O arquivo wp-config.php é um dos componentes mais críticos de um site WordPress e que contém informações sensíveis, como as credenciais do banco de dados, chaves de autenticação e outras configurações importantes.
Proteger esse arquivo é essencial para garantir que essas informações não sejam acessadas por invasores.
Neste guia, exploraremos duas estratégias eficazes para proteger o arquivo wp-config.php: movê-lo para fora do diretório público e configurar permissões restritivas.
wp-config.php?wp-config.php reduz o risco de invasões e mantém os dados confidenciais seguros.wp-config.phpwp-config.php para Fora do Diretório PúblicoPor padrão, o wp-config.php está localizado na raiz pública do site WordPress (por exemplo, public_html).
Isso o torna mais suscetível a ataques.
A melhor prática é movê-lo para um diretório fora da raiz pública.
wp-config.phpIdentifique o Caminho do Servidor
Localize um diretório fora do público (fora de public_html ou www). Exemplo:
/home/usuario/wp-config.phpMova o Arquivo
Usando FTP, SSH ou o gerenciador de arquivos do servidor, mova o wp-config.php para o novo local:
mv /caminho/para/public_html/wp-config.php /home/usuario/wp-config.phpAtualize o WordPress
Informe ao WordPress o novo local do wp-config.php. Crie um arquivo wp-config.php vazio na raiz pública e adicione o seguinte código:
<?php
require_once('/home/usuario/wp-config.php'); Isso redirecionará o WordPress para usar o arquivo movido.
Teste o Site
Acesse o site e o painel administrativo para garantir que o WordPress está funcionando corretamente.
Mesmo que um invasor obtenha acesso ao diretório público, ele não encontrará o wp-config.php, dificultando ataques.
Apenas mover o arquivo não é suficiente. Você também deve configurar as permissões para restringir quem pode acessá-lo.
Entendendo Permissões No Linux, as permissões de arquivo são definidas por três números (ex.: 644), representando:
Permissões Recomendadas Configure o arquivo wp-config.php para que apenas o proprietário possa lê-lo. Use um dos seguintes comandos no terminal:
Permissão 440: Apenas leitura para o proprietário e o grupo.
chmod 440 /home/usuario/wp-config.phpPermissão 400: Apenas leitura para o proprietário.
chmod 400 /home/usuario/wp-config.phpTeste as Permissões Certifique-se de que o site continua funcionando normalmente após aplicar as permissões.
Se necessário, ajuste as permissões para atender às exigências do servidor.
Se o wp-config.php ainda estiver na raiz pública por alguma razão, você pode adicionar regras ao arquivo .htaccess para proteger o acesso:
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>Normalmente a configuração padrão não permite acesso, mas essa configuração certifica-se de impedir que visitantes acessem diretamente o wp-config.php pelo navegador.
Para sites com maior complexidade ou gerenciados por equipes, automatize a proteção do wp-config.php com ferramentas de segurança e scripts:
Crie um script para mover o arquivo e ajustar permissões automaticamente:
#!/bin/bash
# Caminhos
PUBLIC_HTML="/caminho/para/public_html"
PRIVATE_DIR="/home/usuario"
# Mover o arquivo wp-config.php
mv $PUBLIC_HTML/wp-config.php $PRIVATE_DIR/wp-config.php
# Atualizar permissões
chmod 440 $PRIVATE_DIR/wp-config.php
echo "O arquivo wp-config.php foi protegido com sucesso!"
Use plugins como Wordfence ou Sucuri Security para monitorar e proteger automaticamente arquivos críticos do WordPress.
Proteger o arquivo wp-config.php é um passo crucial para garantir a segurança do WordPress.
Movê-lo para fora da raiz pública e aplicar permissões restritivas reduz significativamente os riscos de invasões e acesso não autorizado.
Quer aprender mais sobre práticas avançadas de segurança no WordPress? Inscreva-se no Curso Avançado de WordPress e leve seus conhecimentos para o próximo nível!
Clique aqui e, em seguida, clique em Permitir na caixa que aparecerá na parte superior da janela, próximo à barra de endereços.
Se você está aproveitando nosso conteúdo gratuito, vai adorar os benefícios exclusivos que oferecemos aos nossos assinantes!
Não perca a oportunidade de maximizar seu potencial no WordPress. Clique no botão abaixo para se tornar um assinante e leve suas habilidades ao próximo nível!
