Pour accéder à wp-admin, rendez-vous sur https://votre-domaine.com/wp-admin/ (ou /wp-login.php pour la page de connexion directe). Saisissez votre identifiant (nom d’utilisateur ou adresse email) et votre mot de passe. Si la page affiche une erreur 404, vérifiez que WordPress est bien installé à la racine de votre domaine. Si vous avez oublié votre mot de passe, utilisez le lien « Mot de passe perdu ? » sur la page de connexion. wp-admin est le panneau d’administration central de WordPress : il donne accès aux articles, aux pages, aux plugins, aux thèmes et à tous les réglages du site.

WordPress propulse 43 % des sites web mondiaux. Pour tous ces sites, wp-admin reste l’interface centrale de gestion. Ce guide couvre l’accès, la récupération des identifiants, le diagnostic des problèmes courants et la sécurisation du tableau de bord.

Qu’est-ce que wp-admin dans WordPress ?

wp-admin désigne à la fois un chemin d’URL (/wp-admin/) et le répertoire physique sur le serveur qui contient les fichiers de l’administration WordPress. Quand un utilisateur connecté visite /wp-admin/, WordPress charge le tableau de bord (Dashboard), point d’entrée de toutes les fonctions d’administration.

Deux URLs sont liées à l’administration :

  • /wp-admin/ : redirige automatiquement vers la page de connexion si vous n’êtes pas authentifié, puis vers le tableau de bord.
  • /wp-login.php : la page de connexion elle-même, avec le formulaire identifiant/mot de passe et le lien « Mot de passe perdu ? ».

Le tableau de bord donne accès à l’ensemble de la gestion du site : publication de contenu, activation des plugins et des thèmes, réglages SEO, gestion des utilisateurs, et bien plus. Pour un hébergeur comme o2switch ou OVH, l’URL est identique, seul le domaine change.

Comment accéder à wp-admin : toutes les URLs possibles

L’URL de connexion dépend de l’endroit où WordPress est installé sur votre serveur.

WordPress installé à la racine du domaine (cas le plus courant) :

# Page de connexion directe
https://votre-domaine.com/wp-login.php

# Tableau de bord (redirige vers wp-login.php si non connecté)
https://votre-domaine.com/wp-admin/

WordPress installé dans un sous-répertoire (ex. /blog/) :

https://votre-domaine.com/blog/wp-login.php
https://votre-domaine.com/blog/wp-admin/

WordPress sur un sous-domaine :

https://blog.votre-domaine.com/wp-login.php

Pour retrouver l’URL exacte de votre installation, vérifiez la valeur siteurl dans la table wp_options de votre base de données, accessible via phpMyAdmin dans votre cPanel.

# Via WP-CLI, depuis le répertoire WordPress
wp option get siteurl
# Exemple de résultat : https://votre-domaine.com

Si vous ne connaissez pas l’URL ou si votre hébergeur utilise un sous-domaine temporaire lors de l’installation, consultez l’email de bienvenue de votre hébergeur ou le tableau de bord cPanel.

Identifiants oubliés : récupérer l’accès à wp-admin

Plusieurs méthodes permettent de retrouver l’accès quand on a oublié ses identifiants.

Méthode 1 : le lien « Mot de passe perdu ? » (la plus simple)

Sur /wp-login.php, cliquez sur « Mot de passe perdu ? ». Saisissez votre adresse email ou votre identifiant. WordPress envoie un lien de réinitialisation valable 24 heures. Si l’email n’arrive pas, vérifiez votre dossier spam ou confirmez que l’adresse email associée à votre compte est bien la bonne (via phpMyAdmin si nécessaire).

Méthode 2 : réinitialisation via WP-CLI

WP-CLI est disponible chez la plupart des hébergeurs (o2switch, Kinsta, WP Engine). Connectez-vous en SSH et exécutez :

# Lister les utilisateurs pour trouver l'ID de l'admin
wp user list

# Réinitialiser le mot de passe de l'utilisateur ID 1
wp user update 1 --user_pass="VotreNouveauMotDePasseSolide#2026"

# Vérifier la connexion
wp user get 1 --fields=user_login,user_email

Méthode 3 : modification via phpMyAdmin

Accédez à phpMyAdmin depuis votre cPanel, sélectionnez la base de données WordPress, ouvrez la table wp_users et cliquez sur « Modifier » pour votre compte administrateur. Dans le champ user_pass, sélectionnez la fonction MD5 dans le menu déroulant et entrez votre nouveau mot de passe en clair. phpMyAdmin le hachera automatiquement avant de l’enregistrer.

# Requête SQL équivalente (à exécuter dans l'onglet SQL de phpMyAdmin)
UPDATE wp_users
SET user_pass = MD5('VotreNouveauMotDePasse')
WHERE user_login = 'admin';

Note : la méthode MD5 est fonctionnelle pour récupérer l’accès, mais WordPress utilise en interne un hachage plus robuste (phpass). Changez immédiatement votre mot de passe depuis le profil utilisateur une fois reconnecté.

Problèmes courants quand wp-admin ne fonctionne pas

Plusieurs types d’erreurs peuvent empêcher l’accès au tableau de bord. Voici les plus fréquents et leurs solutions directes.

Erreur 404 : la page wp-admin est introuvable

Une erreur 404 sur /wp-admin/ indique souvent un problème de règles de réécriture. Commencez par régénérer le fichier .htaccess :

# Via FTP ou le gestionnaire de fichiers cPanel
# Renommez l'ancien .htaccess en .htaccess.bak, puis créez un nouveau fichier
# avec le contenu standard WordPress :

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Si l’erreur persiste, vérifiez que le module mod_rewrite est activé sur votre serveur Apache et que l’option AllowOverride All est bien configurée dans la configuration du virtualhost.

Erreur 403 : accès refusé à wp-admin

Une erreur 403 peut provenir d’une restriction d’IP dans le .htaccess, d’un pare-feu applicatif (WAF) ou de permissions de fichiers incorrectes. Vérifiez les permissions :

# Les répertoires doivent être en 755, les fichiers en 644
find /chemin/vers/wordpress/wp-admin -type d -exec chmod 755 {} ;
find /chemin/vers/wordpress/wp-admin -type f -exec chmod 644 {} ;

Si un plugin de sécurité a restreint l’accès à wp-admin par IP, désactivez-le temporairement via FTP en renommant son répertoire dans wp-content/plugins/.

Boucle de connexion infinie (redirect loop)

La boucle de connexion : vous saisissez vos identifiants, la page recharge indéfiniment sans vous connecter. Cause principale : un problème de cookies ou une incohérence entre les valeurs siteurl et home dans wp_options.

# Via WP-CLI : vérifier et corriger siteurl et home
wp option get siteurl
wp option get home

# Si les valeurs sont incohérentes (ex. http au lieu de https)
wp option update siteurl 'https://votre-domaine.com'
wp option update home 'https://votre-domaine.com'

Videz les cookies de votre navigateur pour le domaine concerné, ou testez en navigation privée. Si le problème survient après avoir installé un plugin, désactivez-le via FTP (renommer son dossier dans wp-content/plugins/).

Page blanche après connexion

Un écran blanc (White Screen of Death) dans wp-admin est souvent lié à une erreur PHP fatale. Activez le débogage pour identifier la cause. Si vous rencontrez ce problème, consultez notre guide sur les erreurs critiques WordPress et comment les résoudre, qui couvre la récupération via le mode debug et la désactivation des plugins en lot.

Un problème de connexion à la base de données peut aussi rendre wp-admin inaccessible. Consultez notre article sur l’erreur de connexion à la base de données WordPress pour diagnostiquer ce cas spécifique.

Sécuriser l’accès à wp-admin

wp-admin est la cible principale des attaques par force brute sur WordPress. Wordfence bloque en moyenne 90 000 tentatives d’attaques par minute sur l’ensemble de son réseau. Voici les mesures essentielles.

Restreindre l’accès par adresse IP via .htaccess

Si votre adresse IP est fixe, c’est la méthode la plus efficace. Ajoutez ces lignes dans le fichier .htaccess à la racine du répertoire wp-admin/ (créez-le s’il n’existe pas) :

# Fichier : wp-admin/.htaccess
<Files "*.php">
  Order Deny,Allow
  Deny from All
  Allow from 93.184.216.1
  # Remplacez par votre adresse IP réelle
  # Pour plusieurs IPs : Allow from 93.184.216.1 203.0.113.42
</Files>

Pour connaître votre IP publique depuis le terminal : curl -s ifconfig.me.

Activer l’authentification HTTP (double protection)

Ajoutez une couche de protection supplémentaire avant même l’affichage du formulaire WordPress :

# Fichier : wp-admin/.htaccess
AuthType Basic
AuthName "Administration"
AuthUserFile /chemin/absolu/vers/.htpasswd
Require valid-user

<Files "admin-ajax.php">
  Satisfy Any
  Allow from All
</Files>
# Générer le fichier .htpasswd (depuis le terminal)
htpasswd -c /chemin/vers/.htpasswd votre_utilisateur

L’exception pour admin-ajax.php est indispensable : de nombreux plugins (WooCommerce, formulaires, etc.) en ont besoin pour fonctionner en front-end.

Changer l’URL de wp-admin

Changer le chemin par défaut réduit drastiquement les tentatives de force brute automatisées (les bots ciblent /wp-login.php et /wp-admin/ par défaut). Cette opération peut se faire via WP-CLI ou functions.php sans plugin supplémentaire, ou avec un plugin dédié comme WPS Hide Login.

Activer la double authentification (2FA)

Des plugins comme WP 2FA ou Google Authenticator ajoutent un code TOTP après la saisie du mot de passe. Cette mesure est particulièrement recommandée pour les comptes Administrateur et Éditeur. Pour une approche plus complète, consultez notre guide sur la sécurisation de WordPress avec WAF, headers et CSP.

Limiter les tentatives de connexion

# Via WP-CLI, vous pouvez vérifier les logs d'échecs de connexion
wp login log --count=50

# Désactiver XML-RPC (vecteur d'attaque par force brute)
# Dans functions.php :
# add_filter('xmlrpc_enabled', '__return_false');

Limitez aussi les tentatives de connexion avec un plugin comme Limit Login Attempts Reloaded ou via votre WAF (Cloudflare, par exemple).

wp-admin dans un réseau multisite WordPress

Sur une installation WordPress Multisite, deux niveaux d’administration coexistent :

  • Tableau de bord du site : /wp-admin/ gère le contenu d’un site spécifique du réseau.
  • Administration réseau (Super Admin) : /wp-admin/network/ permet de gérer l’ensemble du réseau, d’ajouter des sites, de gérer les plugins réseau et les utilisateurs globaux.
# Activer le multisite dans wp-config.php (AVANT l'installation réseau)
define('WP_ALLOW_MULTISITE', true);

# Après l'installation réseau, deux constantes sont ajoutées automatiquement :
define('MULTISITE', true);
define('SUBDOMAIN_INSTALL', false); # ou true pour les sous-domaines

Seul un Super Admin peut accéder à /wp-admin/network/. Les administrateurs de sites individuels restent limités à leur propre tableau de bord.

Les menus essentiels du tableau de bord WordPress

Pour les nouveaux utilisateurs, voici un aperçu rapide des sections principales de wp-admin :

  • Tableau de bord : vue d’ensemble (brouillons, commentaires en attente, mises à jour disponibles).
  • Articles / Pages : création et gestion du contenu.
  • Médias : bibliothèque d’images, vidéos et documents.
  • Apparence : thèmes actifs, personnalisation via le Customizer ou l’éditeur de site (FSE), menus de navigation et widgets.
  • Extensions : installer, activer/désactiver et mettre à jour les plugins. En cas de problème, le générateur .htaccess de wpadminlab peut vous aider à corriger les règles de réécriture après une désactivation.
  • Utilisateurs : rôles WordPress (Abonné, Contributeur, Auteur, Éditeur, Administrateur).
  • Outils : import/export, santé du site (Site Health), exportation des données personnelles (RGPD).
  • Réglages : URL du site, format de la date, structure des permaliens (section la plus critique pour le SEO on-page).

La structure des permaliens se configure dans Réglages > Permaliens. Après tout changement, WordPress régénère automatiquement le .htaccess. Si la régénération échoue, copiez-collez les règles de réécriture manuellement via FTP.

FAQ : questions fréquentes sur wp-admin

Quelle est l’URL par défaut de wp-admin WordPress ?

L’URL par défaut est https://votre-domaine.com/wp-admin/ (ou /wp-login.php pour la page de connexion). Si WordPress est installé dans un sous-répertoire, ajoutez ce répertoire avant /wp-admin/. L’URL exacte dépend de la valeur siteurl enregistrée dans la table wp_options de votre base de données.

Comment accéder à wp-admin si on a oublié son mot de passe ?

Cliquez sur « Mot de passe perdu ? » sur la page /wp-login.php et saisissez votre email. Si l’email n’arrive pas, utilisez WP-CLI (wp user update 1 --user_pass="nouveau_mdp") ou phpMyAdmin pour mettre à jour le champ user_pass avec la fonction MD5. Consultez votre hébergeur si vous n’avez pas accès au SSH ni à phpMyAdmin.

Pourquoi wp-admin affiche une erreur 404 ?

Une erreur 404 sur wp-admin indique un problème de règles de réécriture (mod_rewrite désactivé ou fichier .htaccess incorrect). Allez dans Réglages > Permaliens et cliquez sur « Enregistrer les modifications » pour régénérer le .htaccess. Si vous n’avez pas accès à wp-admin, créez manuellement le fichier .htaccess à la racine WordPress avec les règles standard (voir section ci-dessus).

Comment sécuriser wp-admin contre les attaques par force brute ?

Quatre mesures combinées couvrent l’essentiel : restreindre l’accès par adresse IP via wp-admin/.htaccess, limiter les tentatives de connexion (plugin ou WAF), activer la double authentification (plugin WP 2FA), et changer l’URL par défaut de wp-login.php. Ces mesures réduisent de plus de 95 % les tentatives d’intrusion automatisées.

Peut-on accéder à wp-admin depuis un mobile ?

Oui. L’URL reste identique depuis un mobile. Le thème d’administration WordPress (appelé « wp-admin theme ») est responsive depuis WordPress 3.8. Pour une expérience optimisée, l’application officielle WordPress (iOS et Android) donne accès aux fonctions essentielles (articles, commentaires, statistiques) sans passer par le navigateur mobile.

Sources

G
WP Admin Lab

Architecte web full-stack. WordPress, performance, data et sécurité. Notes de terrain, tests reproductibles et retours d'expérience.