Changer ou réinitialiser un mot de passe WordPress se fait en quelques clics si vous avez accès à votre tableau de bord. Si vous avez oublié votre mot de passe ou que l’e-mail de réinitialisation n’arrive pas, il existe d’autres méthodes, y compris une intervention directe en base de données. Voici comment procéder dans chaque cas, du plus simple au plus technique.
Choisir la bonne méthode selon votre situation
Avant de commencer, identifiez votre cas :
- Vous êtes connecté à votre tableau de bord WordPress → modifiez le mot de passe depuis votre profil.
- Vous n’êtes plus connecté mais vous connaissez votre identifiant ou adresse e-mail → utilisez la page « Mot de passe oublié » sur wp-login.php.
- Vous avez demandé un lien de réinitialisation mais l’e-mail n’arrive pas → vérifiez les spams, puis contactez votre hébergeur ou passez par phpMyAdmin.
- Vous avez perdu tout accès admin au site → passez directement à la méthode phpMyAdmin ou hébergeur.
| Situation | Méthode | Niveau |
|---|---|---|
| Accès au tableau de bord | Profil utilisateur | Débutant |
| Mot de passe oublié | Lien e-mail sur wp-login.php | Débutant |
| E-mail non reçu / accès perdu | phpMyAdmin ou hébergeur | Avancé |
Modifier le mot de passe depuis le profil WordPress
C’est la méthode la plus directe si vous êtes connecté à votre tableau de bord WordPress. Elle ne nécessite aucune manipulation technique et prend moins d’une minute.
Rendez-vous dans le menu Comptes ou Utilisateurs, puis cliquez sur Profil. Faites défiler la page jusqu’à la section « Gestion du compte ». Cliquez sur le bouton Générer un mot de passe : WordPress propose automatiquement un mot de passe fort et unique. Vous pouvez aussi saisir le vôtre manuellement dans le champ prévu.
Une fois le nouveau mot de passe saisi, vérifiez que l’indicateur de force affiche au moins « Fort » avant d’enregistrer. Cliquez ensuite sur Mettre à jour le profil en bas de page. Le changement est immédiat. Si vous étiez connecté sur d’autres appareils, vous serez automatiquement déconnecté des autres sessions.
Changer le mot de passe d’un autre compte utilisateur : si vous êtes administrateur WordPress, vous pouvez modifier le mot de passe de n’importe quel autre compte. Allez dans Utilisateurs > Tous les utilisateurs, cliquez sur le nom de l’utilisateur concerné et procédez de la même façon depuis son profil.
Réinitialiser un mot de passe oublié depuis wp-login.php
Si vous n’avez plus accès à votre compte utilisateur WordPress, rendez-vous sur la page de connexion de votre site, accessible à l’adresse votresite.com/wp-login.php. Cette page est disponible sur tous les sites WordPress, quelle que soit la configuration du thème ou des plugins actifs. Cliquez sur le lien Mot de passe oublié ? situé sous les champs de connexion.
WordPress vous demande votre identifiant ou votre adresse e-mail. Saisissez l’un ou l’autre, puis cliquez sur Obtenir un nouveau mot de passe. Un lien de réinitialisation est alors envoyé à l’adresse e-mail associée à votre compte utilisateur WordPress. Cliquez sur ce lien, choisissez un nouveau mot de passe fort et confirmez. Vous pouvez ensuite vous reconnecter normalement.
Cette procédure fonctionne uniquement si l’adresse e-mail enregistrée dans votre profil est valide et accessible.
Que faire si l’e-mail de réinitialisation WordPress n’arrive pas 📭
C’est un problème fréquent. Voici les vérifications à effectuer dans l’ordre.
1. Vérifier les spams. L’e-mail WordPress est parfois filtré comme indésirable. Cherchez dans le dossier spam ou courrier indésirable de votre messagerie un e-mail provenant de wordpress@votresite.com ou de l’adresse administrateur du site.
2. Vérifier l’adresse e-mail du compte. Si vous avez changé d’adresse e-mail sans mettre à jour votre profil WordPress, le lien de réinitialisation part sur l’ancienne adresse. Dans ce cas, seule une méthode alternative (hébergeur ou base de données) permettra de récupérer l’accès.
3. Problème d’envoi d’e-mails WordPress. De nombreux hébergements partagés bloquent ou filtrent les e-mails envoyés par PHP, ce qui empêche WordPress d’envoyer correctement ses notifications. Pour diagnostiquer ce problème, un plugin comme WP Mail SMTP peut être installé après récupération de l’accès.
4. Utiliser la méthode hébergeur. La plupart des hébergeurs proposent, via leur interface cPanel ou via Softaculous, une option pour réinitialiser le mot de passe d’une installation WordPress directement. Connectez-vous à votre espace client ou à cPanel, cherchez votre installation WordPress dans Softaculous, et utilisez l’option de réinitialisation du mot de passe administrateur si disponible.
Réinitialiser le mot de passe WordPress via phpMyAdmin
Cette méthode est réservée aux utilisateurs à l’aise avec la base de données. Elle permet de modifier directement le mot de passe d’un compte administrateur WordPress lorsque tous les autres accès sont perdus.
Avant toute manipulation, effectuez une sauvegarde complète de votre base de données. Une erreur dans phpMyAdmin peut rendre le site inaccessible.
Étape 1 — Accéder à phpMyAdmin. Connectez-vous à votre espace d’hébergement (cPanel, Plesk ou interface propriétaire). Ouvrez phpMyAdmin depuis le menu « Bases de données ».
Étape 2 — Sélectionner la base de données WordPress. Dans le panneau de gauche, cliquez sur le nom de la base de données associée à votre site WordPress. Si vous avez plusieurs bases, vérifiez le fichier wp-config.php de votre site pour trouver le bon nom (DB_NAME).
Étape 3 — Ouvrir la table wp_users. Dans la liste des tables, cliquez sur wp_users (le préfixe wp_ peut être différent si vous l’avez personnalisé lors de l’installation). Cette table contient tous les comptes utilisateurs WordPress.
Étape 4 — Modifier le champ user_pass. Repérez la ligne correspondant au compte administrateur à modifier. Cliquez sur Modifier (icône crayon). Trouvez le champ user_pass. Dans la liste déroulante « Fonction », sélectionnez MD5. Dans le champ « Valeur », saisissez votre nouveau mot de passe en clair (MD5 l’encodera automatiquement). Cliquez sur Exécuter pour enregistrer.
Étape 5 — Tester la connexion. Retournez sur votresite.com/wp-login.php et connectez-vous avec l’identifiant et le nouveau mot de passe que vous venez de définir.
Si la table s’appelle autreprefix_users au lieu de wp_users, cherchez la table dont le nom se termine par _users dans votre base.
Sécuriser WordPress après un changement de mot de passe 🔒
Changer de mot de passe est une bonne occasion de faire un audit rapide de la sécurité de votre site WordPress.
Choisir un mot de passe fort. Utilisez un mot de passe d’au moins 12 caractères combinant lettres majuscules et minuscules, chiffres et caractères spéciaux. Évitez les mots du dictionnaire, les dates de naissance ou les noms communs. Le générateur intégré de WordPress produit des mots de passe conformes à ces critères.
Vérifier les sessions actives. Depuis votre profil WordPress, la section « Sessions » vous permet de voir les connexions actives et de toutes les déconnecter en un clic. Utile en cas de doute sur un accès non autorisé.
Auditer les comptes administrateurs. Allez dans Utilisateurs > Tous les utilisateurs et filtrez par rôle « Administrateur ». Si vous découvrez des comptes inconnus avec des droits admin, supprimez-les immédiatement. Un compte administrateur non identifié est souvent le signe d’un piratage.
Activer la double authentification. Des plugins comme Two Factor ou WP 2FA permettent d’ajouter une couche de vérification supplémentaire à la connexion WordPress. Après saisie du mot de passe, un code temporaire est exigé, ce qui bloque l’accès même si le mot de passe est compromis.
Mettre WordPress à jour. Un site WordPress à jour (noyau, thèmes, plugins) réduit considérablement le risque d’exploitation de failles connues. Si un changement de mot de passe fait suite à un incident de sécurité, passez en revue tous les plugins installés et désactivez ceux qui ne sont plus maintenus.
Les erreurs fréquentes à éviter lors de la réinitialisation
Plusieurs erreurs courantes compliquent inutilement la récupération d’un accès WordPress.
Saisir l’adresse e-mail incorrecte lors de la demande de réinitialisation génère une erreur silencieuse : WordPress n’indique pas si l’e-mail existe ou non pour des raisons de sécurité. Essayez avec votre identifiant plutôt que votre e-mail si la première tentative échoue.
Confondre l’identifiant et l’adresse e-mail est une autre source d’erreur. Sur wp-login.php, le champ de connexion accepte les deux, mais ils doivent correspondre exactement à ce qui est enregistré dans la base de données WordPress.
Modifier la mauvaise ligne dans phpMyAdmin peut verrouiller un autre compte utilisateur. Vérifiez toujours le champ user_login pour confirmer que vous modifiez bien le bon compte avant d’enregistrer.
Enfin, utiliser un encodage autre que MD5 dans phpMyAdmin peut rendre le mot de passe illisible par WordPress. WordPress utilise en réalité un hachage plus complexe en interne (phpass), mais MD5 est reconnu et accepté lors de la prochaine connexion, qui le convertira automatiquement au bon format. Cette conversion est transparente pour l’utilisateur et ne nécessite aucune action supplémentaire.
