Logo
WP Fix by Blimx

Bloqueado de WordPress: 7 métodos de recuperación, de fácil a difícil

Actualizado:
AccessRecovery

Cuando la forma fácil no funciona

Haces click en "¿Olvidaste tu contraseña?" en la página de login de WordPress. El email nunca llega. O sí, pero el link de reset devuelve un error. O no puedes acceder a la cuenta de email en absoluto. O tienes 2FA habilitado y perdiste el dispositivo.

Estás bloqueado de WordPress. Aquí hay siete métodos para volver a entrar, ordenados de fácil a difícil. Elige el primero que coincida con qué acceso aún tienes.

Método 1 — El link "Lost password" apropiado

Aunque lo intentaste una vez, vuelve a intentarlo ahora. El intento original puede haber fallado por razones que desde entonces se resolvieron.

Checklist antes de reintentar

  • Confirma la dirección de email en archivo: la mayoría de sitios WordPress envían a la dirección en la cuenta de usuario, que puede no ser la que recuerdas
  • Revisa carpetas de spam, promociones y cuarentena en tu email
  • Verifica que el email de tu dominio esté enviando correctamente: envíate un email desde otra cuenta
  • Espera 10–15 minutos — algunos hostings hacen cola del correo

Si el email de reset llega, terminaste. Resetea la contraseña y guárdala en un password manager esta vez.

Método 2 — Reset vía panel del hosting (phpMyAdmin)

Si el email de reset no llega (servidor de mail roto, problemas DNS del dominio), bypasea WordPress y actualiza la contraseña directamente en la base de datos.

Paso a paso

  1. Entra al panel del hosting (cPanel, Plesk, DirectAdmin)
  2. Abre phpMyAdmin
  3. Selecciona tu base de datos WordPress
  4. Busca la tabla wp_users (tu prefijo puede ser diferente)
  5. Localiza la fila con tu username
  6. Click en Editar en esa fila
  7. En el campo user_pass, pega un hash MD5 de tu nueva contraseña (usa cualquier generador MD5 online), y cambia el dropdown al lado a MD5
  8. Guarda la fila
  9. Entra con tu nueva contraseña — WordPress detectará el MD5 y convertirá a bcrypt automáticamente

Crítico: usa esto solo si controlas el panel del hosting. Si estás usando credenciales robadas, esto es acceso no autorizado.

Método 3 — Reset de contraseña con WP-CLI

Si tienes acceso SSH al servidor, este es el método más limpio.

# Navega a la raíz WordPress
cd /var/www/yoursite

# Lista usuarios para confirmar el username
wp user list

# Resetea contraseña para un usuario específico
wp user update yourusername --user_pass='NewStrongPassword123!'

WP-CLI maneja el hash bcrypt, la actualización del user meta y la invalidación de sesión correctamente. Es lo que usamos el 80% del tiempo durante trabajos de acceso de emergencia.

Si WP-CLI no está instalado en el servidor:

curl -O https://raw.githubusercontent.com/wp-cli/builds/gh-pages/phar/wp-cli.phar
chmod +x wp-cli.phar
sudo mv wp-cli.phar /usr/local/bin/wp

Hecho en 30 segundos.

Método 4 — Admin de emergencia vía SQL directo

Si tu cuenta de usuario está corrupta de alguna forma (rol equivocado, meta faltante), no te molestes en arreglarla — crea un usuario admin completamente nuevo vía SQL.

-- Insertar un nuevo usuario admin
INSERT INTO wp_users (user_login, user_pass, user_nicename, user_email, user_registered, display_name)
VALUES ('emergency_admin', MD5('TempPassword123!'), 'emergency_admin', 'you@example.com', NOW(), 'Emergency Admin');

-- Obtener el ID del usuario
SELECT @userid := LAST_INSERT_ID();

-- Otorgar rol admin
INSERT INTO wp_usermeta (user_id, meta_key, meta_value)
VALUES (@userid, 'wp_capabilities', 'a:1:{s:13:"administrator";b:1;}');

INSERT INTO wp_usermeta (user_id, meta_key, meta_value)
VALUES (@userid, 'wp_user_level', '10');

Entra como emergency_admin, arregla lo que estaba mal con tu usuario original, luego borra emergency_admin.

Método 5 — Mu-plugin de emergencia

Si no puedes alcanzar phpMyAdmin o SSH pero tienes acceso FTP, este es un workaround ingenioso. Crea un archivo en wp-content/mu-plugins/ (crea la carpeta si no existe) llamado emergency-admin.php:

<?php
add_action('init', function () {
    $username = 'emergency_admin';
    $password = 'TempPassword123!';
    $email = 'you@example.com';

    if (!username_exists($username)) {
        $user_id = wp_create_user($username, $password, $email);
        $user = new WP_User($user_id);
        $user->set_role('administrator');
    }
});

Sube vía FTP. Visita cualquier página de tu sitio. WordPress ejecutará el mu-plugin y creará el usuario admin.

Inmediatamente después: entra con las nuevas credenciales, borra el archivo mu-plugin y cambia la contraseña a algo fuerte.

Este método bypasea plugins de seguridad porque los mu-plugins corren antes que cualquier otro plugin. Lo usamos en sitios donde Wordfence o iThemes Security ha bloqueado al usuario admin real.

Método 6 — Desactivar plugins vía FTP

Si estás bloqueado porque un plugin de seguridad te está bloqueando (bloqueo por IP, mala config de 2FA), no necesitas resetear la contraseña — necesitas desactivar ese plugin.

Paso a paso

  1. Entra vía FTP/SFTP
  2. Navega a wp-content/plugins/
  3. Renombra la carpeta del plugin problemático (ej., wordfencewordfence-disabled)
  4. WordPress detecta que el plugin falta y auto-desactiva
  5. Entra a wp-admin normalmente
  6. Arregla la configuración (whitelist tu IP, regenera 2FA, etc.)
  7. Renombra la carpeta de vuelta

Este es el enfoque correcto cuando el bloqueo es inducido por plugin, no por contraseña. Resetear tu contraseña no ayudará si el plugin está bloqueando por IP.

Método 7 — Restauración completa desde backup

Último recurso. Si los métodos 1–6 no funcionan o has creado tanto daño intentando que la base de datos está en un estado raro, restaura desde un backup reciente.

Cuándo usar esto

  • Tus datos de usuario están corruptos más allá de arreglo fácil
  • Una intervención de emergencia previa creó inconsistencias de datos
  • La cuenta de hosting está comprometida y no puedes confiar en ningún estado actual
  • Múltiples métodos han fallado sin causa clara

Procedimiento

  1. Confirma que el backup es reciente (dentro de horas, no días) — de otra forma perderás datos recientes
  2. Restaura las tablas de base de datos que mantienen datos de usuario: wp_users, wp_usermeta, wp_options (esta última mantiene claves de sesión)
  3. Intenta entrar con credenciales de cuando se tomó el backup

Si no tienes backups recientes, este método no está disponible. Por eso existen los backups.

Árbol de decisión

¿Puedes recibir email en la dirección de tu cuenta WP?
├── Sí → Método 1 (Link "Lost password")
└── No
    ├── ¿Tienes acceso al panel del hosting?
    │   ├── Sí → Método 2 (phpMyAdmin) o Método 3 (WP-CLI)
    │   └── No
    │       ├── ¿Tienes acceso FTP?
    │       │   ├── Sí → Método 5 (mu-plugin) o Método 6 (desactivar plugin)
    │       │   └── No → Método 7 (backup) o llámanos
    └── ¿Hay un plugin causando el bloqueo (no credenciales)?
        └── Sí → Método 6 (desactivar plugin vía FTP)

Endurecimiento para prevenir bloqueos futuros

Una vez que vuelves a entrar, haz estas cosas inmediatamente:

  • Configura una cuenta admin secundaria con un email diferente (idealmente de dominio diferente)
  • Documenta códigos de respaldo para 2FA, almacenados offline
  • Guarda todas las credenciales admin en un password manager con acceso compartido de familia/equipo
  • Whitelist la IP de tu oficina en tu plugin de seguridad (si tienes uno)
  • Prueba el flujo "lost password" tú mismo — ¿el email realmente llega?
  • Programa backups semanales incluyendo la base de datos

Errores comunes durante la recuperación

  • Hacer click repetidamente en "Lost password" — la mayoría de hostings rate-limitean esto; clicks múltiples pueden extender el cooldown
  • Editar wp-config.php a ciegas — ediciones accidentales causan nuevos bloqueos
  • Reinstalar el core de WordPress — no ayuda con datos de usuario; solo reemplaza archivos de código
  • Borrar la tabla de usuarios — catastrófico; pierdes cada cuenta de usuario
  • Usar "herramientas de reset de contraseña WordPress" online — son estafas que piden tus credenciales DB

Cuándo llamar a un especialista

Si has probado 3 métodos y sigues bloqueado, deja de intentar. Cada intento adicional arriesga empeorar el estado de la base de datos. Hacemos recuperación de acceso de emergencia rutinariamente — tiempo promedio de resolución es 15 minutos.

Acceso de emergencia — típicamente resolvemos bloqueos en 15 minutos. Bloqueado fuera del admin y loop de redirect de login cubren escenarios relacionados.