WordPress Nível: intermediário

wp-config.php

wp-config.php é o arquivo de configuração principal do WordPress, onde ficam as credenciais do banco de dados, chaves de segurança, modo de debug e outras definições críticas da instalação.

wp-config.php é o primeiro arquivo que o WordPress lê ao ser carregado. Ele contém as informações que a instalação precisa para funcionar: credenciais de conexão com o banco de dados, prefixo das tabelas, chaves de autenticação e sal criptográfico, configurações de debug e constantes que controlam comportamentos importantes.

Ele fica na raiz da instalação WordPress por padrão, mas pode ser movido um nível acima do public_html como medida de segurança, já que o WordPress sabe procurá-lo nesse caminho alternativo.

Constantes que todo administrador deve conhecer

WP_DEBUG ativa o modo de debug, útil em desenvolvimento mas que nunca deve estar ativo em produção. DISALLOW_FILE_EDIT desativa o editor de arquivos no painel, impedindo que um invasor com acesso ao admin edite plugins e temas diretamente. WP_MEMORY_LIMIT aumenta o limite de memória PHP disponível para o WordPress. DISABLE_WP_CRON desativa o cron interno para substituir por cron real do servidor.

As chaves de autenticação e sal são strings aleatórias usadas para criptografar cookies de sessão. Regenerá-las invalida todas as sessões ativas, o que é útil após uma suspeita de comprometimento.

Como funciona na prática

  • O WordPress carrega wp-config.php como primeira ação em qualquer requisição
  • As constantes definidas nele ficam disponíveis para todo o código do WordPress
  • As credenciais do banco são usadas para estabelecer conexão com MySQL ou MariaDB
  • As chaves de autenticação protegem os cookies de sessão dos usuários logados
  • Configurações de debug controlam o nível de erros exibidos ou registrados

Exemplo Prático

Após suspeitar que um usuário administrativo teve a senha comprometida, o administrador regenera as chaves de autenticação no wp-config.php. Isso invalida imediatamente todas as sessões ativas, forçando qualquer pessoa logada, inclusive o invasor, a se autenticar novamente.

Por que isso é importante?

wp-config.php importa porque expô-lo publicamente ou deixá-lo mal configurado compromete toda a instalação. É o arquivo mais sensível de um site WordPress e merece atenção especial em qualquer auditoria de segurança.

Perguntas Frequentes (FAQ) sobre wp-config.php

O que fazer se o wp-config.php for exposto publicamente?

Trocar imediatamente as credenciais do banco de dados, regenerar as chaves de autenticação, verificar se há usuários administrativos desconhecidos e auditar arquivos do servidor em busca de código malicioso.

Posso ter um wp-config.php diferente para desenvolvimento e produção?

Sim. A prática comum é usar variáveis de ambiente ou um arquivo `wp-config-local.php` que é ignorado pelo Git. Isso evita que credenciais de produção sejam commitadas por engano.

Links Úteis