? — Greylisting verzögert Mails oft um mehrere Minuten

Andere Mail-Adresse versucht? — Gmail oder Outlook.com filtert großzügiger als Firmen-Postfächer

Methode 1: Passwort über das Login-Formular zurücksetzen

Der Standard-Weg 2026, funktioniert in 80 Prozent aller Fälle und dauert keine 60 Sekunden. Öffne die Login-Seite deiner WordPress-Installation. Der Standard-Pfad ist https://deine-domain.de/wp-login.php oder https://deine-domain.de/wp-admin. Falls ein Sicherheits-Plugin wie WPS Hide Login oder iThemes Security aktiv ist, kann der Pfad geändert sein — zum Beispiel /anmelden oder /secret-login. Schau in alte E-Mails oder ins Browser-Lesezeichen nach der echten URL.

Unter dem Login-Formular findest du den Link „Passwort vergessen“. Klick darauf, gib entweder deinen WordPress-Benutzernamen oder die E-Mail-Adresse ein, die im Profil hinterlegt ist, klick „Neues Passwort generieren“. WordPress schickt jetzt eine Mail mit einem Reset-Link an die hinterlegte Adresse. Link anklicken, neues Passwort vergeben, fertig. Der Link ist 2026 standardmäßig 24 Stunden gültig, danach musst du den Prozess wiederholen.

🔑 Standard-Reset Schritt für Schritt

Schritt 1
Login-Seite öffnen: /wp-login.php

Schritt 2
„Passwort vergessen“ anklicken

Schritt 3
Benutzername oder E-Mail eingeben

Schritt 4
Posteingang prüfen, ggf. Spam

Schritt 5
Link öffnen, neues Passwort setzen

Schritt 6
Mit neuem Passwort einloggen

Methode 2: Reset über phpMyAdmin

Wenn keine Mail ankommt und du Zugang zur Datenbank hast, ist phpMyAdmin der zuverlässigste Weg 2026. Voraussetzung: Hosting-Account mit phpMyAdmin oder Adminer, plus Wissen über den Datenbank-Namen und das Tabellen-Präfix (Standard wp_, viele Sicherheits-Plugins ändern das auf wp_xyz123_).

Login in dein Hoster-Backend, phpMyAdmin öffnen, links die WordPress-Datenbank auswählen, dann die Tabelle wp_users öffnen. Suche deinen Benutzer (Spalte user_login oder user_email), klick rechts auf „Bearbeiten“. Im Feld user_pass trägst du jetzt das neue Passwort ein. Wichtig: WordPress speichert Passwörter nicht im Klartext, sondern als PHPass-Hash. Damit der Eintrag funktioniert, wähl in der Dropdown-Spalte „Funktion“ den Wert MD5 und schreib im Wert-Feld dein neues Klartext-Passwort. WordPress erkennt den MD5-Hash beim nächsten Login und konvertiert ihn automatisch in einen korrekten PHPass-Hash.

— SQL-Alternative direkt im phpMyAdmin SQL-Tab:
UPDATE wp_users

SET user_pass = MD5(‚DeinNeuesPasswort2026‘)

WHERE user_login = ‚admin‘;

Nach dem Speichern sofort einloggen mit dem neuen Klartext-Passwort. Beim ersten erfolgreichen Login schreibt WordPress den sicheren PHPass-Hash zurück in die Datenbank. Falls dein Tabellen-Präfix nicht wp_ ist, ersetz im SQL den Tabellennamen entsprechend. Funktioniert in 2026 mit allen MariaDB- und MySQL-Versionen ab 5.7.

🛡️ Sicherheits-Hinweis 2026MD5 ist als Hash-Verfahren längst geknackt, aber für den Reset-Trick reicht es, weil WordPress den Wert beim ersten Login durch einen sicheren bcrypt-/PHPass-Hash ersetzt. Wichtig: nicht den MD5-Wert dauerhaft in der Datenbank lassen. Direkt nach dem Reset einloggen, dann ist der Hash wieder sauber.

Methode 3: Reset über functions.php per FTP

Kein phpMyAdmin-Zugang, aber FTP funktioniert? Dann läuft der Reset über einen einmaligen Code-Snippet in der functions.php des aktiven Themes. Voraussetzung: FTP-Zugangsdaten und ein FTP-Client wie FileZilla oder Cyberduck. Diese Methode funktioniert 2026 mit jedem WordPress ab Version 4.0 und mit jedem Theme.

Verbind dich per FTP, navigier zu /wp-content/themes/dein-aktives-theme/ und lad die functions.php lokal herunter. Backup machen, dann ganz oben nach dem öffnenden <?php folgenden Code einfügen:

// Einmaliger Passwort-Reset — nach Login wieder entfernen!
add_action(‚init‘, function() {

  $user = get_user_by(‚login‘, ‚admin‘);

  if ($user) {

    wp_set_password(‚DeinNeuesPasswort2026!‘, $user->ID);

  }

});

Datei speichern, zurück auf den Server hochladen, dann einmal die Login-Seite aufrufen — der Hook feuert beim Seitenaufbau und setzt das neue Passwort. Sofort einloggen, dann unbedingt den Code wieder aus der functions.php entfernen. Bleibt er drin, wird das Passwort bei jedem Seitenaufruf neu gesetzt, und niemand sonst kann sich einloggen. Für die ganz Vorsichtigen: nach dem Reset das Theme komplett austauschen oder zumindest die functions.php aus dem Theme-Repo neu ziehen.

Methode 4: Reset per WP-CLI

Die schnellste Methode für Profis 2026 — vorausgesetzt, der Hoster bietet SSH-Zugang und WP-CLI ist installiert. Hetzner Cloud, All-Inkl Premium, Raidboxes, Kinsta, WP Engine, Cloudways: alle bieten 2026 SSH und WP-CLI ab Werk. Bei IONOS, Strato und Hostinger ist es ein Klick im Backend, bei klassischen Shared-Hostern oft gar nicht verfügbar.

Per SSH einloggen, ins WordPress-Verzeichnis wechseln, dann reicht ein einziger Befehl:

# Liste aller User anzeigen
wp user list
# Passwort für User „admin“ neu setzen
wp user update admin –user_pass=’DeinNeuesPasswort2026!‘
# Alternative: User per ID
wp user update 1 –user_pass=’DeinNeuesPasswort2026!‘

WP-CLI erzeugt automatisch einen korrekten PHPass-Hash und schreibt ihn direkt in die wp_users-Tabelle. Kein MD5-Workaround, kein Theme-Eingriff, keine Datenbank-Tabelle suchen. Reset-Zeit unter 10 Sekunden. Wenn du WP-CLI noch nicht installiert hast, lohnt sich die einmalige Einrichtung — viele andere Admin-Aufgaben werden dadurch um Größenordnungen schneller. Werbeagentur Luppert in Landau in der Pfalz nutzt WP-CLI 2026 als Standard für alle Kunden-Sites.

SMTP einrichten damit Reset-Mails ankommen

Wenn der Reset funktioniert, aber zukünftig zuverlässig per Mail laufen soll, führt 2026 kein Weg an einem SMTP-Plugin plus externem Mail-Provider vorbei. Die PHP-mail()-Funktion ist tot — zu unzuverlässig, zu spam-anfällig, von vielen Mail-Providern direkt geblockt. Lösung: WordPress sendet über einen echten SMTP-Server, idealerweise mit DKIM und SPF signiert.

Empfohlenes Setup 2026: Plugin WP Mail SMTP (kostenlos in der Basis-Version, 49 USD/Jahr für Pro mit Logging) kombiniert mit einem externen Provider. Drei bewährte Optionen. Brevo (ehemals Sendinblue, EU-Server, DSGVO-konform, 300 Mails/Tag kostenlos). Mailgun (US-basiert, 5.000 Mails/Monat kostenlos, technisch sehr solide). Amazon SES (extrem günstig bei hohem Volumen, 0,10 USD pro 1.000 Mails, etwas komplexer im Setup).

📧 SMTP-Setup mit Brevo in 10 Minuten

1. Brevo-Konto
Auf brevo.com registrieren, Domain verifizieren

2. SMTP-Key
Im Brevo-Dashboard SMTP-Key generieren

3. Plugin installieren
„WP Mail SMTP“ in WordPress aktivieren

4. Mailer wählen
„Brevo (Sendinblue)“ als Mailer auswählen

5. Key eintragen
API-Key einfügen, Absender-Adresse setzen

6. Testmail senden
Im Plugin „E-Mail-Test“ durchführen

DNS-Einträge nicht vergessen: SPF-Record und DKIM-Schlüssel müssen für die Versand-Domain hinterlegt sein. Brevo, Mailgun und SES liefern die nötigen Werte im Dashboard, du trägst sie einmal in deiner Domain-Verwaltung ein. Danach landen WordPress-Mails 2026 zuverlässig im Posteingang und nicht im Spam.

Was tun wenn auch der Admin-User komplett weg ist

Härtester Fall 2026: kein User-Login mehr bekannt, keine Mail erreichbar, alte Admin-Accounts wurden gelöscht oder von einem Hack entfernt. Lösung: neuen Admin-User direkt per SQL in der Datenbank anlegen. Voraussetzung: phpMyAdmin oder ein anderer Datenbank-Zugang.

Im phpMyAdmin SQL-Tab folgende Befehle ausführen, Tabellen-Präfix gegebenenfalls anpassen:

— 1. Neuen User anlegen
INSERT INTO wp_users (user_login, user_pass, user_nicename, user_email, user_registered, user_status, display_name)

VALUES (’notfall_admin‘, MD5(‚Notfall2026!‘), ‚Notfall Admin‘, ‚admin@deine-domain.de‘, NOW(), 0, ‚Notfall Admin‘);
— 2. Admin-Rolle zuweisen (User-ID merken aus Schritt 1)
INSERT INTO wp_usermeta (user_id, meta_key, meta_value)

VALUES (LAST_INSERT_ID(), ‚wp_capabilities‘, ‚a:1:{s:13:“administrator“;b:1;}‘);
INSERT INTO wp_usermeta (user_id, meta_key, meta_value)

VALUES (LAST_INSERT_ID(), ‚wp_user_level‘, ’10‘);

Wichtig: die meta_key-Werte müssen das Tabellen-Präfix tragen, also wp_capabilities bei Standard-Installation, wp_xyz123_capabilities bei verändertem Präfix. Nach dem Insert kannst du dich mit Login „notfall_admin“ und Passwort „Notfall2026!“ anmelden. Erste Aktion danach: über Profil ein sicheres Passwort setzen, alte verwaiste Admins entfernen, Sicherheits-Audit fahren — wenn der Admin verschwunden war, war wahrscheinlich ein Hack im Spiel.

2FA aktiviert und Code-Generator weg — Recovery

Zwei-Faktor-Authentifizierung ist 2026 Standard und richtig wichtig — aber sie bringt eigene Probleme, wenn das Handy mit dem Authenticator verloren geht oder die Backup-Codes weg sind. Auch hier gibt es einen Weg. Voraussetzung: FTP- oder Datei-Zugang zur WordPress-Installation.

Lösung: das 2FA-Plugin temporär deaktivieren, indem du seinen Ordner umbenennst. Per FTP nach /wp-content/plugins/ navigieren. Den Ordner des aktiven 2FA-Plugins finden — häufig two-factor, wp-2fa, google-authenticator oder wordfence (Wordfence bündelt 2FA). Ordner umbenennen, zum Beispiel von two-factor auf two-factor_OFF. WordPress erkennt das Plugin nicht mehr und deaktiviert es automatisch. Login funktioniert wieder nur mit Passwort.

🔐 Direkt nach Recovery wieder absichernNach dem Login: Plugin reaktivieren (Ordner zurückbenennen), 2FA neu konfigurieren, diesmal die Backup-Codes ausdrucken oder im Passwort-Manager speichern. Authenticator-Codes idealerweise auf zwei Geräten parallel hinterlegen (z. B. Handy plus Tablet via Authy oder 1Password). Wer 2026 ohne Backup-Strategie 2FA aktiviert, sperrt sich früher oder später selbst aus.

Häufige Fehler beim Passwort-Reset

Fünf Klassiker, die 2026 immer wieder auftauchen und Reset-Versuche scheitern lassen. Erstens: der MD5-Hash wird falsch generiert. Wer in phpMyAdmin im Dropdown „Funktion“ vergisst und das Klartext-Passwort direkt einträgt, hat danach gar kein gültiges Passwort mehr in der Datenbank. Ergebnis: jeder Login-Versuch scheitert, weil WordPress den Klartext nicht hashen kann.

Zweitens: das Tabellen-Präfix wurde vergessen. Viele Sicherheits-Plugins ändern wp_ auf einen zufälligen Wert wie wp_a8x2k_. Die SQL-Befehle aus Tutorials funktionieren dann nicht, weil die Tabelle wp_users gar nicht existiert. Drittens: User-Capabilities fehlen. Wer einen Admin direkt per SQL anlegt, vergisst oft die Einträge in wp_usermeta — Login funktioniert, aber das WordPress-Backend zeigt eine leere Seite mit „Sorry, you are not allowed to access this page“.

⚠️ Die 5 häufigsten Reset-Fehler 2026

MD5-Funktion vergessen — Klartext direkt in user_pass macht den Account unbrauchbar

Falsches Tabellen-Präfix — SQL-Tutorials funktionieren nur mit wp_, viele Sites haben anderen Wert

Capabilities fehlen — neuer User ohne Eintrag in wp_usermeta hat keine Admin-Rechte

functions.php nicht aufgeräumt — Reset-Code bleibt drin, Passwort wird endlos neu gesetzt

Caching-Plugin aktiv — alte Login-Cookies bleiben gecached, Cache leeren oder anderen Browser nutzen

Viertens und fünftens: der Reset-Code in der functions.php bleibt drin, oder ein Caching-Plugin behält alte Sessions. Beim ersten Problem hilft nur das saubere Entfernen des Hooks. Beim zweiten reicht ein Cache-Leeren oder ein Login aus einem anderen Browser/Inkognito-Fenster. Wer mit WP Rocket, W3 Total Cache oder LiteSpeed Cache arbeitet, sollte nach jedem Reset einmal komplett den Cache purgen.

Häufige Fragen 2026

Was ist der Standard-Login-Pfad in WordPress?+

Standardmäßig /wp-login.php oder /wp-admin. Sicherheits-Plugins wie WPS Hide Login oder iThemes Security ändern den Pfad häufig zu Werten wie /anmelden oder /secret-login. Prüfe alte Lesezeichen oder frag den Admin.

Wie sicher ist der phpMyAdmin-Reset?+

Sicher, solange der phpMyAdmin-Zugang selbst gut geschützt ist (HTTPS, Hoster-Login, 2FA). Der MD5-Hash in der Datenbank ist nur eine Zwischenlösung — WordPress ersetzt ihn beim ersten Login automatisch durch einen sicheren PHPass-Hash.

Es kommt keine Reset-Mail an — was tun?+

Spam-Ordner prüfen, andere Mail-Adresse versuchen (Gmail filtert großzügiger als Firmen-Postfächer), 5 Minuten warten wegen Greylisting. Wenn nichts hilft: phpMyAdmin- oder WP-CLI-Reset. Langfristig SMTP-Plugin (WP Mail SMTP) plus Brevo, Mailgun oder Amazon SES einrichten.

Kann ich das Passwort ohne Hoster-Zugang ändern?+

Nur, wenn FTP-Zugang besteht (dann Methode 3 mit functions.php). Ohne jeden Zugang zu Datenbank, FTP oder Hoster-Backend lässt sich der Reset nicht erzwingen — dann muss der Hoster oder die betreuende Agentur kontaktiert werden.

Wie generiere ich einen WordPress-kompatiblen Passwort-Hash?+

Einfachster Weg 2026: MD5-Funktion in phpMyAdmin (WordPress konvertiert beim Login automatisch). Sauberer Weg: WP-CLI mit wp user update --user_pass='...'. Manuell per PHP: wp_hash_password('DeinPasswort') in einem Test-Skript ausführen und den Rückgabewert in die Datenbank schreiben.

Schnellfassung 2026

Standard-Reset über /wp-login.php?action=lostpassword funktioniert in 80 % aller Fälle in 60 Sekunden
Keine Reset-Mail? Erst Spam prüfen, dann SMTP-Plugin nachrüsten — die PHP-mail()-Funktion ist 2026 tot
Ohne Mail-Zugang: phpMyAdmin-Reset mit MD5-Trick in der wp_users-Tabelle
Ohne phpMyAdmin: Code-Snippet mit wp_set_password() in functions.php per FTP
Profi-Weg: WP-CLI mit wp user update — Reset in unter 10 Sekunden
Admin komplett weg? Neuen Admin direkt per SQL in wp_users plus wp_usermeta anlegen
2FA-Lockout: Plugin-Ordner per FTP umbenennen, danach neu konfigurieren mit Backup-Codes

Fazit: Vier Wege, einer passt immer

WordPress-Passwort-Reset ist 2026 keine Wissenschaft, sondern eine Frage des richtigen Werkzeugs. Standard-Reset über das Login-Formular klappt in den meisten Fällen — vorausgesetzt, der Mail-Versand funktioniert. Wer 2026 noch auf die PHP-mail()-Funktion vertraut, sollte spätestens jetzt auf WP Mail SMTP plus Brevo oder Mailgun umsteigen. Für Notfälle bleiben phpMyAdmin, FTP-functions.php-Trick und WP-CLI als zuverlässige Backup-Methoden. Werbeagentur Luppert in Landau in der Pfalz übernimmt Notfall-Resets, Hardening und SMTP-Einrichtung zum Stundensatz von 70 €/h, meist innerhalb von 30 Minuten erledigt. STARTER-Paket für komplette WordPress-Installationen mit sauberer Mail-Konfiguration ab 759 €.

Ausgesperrt aus WordPress? Wir lösen das in 30 Minuten

Notfall-Reset, SMTP-Setup, 2FA-Recovery, Admin-Wiederherstellung. Stundensatz 70 €/h, meist in 30 Minuten erledigt. Telefon +49 176 21 776099.

Jetzt Notfall-Hilfe anfragen

📚 Das könnte Sie auch interessieren

🔑WordPress Admin LoginDen richtigen Login-Pfad finden
🛡️WordPress SicherheitHardening gegen Hacks und Lockouts
🏠WordPress Hosting EmpfehlungHoster mit SSH und WP-CLI
⚠️WordPress kritischer FehlerWhite Screen und Login-Probleme beheben

0/5 (0 Bewertung)