Dodanie nowego administratora WordPress przez FTP – gotowy kod PHP

Dodawanie administratora WordPress przez FTP za pomocą pliku PHP
Dodawanie administratora WordPress przez FTP za pomocą pliku PHP

Tak, nowego administratora WordPressa można dodać wyłącznie przez FTP, używając prostego pliku PHP, bez logowania do panelu i bez grzebania w bazie danych.

Kiedy potrzebne jest dodanie administratora przez FTP?

Taka sytuacja pojawia się najczęściej wtedy, gdy:

  • nikt nie pamięta hasła administratora,
  • adres e-mail przypisany do konta już nie istnieje,
  • panel logowania WordPressa jest niedostępny,
  • reset hasła nie działa,
  • WP-CLI nie jest dostępne lub nie chcesz z niego korzystać,
  • ingerencja w bazę danych wydaje się ryzykowna.

Jeśli masz dostęp do plików strony przez FTP lub menedżer plików hostingu, to rozwiązanie jest najszybsze i najmniej stresujące.

Jak działa rozwiązanie oparte o plik PHP?

Całość opiera się na jednym pliku PHP, który:

  • ładuje środowisko WordPressa,
  • sprawdza, czy użytkownik o danym loginie istnieje,
  • jeśli istnieje – zmienia hasło i adres e-mail,
  • jeśli nie istnieje – tworzy nowe konto,
  • przypisuje rolę administratora,
  • usuwa sam siebie po wykonaniu operacji.

Nie wymaga to żadnych zewnętrznych narzędzi ani dostępu do panelu.

Jak krok po kroku dodać administratora przez FTP?

  1. Utwórz nowy plik tekstowy na komputerze.
  2. Wklej do niego kod PHP (poniżej).
  3. Zmień dane użytkownika według własnych potrzeb.
  4. Zapisz plik jako nowyadmin.php.
  5. Prześlij plik do głównego katalogu WordPressa przez FTP.
  6. Otwórz plik w przeglądarce, np.
    https://twojadomena.pl/nowyadmin.php?token=TWOJ_TOKEN
  7. Po wykonaniu operacji plik zostanie usunięty automatycznie.
Czytaj więcej:  Bezpieczeństwo WordPressa: Jak zrobić backup w trzech prostych krokach

Gotowy kod PHP dodający administratora

Poniższy kod jest w pełni zgodny z opisem w artykule:

<?php
/**
 * Jednorazowy "ratunek" do odzyskania dostępu:
 * - jeśli user istnieje: ustawia hasło + e-mail
 * - jeśli nie istnieje: tworzy usera
 * - ustawia rolę administrator
 *
 * Uruchom: /nazwa-pliku.php?token=TU_WSTAW_TOKEN
 * Po sukcesie próbuje usunąć sam siebie.
 */

$expected_token = 'WSTAW_TUTAJ_DLUGI_LOSOWY_TOKEN_32_64_ZNAKI';
$token = $_GET['token'] ?? '';

if (!hash_equals($expected_token, $token)) {
    http_response_code(403);
    exit('Brak dostępu.');
}

// Stabilne ładowanie WP - zakładamy, że plik leży w katalogu głównym WP
$wp_load = __DIR__ . '/wp-load.php';
if (!file_exists($wp_load)) {
    http_response_code(500);
    exit('Nie znaleziono wp-load.php. Wrzuć plik do katalogu głównego WordPressa.');
}
require_once $wp_load;

// USTAW TO POD SIEBIE
$new_user_login = 'uzytkownik';
$new_user_pass  = 'NoweHaslo';
$new_user_mail  = 'adresemail@example.com';

// Walidacja
$new_user_login = sanitize_user($new_user_login, true);
$new_user_mail  = sanitize_email($new_user_mail);

if (empty($new_user_login)) exit('Błędny login.');
if (!is_email($new_user_mail)) exit('Błędny e-mail.');

$user = get_user_by('login', $new_user_login);

if ($user) {
    $result = wp_update_user([
        'ID'         => $user->ID,
        'user_pass'  => $new_user_pass,
        'user_email' => $new_user_mail,
    ]);

    if (is_wp_error($result)) {
        exit('Błąd aktualizacji: ' . $result->get_error_message());
    }

    $user = get_user_by('id', $user->ID);
    $user->set_role('administrator');

    echo 'OK: Użytkownik zaktualizowany i ustawiony jako administrator.';
} else {
    // Tworzenie + rola admin od razu
    $user_id = wp_insert_user([
        'user_login' => $new_user_login,
        'user_pass'  => $new_user_pass,
        'user_email' => $new_user_mail,
        'role'       => 'administrator',
    ]);

    if (is_wp_error($user_id)) {
        exit('Błąd tworzenia: ' . $user_id->get_error_message());
    }

    echo 'OK: Utworzono nowego administratora.';
}

// Autodestrukcja (jak nie zadziała - usuń ręcznie!)
@unlink(__FILE__);
exit;

Jak bezpiecznie uruchomić i usunąć plik?

Po wejściu na adres pliku:

  • operacja wykona się tylko raz,
  • plik zostanie usunięty automatycznie,
  • nie zostawi po sobie dostępu administracyjnego przez URL.

Jeśli pojawi się błąd PHP i plik się nie usunie, koniecznie usuń go ręcznie przez FTP.

Przykład realnego użycia

Strona firmowa przestała wysyłać e-maile, a jedyny administrator był przypisany do nieistniejącej skrzynki. Reset hasła nie działał, panel był niedostępny. Wgranie tego pliku przez FTP pozwoliło:

  • zmienić hasło,
  • ustawić nowy e-mail,
  • odzyskać pełen dostęp w mniej niż minutę.
Czytaj więcej:  Pożar w serwerowni – sprawdź, dlaczego warto mieć backup

Bez kontaktu z hostingiem i bez edycji bazy danych.

Najczęstsze błędy przy tej metodzie

  • Literówka w nazwie pliku wp-load.php
  • Wgranie pliku do złego katalogu
  • Brak średnika w PHP
  • Nieusunięcie pliku po błędzie
  • Użycie zbyt prostego hasła na produkcji

Role użytkowników – szybkie porównanie

RolaUprawnieniaKiedy używać
administratorPełna kontrolaOdzyskiwanie dostępu
editorTreści i mediaRedakcja
authorWłasne wpisyBlog
contributorSzkiceWspółpraca
subscriberKontoCzytelnicy
shop_managerSklepWooCommerce

Administrator zawiera w sobie wszystkie pozostałe uprawnienia.

Mini FAQ

Czy mogę zmienić tylko hasło bez tworzenia konta?
Tak, jeśli login istnieje, konto nie zostanie utworzone ponownie.

Czy mogę przypisać inną rolę?
Tak, wystarczy zmienić nazwę roli w add_role().

Czy to działa na każdym hostingu?
Tak, o ile PHP ma dostęp do usuwania plików lub wykonasz to ręcznie.

Najważniejsze informacje w 3 punktach

  • Dostęp FTP wystarcza do odzyskania administratora WordPressa
  • Jeden plik PHP załatwia całą operację
  • Plik powinien zniknąć natychmiast po użyciu

Podsumowanie

To rozwiązanie jest skuteczne, ale potencjalnie niebezpieczne, jeśli zostanie użyte nieodpowiedzialnie. Plik PHP dodający administratora omija standardowe mechanizmy logowania WordPressa, dlatego każdy, kto uzyska do niego dostęp, może przejąć pełną kontrolę nad stroną. Największym zagrożeniem jest pozostawienie pliku na serwerze po wykonaniu operacji – w takim przypadku wystarczy znać adres URL, aby ponownie uruchomić skrypt lub go zmodyfikować. Ryzyko zwiększa się także wtedy, gdy FTP jest słabo zabezpieczone lub współdzielone z innymi osobami. Tego typu plik powinien być traktowany wyłącznie jako narzędzie awaryjne, używane jednorazowo, a następnie bezwzględnie usunięte. Na produkcji warto dodatkowo zmienić hasło administratora zaraz po zalogowaniu i sprawdzić logi serwera.

Potrzebujesz prostej strony internetowej, a może opieki nad już istniejącą?

Pomagam w tworzeniu czytelnych stron WordPress oraz dbam o ich bezpieczeństwo, aktualizacje i sprawne działanie. Bez zbędnych komplikacji, za to z realnym wsparciem i doradztwem dopasowanym do Twoich potrzeb. Skontaktuj się i zobacz, co da się zrobić.

pawel.deluga@gmail.com
+48 883 766 053

Podziel się swoją opinią
Paweł Deluga
Paweł Deluga

Twórca, redaktor, specjalista od WordPressa, admin ponad 1000 stron i człowiek, który zamienił pasję w sposób na życie. Od ponad 12 lat tworzę strony internetowe, prowadzę portale informacyjne, wspieram biznesy online i pokazuję, że nawet bez technicznego zaplecza można zbudować coś wyjątkowego w sieci. Sam jestem tego przykładem. Nie mam dyplomu programisty, a mimo to stworzyłem ponad 150 stron i pomogłem setkom osób oraz firm ruszyć z miejsca.

Zapisz się na mój newsletter

Wpisz swój adres e-mail poniżej i zapisz się do mojego newslettera. Nie spamuje staram się tylko wysyłać alerty bezpieczeństwa i newsy. Za zapisanie się do newslettera niespodzianka w postaci Ebooka - 20 Promptów SEO do pisania wartościowych artykułów

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

To też Cię zainteresuje

Zamawiając gotową stronę otrzymasz poniższe usługi w cenie!

Strony i sklepy WordPress

Domena

Popularne domeny takie jak: pl, com, eu, com.pl na pierwszy rok za darmo.

Strony i sklepy WordPress

Hosting SSD

Bardzo szybki hosting SSD o pojemności 100 GB wraz z pocztą.

Strony i sklepy WordPress

Certyfikat SSL

Zabezpieczenie danych wrażliwych wprowadzonych przez formularz.

Strony i sklepy WordPress

Wsparcie

Każdy klient może liczyć na szybkie wsparcie.

Rabat 20% na zakup domeny i hostingu w LH.pl
Kupując domenę i/lub hosting w LH.pl podaj ten kod 👉 LH-paweldeluga