Restablecer contraseñas en WordPress no funciona arreglo

¿Por qué no funciona restablecer contraseña en WordPress?

Cuando el proceso de restablecer contraseñas en WordPress no funciona, el problema suele estar relacionado con tres grandes áreas: el sistema de correo de la web, la base de datos de usuarios o conflictos con plugins y configuraciones de seguridad. Entender de dónde viene el fallo es el primer paso para aplicar un arreglo eficaz y definitivo.

En la mayoría de los casos, el usuario intenta recuperar el acceso desde la pantalla de /wp-login.php?action=lostpassword, introduce su correo o nombre de usuario, y ocurre alguno de estos escenarios:

• No llega el correo de restablecimiento de contraseña.
• El enlace del correo da error 404 o redirige a otra página.
• El enlace indica que el token ha caducado o no es válido.
• Tras cambiar la contraseña, WordPress sigue sin dejar iniciar sesión.

Cada uno de estos síntomas apunta a una causa distinta: problemas de envío de email, configuración del dominio, caché, reglas de seguridad, o incluso corrupción de la base de datos. A lo largo de esta guía verás cómo diagnosticar y aplicar el arreglo adecuado paso a paso.

Comprobaciones básicas antes de arreglar el problema

Antes de entrar en soluciones avanzadas, conviene descartar errores simples que suelen ser la causa real de que el restablecimiento de contraseña en WordPress no funcione. Estas comprobaciones iniciales ahorran tiempo y evitan cambios innecesarios en la configuración del sitio.

• Verificar correo y usuario: asegúrate de que el email o nombre de usuario introducido existe realmente en la instalación de WordPress.
• Revisar carpeta de spam: muchos correos de restablecimiento acaban en spam o promociones, sobre todo si no usas un proveedor SMTP fiable.
• Probar con otro navegador o modo incógnito: cookies corruptas o extensiones del navegador pueden interferir con el proceso de login.
• Desactivar temporalmente CDN o caché agresiva: servicios como Cloudflare o plugins de caché pueden servir versiones antiguas de la página de login.
• Confirmar la URL correcta de acceso: si has cambiado la URL de login con un plugin de seguridad, el enlace estándar de WordPress puede no funcionar.

Si tras estas comprobaciones el problema persiste, es momento de revisar el sistema de correo, la base de datos y los posibles conflictos con plugins o temas, tal como se detalla en las siguientes secciones.

Problemas con el correo de restablecimiento de contraseña

El motivo más habitual por el que restablecer contraseñas en WordPress no funciona es que el correo de recuperación nunca llega al usuario. WordPress, por defecto, utiliza la función wp_mail(), que a su vez depende de la configuración de correo del servidor. Si esta configuración es deficiente, los emails se pierden o son marcados como spam.

1. Comprobar si WordPress está enviando correos

Para saber si el problema está en el envío de correos, instala temporalmente un plugin de registro o prueba de email. Algunos ejemplos:

• WP Mail SMTP
• Check & Log Email
• Easy WP SMTP

Con uno de estos plugins puedes enviar un correo de prueba a tu dirección. Si no lo recibes, el problema está en el servidor o en la configuración SMTP. Si lo recibes, pero el correo de restablecimiento no llega, puede haber filtros específicos o bloqueos de seguridad.

2. Configurar un proveedor SMTP fiable

La solución más estable consiste en usar un proveedor SMTP externo en lugar del correo nativo del servidor. Esto mejora la entregabilidad y reduce la probabilidad de que el correo de restablecimiento acabe en spam.

• Servicios recomendados: Sendinblue, Mailgun, Amazon SES, Gmail/Google Workspace, SMTP de tu hosting.
• Configura el plugin WP Mail SMTP (u otro similar) con los datos de tu proveedor.
• Verifica el dominio y configura registros SPF, DKIM y DMARC en tu DNS.

Una vez configurado, vuelve a solicitar un restablecimiento de contraseña y comprueba si el correo llega correctamente. Si sigue sin llegar, revisa los registros del proveedor SMTP para ver si hay rebotes o bloqueos.

3. Revisar remitente y contenido del correo

Algunos filtros antispam son muy estrictos con el remitente y el contenido del mensaje. Asegúrate de que:

• El correo de origen pertenece al mismo dominio que tu web (por ejemplo, no-reply@tudominio.com).
• No utilizas direcciones genéricas gratuitas (como @gmail.com) en el remitente de un dominio corporativo.
• El asunto y el contenido del correo no contienen palabras típicamente marcadas como spam.

Restablecer la contraseña desde la base de datos (phpMyAdmin)

Si el sistema de correo falla o necesitas un acceso urgente, puedes restablecer la contraseña de WordPress directamente desde la base de datos usando phpMyAdmin u otra herramienta similar. Este método es seguro siempre que sigas los pasos con cuidado y tengas acceso al panel de control del hosting.

1. Identificar la base de datos correcta

Accede al panel de tu hosting (cPanel, Plesk u otro) y abre phpMyAdmin. Si tienes varias bases de datos, localiza el nombre correcto consultando el archivo wp-config.php en la raíz de tu instalación de WordPress. Busca la línea:

define('DB_NAME', 'nombre_de_tu_base_de_datos');

Con ese dato, selecciona la base de datos correspondiente en phpMyAdmin.

2. Editar el usuario en la tabla de usuarios

Dentro de la base de datos, busca la tabla de usuarios. Por defecto se llama wp_users, aunque el prefijo wp_ puede variar si lo cambiaste en la instalación.

• Haz clic en la tabla de usuarios (por ejemplo, wp_users).
• Localiza el usuario administrador al que quieres cambiar la contraseña.
• Pulsa en Editar en la fila correspondiente.

En el campo user_pass, selecciona en el desplegable de funciones la opción MD5 e introduce una nueva contraseña en texto plano (por ejemplo, NuevaClaveSegura!2025).

Guarda los cambios. WordPress detectará el hash MD5 y lo actualizará internamente al formato de contraseña actual en el siguiente inicio de sesión.

3. Verificar el acceso y cambiar la contraseña desde el panel

Una vez modificado el campo user_pass, intenta iniciar sesión en /wp-login.php con el usuario y la nueva contraseña. Si accedes correctamente, ve a tu perfil de usuario y cambia la contraseña por otra aún más segura utilizando el generador de WordPress.

Restablecer la contraseña vía FTP o archivo wp-config.php

Si no tienes acceso a phpMyAdmin pero sí a los archivos del servidor mediante FTP o el administrador de archivos del hosting, existen alternativas para recuperar el acceso y arreglar el problema de restablecimiento de contraseña en WordPress.

1. Crear un usuario administrador temporal mediante código

Puedes crear un usuario administrador temporal añadiendo unas líneas de código en el archivo functions.php de tu tema activo. Este método debe usarse con extrema precaución y eliminarse inmediatamente después de recuperar el acceso.

function crear_admin_temporal(){
  $user = 'admin_temporal';
  $pass = 'ClaveSegura!2025';
  $email = 'tu-correo@tudominio.com';

  if ( !username_exists( $user ) && !email_exists( $email ) ) {
    $user_id = wp_create_user( $user, $pass, $email );
    $user = new WP_User( $user_id );
    $user->set_role( 'administrator' );
  }
}
add_action('init','crear_admin_temporal');

Tras añadir este código y cargar cualquier página de tu sitio, podrás iniciar sesión con el usuario y contraseña indicados. Una vez dentro, crea un nuevo administrador definitivo o restablece la contraseña del usuario original y, muy importante, elimina el código del archivo functions.php.

2. Depurar errores desde wp-config.php

En algunos casos, el problema al restablecer contraseñas está relacionado con errores de PHP o conflictos que se muestran solo en el proceso de login. Para detectar estos errores, puedes activar el modo de depuración en wp-config.php:

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true );
define( 'WP_DEBUG_DISPLAY', false );

Con esto, los errores se registrarán en el archivo /wp-content/debug.log. Repite el proceso de restablecer contraseña y revisa el archivo de log para detectar plugins, temas o funciones que estén provocando el fallo.

Conflictos con plugins y temas que bloquean el restablecimiento

Muchos sitios WordPress utilizan plugins de seguridad, de personalización de login o de membresía que modifican el comportamiento estándar de la página de acceso. Estos plugins, mal configurados o desactualizados, pueden impedir que el restablecimiento de contraseña funcione correctamente.

1. Plugins de seguridad y protección de login

Plugins como Wordfence, iThemes Security, All In One WP Security & Firewall, o similares, pueden:

• Bloquear temporalmente la IP del usuario tras varios intentos fallidos.
• Desactivar la funcionalidad de "¿Has olvidado tu contraseña?" por motivos de seguridad.
• Redirigir la URL de login a otra ruta personalizada.

Para descartar este tipo de conflictos, desactiva temporalmente los plugins de seguridad renombrando su carpeta por FTP (por ejemplo, de wordfence a wordfence-desactivado) y prueba de nuevo el proceso de restablecimiento.

2. Plugins que cambian la URL de login

Herramientas como WPS Hide Login, Rename wp-login.php u otros plugins similares permiten cambiar la ruta de acceso al panel de administración. Si el enlace de restablecimiento apunta a la URL estándar /wp-login.php, pero tu sitio usa una URL personalizada, el enlace puede fallar o mostrar un error 404.

• Comprueba la configuración del plugin que modifica la URL de login.
• Asegúrate de que el enlace de restablecimiento apunta a la URL correcta.
• Si es necesario, desactiva temporalmente el plugin renombrando su carpeta.

3. Temas y constructores que personalizan el formulario de acceso

Algunos temas premium y constructores visuales (Elementor, Divi, etc.) incluyen módulos de formulario de login personalizados. Si estos formularios no están bien integrados con el sistema nativo de WordPress, el proceso de restablecer contraseña puede romperse.

Para comprobar si el problema viene del tema:

• Cambia temporalmente al tema por defecto (por ejemplo, Twenty Twenty-Four).
• Accede a la URL estándar de login: /wp-login.php.
• Prueba el proceso de "¿Has olvidado tu contraseña?" desde el formulario nativo.

Errores comunes en la URL de login y enlaces de restablecimiento

Incluso cuando el correo de restablecimiento se envía correctamente, el enlace puede no funcionar por problemas con la URL, la configuración de enlaces permanentes o reglas de redirección en el servidor. Estos errores son frecuentes tras migraciones, cambios de dominio o ajustes de seguridad.

1. Enlaces que devuelven error 404 o página en blanco

Si al hacer clic en el enlace de restablecimiento ves un error 404, una página en blanco o una redirección inesperada, revisa:

• El archivo .htaccess en la raíz de WordPress, por si contiene reglas personalizadas que afecten a /wp-login.php.
• Plugins de redirección (Redirection, Rank Math, Yoast, etc.) que puedan estar forzando cambios en la URL de login.
• Configuraciones de CDN o firewall de aplicaciones web (WAF) que bloqueen parámetros de la URL.

Como prueba, puedes renombrar temporalmente el archivo .htaccess y dejar que WordPress genere uno nuevo desde Ajustes > Enlaces permanentes. Esto ayuda a descartar reglas corruptas.

2. Tokens de restablecimiento caducados o no válidos

El enlace de restablecimiento de contraseña incluye un token de seguridad que caduca tras un tiempo o si se usa más de una vez. Si el usuario tarda demasiado en hacer clic o solicita varios restablecimientos seguidos, es posible que el token deje de ser válido.

• Indica a los usuarios que utilicen siempre el enlace más reciente recibido.
• Evita que se generen múltiples solicitudes de restablecimiento en poco tiempo.
• Comprueba que la hora del servidor sea correcta, ya que una desincronización puede afectar a la validez de los tokens.

3. Problemas tras migraciones o cambios de dominio

Después de migrar un sitio o cambiar de dominio, es habitual que queden referencias antiguas en la base de datos o en la configuración que afecten al proceso de login y restablecimiento de contraseña.

Verifica que:

• Las URLs del sitio en Ajustes > Generales (Dirección de WordPress y Dirección del sitio) son correctas.
• No hay reglas de redirección antiguas en .htaccess o en el panel del hosting.
• Los enlaces en los correos de restablecimiento apuntan al dominio actual y no al anterior.

Mejores prácticas de seguridad para contraseñas en WordPress

Arreglar el problema de restablecer contraseñas en WordPress es solo una parte de la ecuación. También es fundamental aplicar buenas prácticas de seguridad para reducir el riesgo de accesos no autorizados y minimizar la necesidad de restablecimientos frecuentes.

1. Uso de contraseñas robustas y únicas

Todas las cuentas con acceso al panel de administración deberían utilizar contraseñas largas, únicas y difíciles de adivinar. Recomienda a tus usuarios:

• Utilizar al menos 12–16 caracteres combinando letras, números y símbolos.
• No reutilizar contraseñas de otros servicios.
• Usar un gestor de contraseñas para almacenarlas de forma segura.

2. Activar la autenticación en dos pasos (2FA)

La autenticación en dos factores añade una capa extra de seguridad al requerir un código temporal además de la contraseña. Muchos plugins de seguridad para WordPress permiten activar 2FA para administradores y otros roles críticos.

Con 2FA activado, incluso si un atacante obtiene la contraseña, no podrá acceder sin el segundo factor (por ejemplo, una app de autenticación en el móvil).

3. Limitar intentos de login y proteger la URL de acceso

Limitar el número de intentos de inicio de sesión desde una misma IP reduce la eficacia de ataques de fuerza bruta. Además, cambiar la URL de login por defecto puede disminuir los intentos automatizados.

• Configura un límite razonable de intentos fallidos (por ejemplo, 3–5).
• Activa bloqueos temporales o permanentes para IPs maliciosas.
• Considera mover la URL de login, pero documenta bien el cambio para evitar confusiones.

Cómo prevenir futuros problemas al restablecer contraseñas

Una vez que has conseguido arreglar que el restablecimiento de contraseñas en WordPress no funcione, es importante implementar medidas preventivas para que el problema no reaparezca con futuras actualizaciones, cambios de hosting o modificaciones de seguridad.

1. Mantener WordPress, temas y plugins actualizados

Muchas incidencias de login y restablecimiento se deben a incompatibilidades entre versiones antiguas de plugins y el núcleo de WordPress. Mantener todo actualizado reduce errores y vulnerabilidades.

• Activa actualizaciones automáticas para el núcleo y plugins de confianza.
• Revisa periódicamente los registros de cambios de los plugins de seguridad y login.
• Elimina plugins y temas que no utilices para reducir la superficie de ataque.

2. Monitorizar el sistema de correo de la web

Configura alertas o revisiones periódicas para asegurarte de que los correos transaccionales (incluidos los de restablecimiento de contraseña) se están enviando y entregando correctamente.

• Revisa los informes de tu proveedor SMTP al menos una vez al mes.
• Haz pruebas manuales de restablecimiento de contraseña tras cambios importantes en el sitio.
• Supervisa tasas de rebote y quejas de spam para mantener una buena reputación de envío.

3. Documentar el flujo de acceso y soporte a usuarios

Si gestionas un sitio con múltiples usuarios, documenta claramente el proceso de acceso y recuperación de contraseña. Esto reduce errores de uso y peticiones de soporte innecesarias.

• Crea una página de ayuda con instrucciones para iniciar sesión y restablecer la contraseña.
• Incluye capturas de pantalla actualizadas del formulario de acceso.
• Indica tiempos aproximados de recepción del correo y qué hacer si no llega.

Preguntas frecuentes