Czym jest wp-config.php i dlaczego jest ważny

Plik wp-config.php to serce konfiguracji WordPress i jeden z krytycznych elementów bezpieczeństwa WordPress — zawiera dane dostępowe do bazy danych (nazwa, użytkownik, hasło, host), tajne klucze bezpieczeństwa (secret keys) służące do szyfrowania sesji, prefiks tabel bazy danych, ustawienia debugowania i wiele innych parametrów konfiguracyjnych. Dostęp do tego pliku przez niepowołane osoby może być katastrofalny w skutkach.

Dlaczego wp-config.php jest tak cennym łupem dla hakerów? Przede wszystkim dlatego, że zawiera hasło do bazy danych MySQL. Mając te dane, atakujący może zalogować się bezpośrednio do bazy danych przez phpMyAdmin i uzyskać pełną kontrolę nad całą zawartością strony: wpisami, komentarzami, danymi użytkowników (w tym hasłami), ustawieniami WooCommerce. Może też zmienić hasło administratora bezpośrednio w bazie danych, omijając zupełnie stronę logowania WordPress.

Domyślnie plik wp-config.php znajduje się w głównym katalogu instalacji WordPress (public_html lub httpdocs). Chociaż serwer WWW (Apache/Nginx) nie powinien wyświetlać zawartości pliku PHP przez przeglądarkę, błędna konfiguracja serwera lub luki bezpieczeństwa mogą to umożliwić. Dobrą praktyką jest wdrożenie kilku warstw ochrony tego pliku — nawet jeśli jedna zawiedzie, pozostałe nadal chronią krytyczne dane.

Jak przenieść wp-config.php poza katalog główny

Jak zablokować dostęp do wp-config.php przez .htaccess

Nawet jeśli przeniosłeś wp-config.php poza katalog publiczny, warto też dodać blokadę na poziomie serwera WWW na wypadek, gdyby plik pozostał lub wrócił do oryginalnej lokalizacji. Dodaj następujący kod do głównego pliku .htaccess swojej strony (znajdziesz go w katalogu public_html/httpdocs, razem z plikami WordPressa):

Otwórz Menedżer plików w Plesk, przejdź do głównego katalogu strony i kliknij na plik .htaccess. Na początku pliku, przed sekcją WordPress (#BEGIN WordPress), dodaj poniższy kod:


order allow,deny
deny from all


Ta reguła powoduje, że każde żądanie HTTP do pliku o nazwie "wp-config.php" zostanie odrzucone przez serwer z kodem błędu 403 Forbidden — niezależnie od tego, skąd pochodzi żądanie i kto je wysyła. Zapisz plik .htaccess i przetestuj, że strona nadal działa, a bezpośredni dostęp do wp-config.php przez przeglądarkę zwraca błąd 403.

Inne ważne ustawienia bezpieczeństwa w wp-config.php

Plik wp-config.php to nie tylko dane dostępowe — możesz w nim skonfigurować wiele ustawień bezpieczeństwa WordPress, które działają na poziomie konfiguracji, bez potrzeby instalowania dodatkowych wtyczek.

Klucze bezpieczeństwa (SECRET KEYS): Upewnij się, że Twój WordPress ma unikalne, losowe klucze bezpieczeństwa. Możesz je wygenerować na stronie https://api.wordpress.org/secret-key/1.1/salt/ — ta strona generuje 8 losowych kluczy, które możesz skopiować bezpośrednio do wp-config.php, zastępując istniejące wpisy. Zmiana kluczy unieważnia wszystkie aktywne sesje użytkowników — przydatne po podejrzeniu włamania lub wycieku hasła administratora.

Wyłączenie edytora plików: Dodaj do wp-config.php linię define('DISALLOW_FILE_EDIT', true); — wyłącza wbudowany edytor plików motywów i wtyczek w panelu WordPress. Haker, który uzyska dostęp do panelu, nie będzie mógł przez ten edytor wstrzyknąć złośliwego kodu PHP.

Wyłączenie instalacji wtyczek i motywów: Jeśli nie planujesz regularnie instalować nowych wtyczek przez panel WordPress, dodaj: define('DISALLOW_FILE_MODS', true); — to blokuje zarówno edytor plików, jak i instalację/aktualizację wtyczek i motywów z poziomu panelu. Aktualizacje będziesz musiał przeprowadzać ręcznie przez Plesk lub FTP.

Tryb SSL dla panelu administracyjnego: Dodaj define('FORCE_SSL_ADMIN', true); — wymusza korzystanie z HTTPS dla wszystkich stron panelu administracyjnego WordPress. To ważne, by hasła i dane sesji były zawsze szyfrowane, nawet jeśli ktoś przez pomyłkę wchodzi na http:// zamiast https://.

Ograniczenie rewizji wpisów: define('WP_POST_REVISIONS', 5); ogranicza liczbę przechowywanych wersji wpisów do 5 (domyślnie WordPress przechowuje nieograniczoną liczbę rewizji). Mniejsza baza danych to mniej danych do przeszukania przez potencjalnych atakujących i szybsze działanie strony.

Często zadawane pytania

Czy przeniesienie wp-config.php poza katalog główny jest bezpieczne?

Tak, przeniesienie wp-config.php o jeden poziom wyżej niż katalog główny strony (public_html lub httpdocs) jest w pełni bezpieczne i oficjalnie obsługiwane przez WordPress. WordPress automatycznie szuka pliku wp-config.php w katalogu nadrzędnym, jeśli nie znajdzie go w katalogu instalacji. Ta metoda skutecznie chroni plik przed bezpośrednim dostępem przez przeglądarkę, bo katalog nadrzędny nie jest publicznie dostępny przez serwer WWW. Przetestuj działanie strony po przeniesieniu pliku — powinna działać bez żadnych zmian.

Co zawiera sekcja SECRET KEYS w wp-config.php i dlaczego jest ważna?

Sekcja SECRET KEYS w wp-config.php zawiera osiem losowych ciągów znaków używanych przez WordPress do szyfrowania i weryfikacji ciasteczek sesji (cookies) administratorów i zalogowanych użytkowników. Jeśli haker pozna te klucze (np. przez odczytanie pliku wp-config.php), może sfałszować cookie uwierzytelniające i zalogować się jako administrator bez znajomości hasła. Zmiana kluczy bezpieczeństwa unieważnia wszystkie aktywne sesje — to przydatne narzędzie bezpieczeństwa WordPress po wykryciu włamania.

Czy powinienem zmienić prefiks tabel bazy danych w istniejącej instalacji WordPress?

Zmiana prefiksu tabel bazy danych w istniejącej instalacji WordPress jest możliwa, ale wymaga ostrożności i pełnego backupu bazy danych przez Plesk przed przystąpieniem. Błąd w procesie może uszkodzić bazę danych i unieruchomić stronę. Możesz użyć wtyczki Solid Security (narzędzie Change Database Prefix) lub wykonać zmianę ręcznie przez phpMyAdmin. Zmiana prefiksu podczas nowej instalacji WordPress jest prosta i pozbawiona ryzyka — zdecydowanie warto to zrobić już na etapie instalacji.