Pocas cosas generan más estrés a un dueño de web que llegar a tudominio.com/wp-admin y descubrir que no puedes acceder a tu WordPress. La pantalla puede mostrar credenciales incorrectas aunque las introduzcas bien, una redirección infinita, una pantalla en blanco o un escueto error 403. Lo bueno es que en la inmensa mayoría de casos hay solución, y rara vez hay que reinstalar nada.

Esta guía recoge los siete métodos que más usamos para recuperar acceso a un WordPress, ordenados de menos a más invasivo. Empieza por el primero y baja solo si no funciona.

Síntomas: error de credenciales, redirección infinita, pantalla blanca o 403

Antes de probar soluciones, identifica qué te está pasando exactamente. Esto ahorra tiempo:

• «Nombre de usuario o contraseña no válidos» → la contraseña se ha corrompido o alguien la cambió. Empieza por el método 1.
• Redirección infinita entre /wp-admin/ y /wp-login.php → casi siempre es un plugin o el archivo .htaccess. Métodos 4 y 6.
• Pantalla en blanco al hacer login → conflicto de plugin o tema, o memoria PHP agotada. Métodos 4 y 5.
• Error 403 / Forbidden → suele ser un plugin de seguridad que ha bloqueado tu IP. Método 4.
• «No se puede acceder a este sitio web» → el problema no es WordPress, es DNS o servidor. Método 7.

Si lo tuyo es que tu web ha sido hackeada y por eso no puedes entrar, antes de probar nada lee WordPress hackeado: cómo recuperarlo paso a paso. Y si la sintomatología es de redirecciones extrañas, también te conviene problemas de redirección en WordPress.

1. Restablecer la contraseña por email

Lo obvio que casi nadie prueba bien. En la pantalla de login pulsa «¿Has olvidado tu contraseña?» e introduce tu correo o nombre de usuario. WordPress te enviará un enlace para crear una nueva.

Si el correo no llega: comprueba la carpeta de spam, espera 5 minutos (a veces tardan) y, si sigue sin aparecer, pasa al método 2 — probablemente tu WordPress no está enviando correos. De hecho, este es uno de los síntomas que tratamos en WordPress no envía correos: causas y cómo solucionarlo con SMTP.

2. Cambiar la contraseña desde phpMyAdmin

Si el correo de recuperación no funciona, la opción más rápida es cambiar la contraseña directamente en la base de datos. Para esto necesitas acceso al panel de hosting (cPanel, Plesk, hosting personalizado):

1. Entra en phpMyAdmin desde tu panel de hosting y selecciona la base de datos de WordPress.
2. Abre la tabla wp_users (el prefijo puede variar: wpxx_users).
3. Localiza tu usuario y pulsa «Editar».
4. En el campo user_pass, escribe la nueva contraseña en texto plano.
5. Importante: en el desplegable de función de la fila user_pass selecciona MD5. Esto encripta la contraseña como WordPress espera.
6. Pulsa «Continuar» para guardar y prueba a entrar con la nueva contraseña.

Si tu usuario no aparece en wp_users o la contraseña sigue sin funcionar tras esto, es probable que el problema no sea la contraseña en sí. Pasa al método 3.

3. Crear un nuevo usuario administrador vía functions.php

Cuando todo lo demás falla, puedes crear un nuevo usuario admin añadiendo unas líneas al archivo functions.php de tu tema activo (acceso vía FTP):

add_action('init', function() {
    $username = 'inicionet_admin';
    $password = 'cambiar_esta_contraseña_segura';
    $email = 'tu@correo.com';
    if (!username_exists($username) && !email_exists($email)) {
        $user_id = wp_create_user($username, $password, $email);
        $user = new WP_User($user_id);
        $user->set_role('administrator');
    }
});

Sube el archivo, visita la home una vez (eso ejecuta la creación), entra con el nuevo usuario y borra estas líneas inmediatamente para que no se vuelva a crear el usuario y para no dejar credenciales en el código. Una vez dentro, podrás recuperar tu cuenta original.

4. Desactivar todos los plugins por FTP

Cuando el síntoma es pantalla blanca, redirección infinita o error 500 al iniciar sesión, casi siempre es un plugin que ha entrado en conflicto. Por FTP o desde el gestor de archivos del hosting:

1. Navega a /wp-content/plugins/.
2. Renombra esa carpeta a plugins_off o plugins.bak.
3. WordPress detectará que no hay plugins y los desactivará todos a la vez.
4. Intenta entrar a /wp-admin/. Si entras, vuelve a renombrar la carpeta a plugins y reactívalos uno a uno desde el panel para identificar el culpable.

Si el problema venía de un plugin de seguridad que te había bloqueado por IP (Wordfence, iThemes Security, Limit Login Attempts), entrarás sin problema y podrás retirarte de la lista negra desde el panel del plugin.

5. Volver al tema por defecto por FTP

Si después de desactivar plugins sigues sin entrar, el problema puede estar en el tema. La solución es la misma idea, pero con la carpeta del tema:

1. Por FTP, ve a /wp-content/themes/.
2. Renombra la carpeta de tu tema activo (la verás por su nombre).
3. WordPress activará automáticamente el tema por defecto disponible (twentytwentyfour, twentytwentythree, etc.).
4. Intenta entrar al panel. Si funciona, el problema estaba en tu tema (probablemente en functions.php).

Una vez dentro, restaura el nombre original del tema y revisa qué se cambió la última vez.

6. Comprobar el archivo .htaccess y regenerarlo

El archivo .htaccess en la raíz de tu WordPress controla las redirecciones y URLs amigables. Si está corrupto, puedes ver redirecciones infinitas o errores de servidor.

Por FTP, descarga .htaccess como copia de seguridad, bórralo del servidor y prueba a entrar. Si funciona, ve a Ajustes → Enlaces permanentes en el panel y pulsa «Guardar cambios» sin tocar nada — eso regenera un .htaccess limpio. Si no quieres entrar al panel, este es el contenido por defecto que puedes pegar:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

7. Cuando «no se puede acceder a este sitio web» — DNS y servidor

Si el navegador devuelve «no se puede acceder a este sitio web» o «ERR_CONNECTION_REFUSED», el problema no es WordPress, es de infraestructura:

• Comprueba en downforeveryoneorjustme.com si la web está caída para todos o solo para ti.
• Verifica que tu hosting esté operativo (panel de cliente o status page del proveedor).
• Comprueba que el dominio no haya caducado y los DNS apunten al hosting correcto.
• Si has cambiado de hosting recientemente, los DNS pueden tardar hasta 48 horas en propagarse.
• Si todo lo anterior está bien y aún así no carga, contacta al soporte del hosting — es un problema en su infraestructura, no en tu WordPress.

Prevención: 2FA, Limit Login Attempts y backups automáticos

Una vez recuperado el acceso, dedica diez minutos a evitar que vuelva a pasar:

• Activa la verificación en dos pasos (2FA) con un plugin como Wordfence o miniOrange.
• Instala Limit Login Attempts Reloaded para bloquear intentos fuerza bruta contra tu login. Y añádete a una lista blanca de IPs si trabajas siempre desde el mismo sitio.
• Configura backups automáticos diarios fuera del propio servidor (UpdraftPlus a Google Drive o Dropbox es una opción gratuita y suficiente para la mayoría de webs).
• Revisa el listado de mejores plugins de seguridad WordPress y nuestra guía de cabeceras de seguridad HTTP en WordPress.
• Si quieres una visión más amplia, no te pierdas seguridad en la nube.

Preguntas frecuentes

¿Pierdo contenido al desactivar plugins por FTP?

No. Renombrar la carpeta de plugins solo los desactiva temporalmente; el contenido y la configuración siguen intactos en la base de datos. Cuando reactivas la carpeta, todo vuelve.

¿Cómo sé qué plugin está dando problemas si tengo veinte instalados?

Tras renombrar la carpeta y entrar al panel, vuelve a renombrarla a ‘plugins’ (sin reactivarlos en bloque) y actívalos uno a uno, recargando wp-admin entre cada uno. Cuando vuelva el problema, el último que activaste es el culpable.

¿Puedo entrar a phpMyAdmin si solo tengo FTP?

No. phpMyAdmin requiere acceso al panel de hosting (cPanel/Plesk) o credenciales de la base de datos para acceso directo. Si solo tienes FTP, contacta al hosting o usa el método 3 (functions.php).

¿Cuándo es momento de reinstalar WordPress desde cero?

Casi nunca. La reinstalación completa solo merece la pena si tu WordPress está infectado por malware extendido por todo el código y no hay backup limpio. En el 99 % de bloqueos de acceso basta con uno de los siete métodos anteriores.

Empieza por lo simple antes de tocar la base de datos: reglas de oro al recuperar el acceso

Quedarse fuera del panel de WordPress es estresante pero rara vez catastrófico. La regla número uno es respetar el orden: empezar siempre por el método más simple (resetear la contraseña por email) y bajar solo si no funciona, porque cuanto más bajes en la lista, más invasiva es la solución y mayor el riesgo de romper algo que ahora sí funciona. La regla número dos es hacer copia de seguridad antes de tocar nada: si vas a editar la base de datos, exporta antes la tabla wp_users; si vas a modificar functions.php o el .htaccess, descárgalos primero por FTP. Y la regla número tres es la prevención. Una vez recuperado el acceso, dedica diez minutos a activar 2FA, instalar Limit Login Attempts y configurar backups automáticos fuera del propio servidor. Esos diez minutos son los que separan al dueño de web que pasa por esto una vez del que lo sufre cada seis meses.