Kiến thức Hữu ích 😍

Lấy lại mật khẩu admin WordPress – Hướng dẫn nhanh, dễ thực hiện

Quên mật khẩu admin WordPress là một trong những tình huống phổ biến và gây khó chịu nhất mà người quản trị website có thể gặp phải. Cảm giác bất lực khi bị khoá ngoài “ngôi nhà số” của chính mình có thể làm gián đoạn mọi kế hoạch công việc, từ việc đăng bài mới đến cập nhật các thông tin quan trọng. Vấn đề không chỉ dừng lại ở việc quên thông tin đăng nhập, mà còn ở chỗ nhiều người không biết nguyên nhân sâu xa hoặc loay hoay không tìm được phương pháp khôi phục an toàn và hiệu quả. Bài viết này của AZWEB sẽ là kim chỉ nam, hướng dẫn bạn chi tiết từng bước lấy lại mật khẩu quản trị WordPress, từ những cách đơn giản nhất như sử dụng tính năng “Quên mật khẩu” cho đến các kỹ thuật chuyên sâu hơn như can thiệp vào phpMyAdmin là gì hay tệp functions.php. Chúng ta sẽ cùng nhau phân tích nguyên nhân, khám phá các giải pháp và trang bị những kiến thức bảo mật cần thiết để bạn không bao giờ phải đối mặt với tình trạng này một lần nữa.

Nguyên nhân dẫn đến mất hoặc quên mật khẩu admin WordPress

Việc mất quyền truy cập vào trang quản trị WordPress có thể xuất phát từ nhiều nguyên nhân khác nhau, từ lỗi chủ quan của người dùng đến các yếu tố kỹ thuật và bảo mật bên ngoài. Hiểu rõ các nguyên nhân này là bước đầu tiên để bạn có thể phòng tránh và xử lý sự cố một cách hiệu quả hơn trong tương lai.

Đặt mật khẩu phức tạp nhưng không lưu trữ

Trong nỗ lực tăng cường bảo mật, nhiều người dùng thường tạo ra các mật khẩu rất phức tạp, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Đây là một thói quen tốt, tuy nhiên, vấn đề phát sinh khi bạn không có một phương pháp lưu trữ an toàn và hiệu quả. Việc chỉ ghi nhớ trong đầu hoặc ghi ra một mảnh giấy dễ thất lạc có thể khiến bạn nhanh chóng quên đi mật khẩu phức tạp đó. Nếu không sử dụng các cách quản lý mật khẩu an toàn, nguy cơ quên mật khẩu gần như là điều chắc chắn sẽ xảy ra.

Hình minh họa

Tấn công của hacker hoặc phần mềm độc hại

Đây là một trong những nguyên nhân nguy hiểm nhất. Hacker có thể sử dụng nhiều phương thức để chiếm quyền truy cập vào website của bạn, chẳng hạn như tấn công Brute Force (thử liên tục các tổ hợp mật khẩu) hoặc dò tìm lỗ hổng bảo mật từ theme, plugin đã lỗi thời. Khi đã xâm nhập thành công, chúng sẽ ngay lập tức thay đổi mật khẩu quản trị viên để ngăn cản bạn truy cập. Ngoài ra, phần mềm độc hại được cài cắm vào website cũng có thể âm thầm đánh cắp thông tin đăng nhập của bạn, dẫn đến việc mất quyền kiểm soát hoàn toàn.

Sự cố do cập nhật hệ thống hoặc lỗi plugin

Đôi khi, việc mất mật khẩu không phải do bạn hay do hacker, mà đến từ chính các vấn đề kỹ thuật nội bộ. Quá trình cập nhật phiên bản WordPress, theme hoặc plugin nếu bị lỗi hoặc gián đoạn giữa chừng có thể gây ra xung đột và làm hỏng cơ sở dữ liệu, bao gồm cả bảng dữ liệu người dùng (users table). Một plugin không tương thích hoặc chứa lỗi cũng có thể vô tình can thiệp vào hệ thống xác thực là gì, khiến mật khẩu của bạn không còn hoạt động dù đã nhập chính xác.

Hình minh họa

Quản lý tài khoản không hiệu quả

Trong trường hợp website có nhiều người cùng quản trị, việc quản lý tài khoản lỏng lẻo có thể dẫn đến rủi ro. Ai đó có thể vô tình hoặc cố ý thay đổi mật khẩu mà không thông báo cho những người khác. Việc chia sẻ chung một tài khoản admin cho nhiều người cũng là một thói quen cực kỳ nguy hiểm, vì nó không chỉ gây khó khăn trong việc truy vết trách nhiệm khi có sự cố mà còn làm tăng nguy cơ lộ thông tin đăng nhập. Mỗi người quản trị nên có một tài khoản riêng với phân quyền phù hợp. Tốt nhất là áp dụng các giải pháp bảo mật nâng cao như 2fa là gì để bảo vệ tài khoản an toàn hơn.

Hướng dẫn lấy lại mật khẩu qua tính năng quên mật khẩu trên WordPress

Đây là phương pháp đơn giản, nhanh chóng và an toàn nhất được chính WordPress tích hợp sẵn. Nếu bạn vẫn còn quyền truy cập vào địa chỉ email đã dùng để đăng ký tài khoản admin, hãy luôn ưu tiên thử cách này đầu tiên.

Sử dụng chức năng “Quên mật khẩu” trên trang đăng nhập

Chức năng này được thiết kế để giúp người dùng tự khôi phục quyền truy cập một cách dễ dàng mà không cần can thiệp kỹ thuật phức tạp. Quy trình thực hiện vô cùng trực quan và bạn chỉ cần làm theo vài bước đơn giản.

Đầu tiên, hãy truy cập vào trang đăng nhập quản trị WordPress của bạn, thường có dạng `tenmiencuaban.com/wp-admin` hoặc `tenmiencuaban.com/wp-login.php`. Tại giao diện đăng nhập, ngay bên dưới ô nhập mật khẩu, bạn sẽ thấy một liên kết có tên là “Bạn quên mật khẩu?” (Lost your password?). Hãy nhấp vào liên kết này.

Hình minh họa

Sau khi nhấp vào, hệ thống sẽ chuyển bạn đến một trang mới và yêu cầu bạn nhập Tên người dùng hoặc Địa chỉ email đã liên kết với tài khoản quản trị viên của bạn. Hãy điền chính xác thông tin này và nhấn nút “Lấy mật khẩu mới”. WordPress sẽ tự động gửi một email chứa liên kết đặt lại mật khẩu đến địa chỉ email mà bạn đã đăng ký.

Khôi phục mật khẩu qua email đã đăng ký và lưu ý khi không nhận được email

Bây giờ, hãy mở hộp thư đến của địa chỉ email bạn vừa khai báo. Bạn sẽ thấy một email từ WordPress với tiêu đề tương tự như “[Tên Website Của Bạn] Password Reset”. Bên trong email này sẽ có một liên kết đặc biệt.

Hãy nhấp vào liên kết đó. Trình duyệt sẽ mở ra một trang mới, cho phép bạn nhập mật khẩu mới cho tài khoản của mình. WordPress thường sẽ đề xuất một mật khẩu mạnh tự động, bạn có thể sử dụng nó hoặc tự tạo một mật khẩu mới theo ý muốn. Sau khi nhập và xác nhận mật khẩu mới, hãy nhấn nút “Đặt lại mật khẩu”. Vậy là xong, bạn đã có thể sử dụng mật khẩu mới này để đăng nhập lại vào trang quản trị.

Trong trường hợp bạn đã thực hiện các bước trên nhưng chờ mãi không thấy email gửi về, hãy kiểm tra kỹ trong thư mục Spam hoặc Junk Mail. Đôi khi, các bộ lọc email có thể nhận diện nhầm đây là thư rác. Nếu vẫn không có, có thể do cấu hình gửi mail trên hosting của bạn đang gặp vấn đề hoặc địa chỉ email trong cơ sở dữ liệu không chính xác. Lúc này, bạn sẽ cần chuyển sang các phương pháp phức tạp hơn.

Hình minh họa

Khôi phục mật khẩu qua phpMyAdmin và sửa functions.php

Khi phương pháp khôi phục qua email không khả dụng, bạn vẫn còn hai cách kỹ thuật khác để lấy lại quyền truy cập. Các phương pháp này đòi hỏi bạn phải can thiệp trực tiếp vào cơ sở dữ liệu hoặc mã nguồn của website. Hãy thực hiện cẩn thận và sao lưu dữ liệu trước khi bắt đầu.

Sử dụng phpMyAdmin để đổi mật khẩu admin trực tiếp trong cơ sở dữ liệu

PhpMyAdmin là gì là một công cụ quản lý cơ sở dữ liệu MySQL phổ biến được tích hợp trong hầu hết các bảng điều khiển hosting như cPanel hay DirectAdmin. Phương pháp này cho phép bạn chỉnh sửa trực tiếp mật khẩu đã được mã hóa trong database.

Bước 1: Đăng nhập vào bảng điều khiển hosting và mở phpMyAdmin
Trước hết, bạn cần đăng nhập vào tài khoản hosting của mình. Tìm đến mục “Databases” và chọn “phpMyAdmin”.

Hình minh họa

Bước 2: Chọn đúng cơ sở dữ liệu của website WordPress
Trong giao diện phpMyAdmin, bạn sẽ thấy danh sách các cơ sở dữ liệu ở cột bên trái. Hãy chọn đúng tên cơ sở dữ liệu mà website WordPress của bạn đang sử dụng. Nếu không chắc chắn, bạn có thể kiểm tra tệp wp-config.php trong WordPress là gì trong thư mục gốc của website để tìm tên database.

Bước 3: Tìm đến bảng wp_users
Sau khi chọn database, một danh sách các bảng sẽ hiện ra. Hãy tìm và nhấp vào bảng có tên wp_users (tiền tố wp_ có thể khác tùy theo cấu hình của bạn). Đây là nơi lưu trữ thông tin của tất cả người dùng.

Hình minh họa

Bước 4: Chỉnh sửa thông tin người dùng admin
Trong bảng wp_users, bạn sẽ thấy danh sách các tài khoản. Hãy tìm đến dòng chứa tài khoản admin của bạn (dựa vào cột user_login) và nhấp vào nút “Edit” (Sửa) ở đầu dòng đó.

Bước 5: Cập nhật mật khẩu mới
Bạn sẽ được chuyển đến trang chỉnh sửa thông tin người dùng. Hãy tìm đến hàng user_pass. Tại cột “Value”, hãy xóa chuỗi ký tự mã hóa hiện tại và nhập mật khẩu mới mà bạn muốn đặt. Điều quan trọng nhất là ở cột “Function” ngay bên cạnh, bạn phải chọn MD5 từ danh sách thả xuống. WordPress sử dụng mã hóa MD5 cho mật khẩu, bước này đảm bảo mật khẩu mới của bạn được mã hóa đúng cách. Cuối cùng, kéo xuống dưới và nhấn nút “Go” để lưu lại thay đổi. Bây giờ bạn đã có thể đăng nhập bằng mật khẩu mới.

Sửa đổi tệp functions.php để đặt lại mật khẩu admin

Nếu bạn không thể truy cập phpMyAdmin, vẫn còn một cách khác là sử dụng tệp functions.php của theme bạn đang kích hoạt. Đây là một phương pháp mạnh mẽ nhưng cũng tiềm ẩn rủi ro nếu không thực hiện đúng cách.

Bước 1: Truy cập vào trình quản lý tệp của hosting
Đăng nhập vào hosting và mở “File Manager”. Điều hướng đến thư mục gốc của website WordPress, sau đó vào wp-content/themes/ và chọn thư mục của theme bạn đang sử dụng.

Bước 2: Chỉnh sửa tệp functions.php
Tìm tệp functions.php, nhấp chuột phải và chọn “Edit”. Hãy thêm đoạn mã sau vào ngay sau thẻ mở <?php:
wp_set_password('matkhaumoi', 1);

Trong đó, hãy thay thế 'matkhaumoi' bằng mật khẩu mới bạn muốn đặt, và 1 là ID của người dùng admin (thường tài khoản admin đầu tiên có ID là 1). Nếu bạn không chắc về ID, bạn có thể kiểm tra trong phpMyAdmin như hướng dẫn ở trên.

Hình minh họa

Bước 3: Đăng nhập và xóa đoạn mã
Lưu lại tệp functions.php. Bây giờ, hãy truy cập trang đăng nhập và sử dụng mật khẩu mới để vào trang quản trị. Sau khi đăng nhập thành công, điều quan trọng là bạn phải quay lại tệp functions.phpxóa ngay lập tức đoạn mã vừa thêm vào. Nếu không, WordPress sẽ liên tục đặt lại mật khẩu của bạn mỗi khi trang web được tải, gây ra lỗi và tiêu tốn nguồn lực máy chủ.

Common Issues/Troubleshooting

Ngay cả khi đã làm theo hướng dẫn, đôi khi bạn vẫn có thể gặp phải một số sự cố không mong muốn. Dưới đây là hai vấn đề thường gặp nhất và cách để khắc phục chúng, giúp bạn xử lý tình huống một cách bình tĩnh và hiệu quả hơn.

Không nhận được email cấp lại mật khẩu

Đây là sự cố phổ biến nhất khi sử dụng tính năng “Quên mật khẩu”. Bạn đã nhập đúng email hoặc tên người dùng nhưng chờ mãi vẫn không thấy email nào được gửi đến. Có một vài nguyên nhân chính gây ra tình trạng này.

Đầu tiên, hãy kiểm tra kỹ thư mục Spam (Thư rác) trong hộp thư của bạn. Các bộ lọc email đôi khi quá nhạy và có thể nhận diện nhầm email hệ thống của WordPress là thư rác. Thứ hai, có thể do chức năng gửi mail trên máy chủ hosting của bạn đang bị lỗi hoặc chưa được cấu hình đúng. Hàm wp_mail() của WordPress phụ thuộc vào cấu hình mail server để hoạt động. Trong trường hợp này, bạn nên liên hệ với nhà cung cấp dịch vụ hosting để kiểm tra và nhờ họ hỗ trợ. Cuối cùng, có khả năng địa chỉ email được lưu trong cơ sở dữ liệu của bạn không còn chính xác hoặc đã lỗi thời. Nếu bạn nghi ngờ nguyên nhân này, bạn sẽ cần sử dụng phương pháp phpMyAdmin để kiểm tra và cập nhật lại địa chỉ email trong bảng wp_users.

Hình minh họa

Lỗi không truy cập được phpMyAdmin hoặc chỉnh sửa functions.php

Khi các phương pháp đơn giản thất bại, bạn buộc phải tìm đến các giải pháp kỹ thuật hơn. Tuy nhiên, việc truy cập phpMyAdmin hoặc chỉnh sửa tệp functions.php cũng có thể gặp trở ngại.

Nếu bạn không thể đăng nhập vào phpMyAdmin, nguyên nhân thường là do bạn đã quên hoặc nhập sai thông tin đăng nhập của cPanel/hosting. Hãy thử khôi phục mật khẩu của tài khoản hosting trước. Trong một số trường hợp, nhà cung cấp hosting có thể đã tắt quyền truy cập trực tiếp vào phpMyAdmin vì lý do bảo mật. Lúc này, giải pháp tốt nhất là gửi yêu cầu hỗ trợ (support ticket) đến đội ngũ kỹ thuật của họ và nhờ họ hỗ trợ đặt lại mật khẩu admin WordPress giúp bạn.

Đối với việc chỉnh sửa tệp functions.php, lỗi thường gặp là không có quyền ghi (permission denied) khi cố gắng lưu tệp. Điều này xảy ra do thiết lập phân quyền tệp trên máy chủ. Bạn có thể sử dụng trình quản lý tệp trong hosting hoặc một ứng dụng FTP (như FileZilla) để thay đổi quyền của tệp functions.php thành 644. Một lỗi khác là sau khi thêm mã, website của bạn hiển thị “màn hình trắng chết chóc” (White Screen of Death). Điều này thường do bạn đã dán mã sai vị trí hoặc có lỗi cú pháp. Hãy đảm bảo bạn dán mã ngay sau thẻ <?php và không có ký tự lạ nào bị thêm vào.

Best Practices

Lấy lại mật khẩu chỉ là giải pháp tình thế. Điều quan trọng hơn là xây dựng các thói quen tốt để bảo vệ tài khoản của bạn và ngăn chặn sự cố này tái diễn trong tương lai. Dưới đây là những thực hành tốt nhất mà AZWEB khuyên bạn nên áp dụng ngay hôm nay.

  • Luôn lưu trữ mật khẩu an toàn và sử dụng trình quản lý mật khẩu: Thay vì cố gắng ghi nhớ hàng chục mật khẩu phức tạp, hãy sử dụng một công cụ quản lý mật khẩu uy tín như LastPass, Bitwarden, hoặc 1Password. Các công cụ này giúp bạn tạo ra và lưu trữ an toàn các mật khẩu cực mạnh cho mỗi trang web. Bạn chỉ cần nhớ một mật khẩu chủ duy nhất, mọi thứ còn lại sẽ được tự động điền một cách an toàn. Đây là giải pháp bảo mật nâng cao liên quan mật thiết đến mật khẩu là gì.
  • Thường xuyên cập nhật WordPress và plugin để tránh lỗi bảo mật: Các phiên bản cũ của WordPress, theme và plugin thường chứa các lỗ hổng bảo mật đã được biết đến. Hacker có thể lợi dụng những lỗ hổng này để xâm nhập vào website của bạn và thay đổi mật khẩu. Hãy luôn đảm bảo rằng toàn bộ hệ thống của bạn được cập nhật lên phiên bản mới nhất để nhận được các bản vá bảo mật kịp thời.
  • Không chia sẻ tài khoản admin với người không đáng tin cậy: Quyền quản trị viên (Administrator) là quyền lực cao nhất trên website. Chỉ cấp quyền này cho những người bạn hoàn toàn tin tưởng và thực sự cần đến nó. Đối với các cộng tác viên hoặc nhân viên khác, hãy tạo cho họ tài khoản riêng với các quyền hạn thấp hơn như Editor (Biên tập viên) hoặc Author (Tác giả) để giới hạn khả năng can thiệp vào các cài đặt quan trọng.
  • Sao lưu website định kỳ để phòng tránh mất dữ liệu và quyền truy cập: Việc sao lưu thường xuyên là tấm vé bảo hiểm quan trọng nhất cho website của bạn. Trong trường hợp xấu nhất, chẳng hạn như website bị tấn công và bạn mất hoàn toàn quyền kiểm soát, một bản sao lưu gần nhất sẽ giúp bạn khôi phục lại toàn bộ trang web về trạng thái ổn định trước đó. Hãy sử dụng các plugin sao lưu tự động như UpdraftPlus hoặc All-in-One WP Migration để lên lịch sao lưu hàng ngày hoặc hàng tuần. Tầm quan trọng của việc backup là gì không thể xem nhẹ.

Hình minh họa

Conclusion

Việc quên hay mất mật khẩu admin WordPress có thể gây ra sự hoang mang và gián đoạn công việc, nhưng đó không phải là dấu chấm hết. Như chúng ta đã thấy, có rất nhiều phương pháp để khôi phục quyền truy cập, từ cách đơn giản nhất là sử dụng tính năng “Quên mật khẩu” qua email cho đến các kỹ thuật chuyên sâu hơn như can thiệp vào phpMyAdmin hay tệp functions.php. Nắm vững các phương pháp này không chỉ giúp bạn giải quyết nhanh chóng sự cố khi nó xảy ra mà còn mang lại sự tự tin để quản lý website một cách chủ động hơn.

Nếu bạn đang đối mặt với tình trạng này, hãy bình tĩnh và thực hiện ngay các bước đã được hướng dẫn trong bài viết. Quan trọng hơn, hãy coi đây là một lời nhắc nhở để xem xét lại các biện pháp bảo mật cho website của mình. Đừng chờ đợi sự cố tiếp theo xảy ra, hãy hành động ngay hôm nay. Hãy bắt đầu bằng việc cài đặt một trình quản lý mật khẩu, thiết lập lịch cập nhật và sao lưu định kỳ, đồng thời rà soát lại quy trình quản lý tài khoản người dùng. Một website an toàn là nền tảng vững chắc cho sự phát triển lâu dài của bạn.

Đánh giá

Bùi Mạnh Đức

AZWEB Team

Hơn 10+ năm kinh nghiệm trong lĩnh vực thiết kế website và SEO, với hơn 200+ dự án thành công.

Hướng Dẫn Cài Laravel Nginx trên Ubuntu 20.04 Chi Tiết 21/09/2025 Lên Campaign Google Ads Hiệu Quả: Từ Nghiên Cứu Từ Khóa Đến Tối Ưu Ngân Sách 21/09/2025