wp-config.php verschieben: So schützt du deine WordPress-Konfiguration besser
wp-config.php ist eine der wichtigsten Dateien in einer WordPress-Installation. Sie enthält zentrale Konfigurationsdaten wie die Zugangsdaten zur Datenbank, Authentifizierungsschlüssel, Tabellenpräfix und weitere sicherheitsrelevante Einstellungen.
Gerade weil diese Datei so sensibel ist, sollte sie bestmöglich geschützt werden. Eine einfache, aber sehr effektive Maßnahme: Die Datei eine Verzeichnisebene nach oben verschieben.
Warum sollte man die wp-config.php verschieben?
Das Verschieben der wp-config.php aus dem Webroot (dem öffentlich erreichbaren Verzeichnis) bietet mehrere Vorteile:
1. Schutz vor direktem Zugriff:
In schlecht konfigurierten Serverumgebungen kann die Datei im Browser erreichbar sein. Ein Verschieben macht sie für externe Zugriffe unsichtbar.
2. Risiko durch Fehlkonfiguration minimieren:
Wird die Serverkonfiguration falsch umgesetzt (z. B. durch fehlerhafte .htaccess-Regeln), kann das zu einem Zugriff auf sensible Dateien führen. Ein außerhalb liegendes wp-config.php wird gar nicht erst geladen.
3. Automatisierte Scans abwehren:
Bots und Skripte suchen gezielt nach dieser Datei. Liegt sie nicht im Standardverzeichnis, bleibt sie bei solchen Angriffen außen vor.
4. Mehrschichtiger Schutz:
Alleine reicht dieser Schritt nicht aus, aber er ist ein wichtiger Teil eines ganzheitlichen Sicherheitskonzepts.
Wie verschiebe ich die wp-config.php eine Ebene nach oben?
Schritt-für-Schritt-Anleitung:
- Melde dich per FTP oder Dateimanager beim Webspace an.
- Wechsle in dein WordPress-Hauptverzeichnis (z. B.
/htdocs/wordpress) - Verschiebe die Datei
wp-config.phpeine Ebene nach oben (z. B. nach/htdocs/) - WordPress erkennt die Datei dort automatisch, keine weitere Konfiguration nötig.
Wichtig: Stelle sicher, dass die übergeordnete Ebene nicht öffentlich erreichbar ist (außerhalb des Document Root).
Unser Tipp bei mehreren WordPress-Installationen
Wenn du mehrere WordPress-Seiten nebeneinander betreibst (z. B. in /htdocs/site1/, /htdocs/site2/ etc.), solltest du beim Verschieben aufpassen:
- Jede
wp-config.phpsollte eindeutig zuordenbar bleiben. -
Lege für jede Installation einen separaten übergeordneten Ordner an, z. B.:
/htdocs/site1/wp-config.php→ verschieben nach/htdocs/site1-config/wp-config.php
- Oder benenne die Datei intern um (nur für dich) und vermerke das in der Doku.
Tipp: In größeren Projekten empfiehlt sich sowieso eine strukturierte Ordnertrennung für Web und Config-Dateien.
Weitere Schutzmaßnahmen für die wp-config.php
Das Verschieben ist gut, aber noch besser wird's mit zusätzlichem Schutz:
a) Schreibrechte einschränken
Setze die Datei nach dem Verschieben auf read-only. Das geht per FTP oder SSH:
chmod 400 wp-config.phpb) Zugriff per .htaccess unterbinden
Falls du die Datei doch im Webverzeichnis belassen musst:
<files wp-config.php>
order allow,deny
deny from all
</files>c) Nur definierte IPs zulassen
Ergänzend kannst du Zugriffe auf Admin-Verzeichnisse oder kritische Dateien auf bestimmte IP-Adressen beschränken.
Die wp-config.php zu verschieben ist einfach, aber wirkungsvoll. Gerade in Kombination mit anderen Maßnahmen wie eingeschränkten Rechten oder gezieltem Zugriffsschutz wird daraus eine robuste Sicherheitsstrategie. Wer WordPress ernsthaft betreibt, sollte diese Option unbedingt nutzen.
Weitere hilfreiche Tipps zur Verbesserung der Sicherheit in deiner WordPress-Installation findest du im Artikel "WordPress absichern: 12 effektive Maßnahmen für mehr Sicherheit"
Du hast weitere Fragen zum Thema "WordPress und Sicherheit", dann kontaktiere uns unverbindlich.