Blog

WordPress-Admin gesperrt oder vergessen, so kommst du wieder rein

Von · 13. Mai 2026 · 8 Minuten Lesezeit

Du rufst dein WordPress-Backend auf und kommst nicht rein. Entweder hast du das Passwort vergessen, eine Sicherheitsfunktion hat dich gesperrt, oder ein Brute-Force-Schutz-Plugin hat deine eigene IP blockiert. Das klingt dramatisch, ist aber in fast allen Fällen in 15-30 Minuten gelöst.

Fall 1: Passwort vergessen

Der einfachste Fall. Klicke auf der Login-Seite auf "Passwort vergessen?" und gib deine E-Mail-Adresse ein. WordPress schickt dir einen Reset-Link. Klingt simpel, aber manchmal kommen diese E-Mails nicht an, weil der Server kein PHP-Mail richtig konfiguriert hat.

Wenn der Reset-Link nicht ankommt, geht es weiter mit dem nächsten Schritt.

Fall 2: Passwort per phpMyAdmin zurücksetzen

Logg dich in dein Hosting-Panel ein (cPanel, Plesk, IONOS Control Center usw.) und öffne phpMyAdmin. Dort findest du die WordPress-Datenbank:

  • Öffne die Tabelle wp_users (das Präfix kann abweichen)
  • Klicke beim Admin-Nutzer auf "Bearbeiten"
  • Wähle im Feld user_pass aus dem Dropdown "MD5" aus
  • Gib dein neues Passwort ein und speichere

Danach kannst du dich mit dem neuen Passwort einloggen. WordPress überschreibt den MD5-Hash beim ersten Login automatisch mit dem sichereren Bcrypt-Format.

Fall 3: Notfall-Admin per FTP anlegen

Wenn du keinen Zugang zur Datenbank hast, aber FTP funktioniert, kannst du über eine kleine PHP-Datei einen neuen Admin anlegen:

  • Erstelle eine Datei create-admin.php im WordPress-Stammverzeichnis
  • Füge den Code ein, der wp_create_user() und wp_update_user() aufruft
  • Rufe die Datei einmal im Browser auf
  • Lösche die Datei sofort danach aus Sicherheitsgründen

Den genauen Code dafür findest du im WordPress-Codex oder schreib uns kurz, wir schicken ihn dir.

Fall 4: Brute-Force-Plugin hat dich gesperrt

Plugins wie Wordfence oder Limit Login Attempts sperren eine IP-Adresse nach zu vielen Fehlversuchen. Wenn du das selbst ausgelöst hast (z.B. weil du das Passwort mehrfach falsch eingegeben hast), gibt es zwei Wege:

  • Warte die konfigurierte Sperrzeit ab (meistens 20-60 Minuten)
  • Verbinde dich per FTP, öffne wp-config.php und füge vorübergehend die Zeile define('WFWAF_ENABLED', false); ein (für Wordfence), logge dich ein, und entferne sie danach wieder

Brute-Force-Schutz richtig einrichten

Nachdem du wieder drin bist, solltest du diese Maßnahmen umsetzen, damit es nicht wieder passiert:

  • Aktiviere Zwei-Faktor-Authentifizierung (2FA) für alle Admin-Accounts
  • Ändere den Login-URL von /wp-admin auf etwas Individuelles
  • Nutze ein starkes, einzigartiges Passwort (Passwort-Manager empfohlen)
  • Begrenze Login-Versuche auf maximal 5 vor einer Sperrung
  • Blocke bekannte Bot-IP-Ranges auf Firewall-Ebene

Unsere Website-Sicherheit für KMU deckt all diese Punkte ab und richtet sie dauerhaft ein.

Was du für die Zukunft brauchst

Zwei Dinge schützen dich zuverlässig vor diesem Problem: Ein Passwort-Manager (Bitwarden, 1Password) und ein regelmäßiges Backup, das auch die Datenbank enthält. Mit beidem bist du in Minuten wieder handlungsfähig, egal was passiert.

Wenn du möchtest, dass jemand das für dich im Blick behält, schau dir rocks.care pro an. Wir übernehmen das Monitoring und reagieren, bevor ein Ausschluss-Szenario überhaupt entstehen kann.

Verwandte Artikel & Lexikon

M

Website-Optimierer und Gründer von rocks.optimize. Hilft KMU dabei, schnellere, sicherere und besser gefundene Websites zu bekommen.

WordPress-Sicherheit von Experten

rocks.optimize richtet Brute-Force-Schutz, 2FA und Monitoring ein, damit du nie wieder ausgesperrt wirst.

Erstgespräch buchen RocksCare Pro ansehen

Nützliche Lexikon-Einträge

Bereit, Ihre Website auf Erfolgskurs zu bringen?

Kostenloses Erstgespräch inkl. persönlicher Website-Analyse, unverbindlich & in 30 Minuten.

Jetzt Termin sichern