Poznajcie gwiazdę WordPressa: wp-config.php – plik, w którym przechowujesz hasło do bazy danych MySQL, klucze autoryzacyjne i inne wrażliwe informacje. To jak sejf z twoimi najcenniejszymi danymi. Jeśli haker go dorwie, twoja strona może zamienić się w wysypisko złośliwego kodu, linków do podejrzanych stron albo, co gorsza, reklam viagry z Dalekiego Wschodu.
Czy to naprawdę takie groźne?
Domyślnie wp-config.php leży w głównym folderze WordPressa (np. /var/www/html/blog/). Na szczęście PHP działa po stronie serwera, więc przeglądarka nie wyświetli zawartości pliku – tylko jego efekty. Ale uwaga: jeśli serwer jest źle skonfigurowany, PHP się „wykrzaczy” albo coś pójdzie nie tak, plik może zostać podany jak na talerzu – z hasłami i wszystkim. To jakbyś w środku imprezy zgubił portfel z dokumentami.
Jak się chronić? Przenieś wp-config.php w bezpieczne miejsce
Dobrze skonfigurowany serwer radzi sobie z domyślną lokalizacją wp-config.php, ale bezpieczeństwo to gra w warstwy – im więcej, tym lepiej. WordPress pozwala przenieść ten plik poza katalog publiczny, gdzie przeglądarki nie mają dostępu.
Jak to zrobić?
1. Połącz się z serwerem przez FTP
Użyj klienta FTP (np. FileZilla) i wejdź do katalogu WordPressa.
2. Pobierz wp-config.php
Zapisz go na dysku i koniecznie zrób kopię zapasową – przezorny zawsze ubezpieczony.
3. Zmień nazwę pliku
Zamiast wp-config.php nazwij go np. test.php albo kawa-i-ciastka.php. Unikaj oczywistych nazw, bo w razie włamania na serwer haker nie zgadnie, co to za plik.
4. Przenieś plik poza public_html
Wgraj go do folderu niedostępnego przez internet, np. /home/uzytkownik/. Upewnij się, że to nie jest katalog public_html, www czy htdocs.
5. W edytorze tekstowym przygotuj plik wp-config.php z taką treścią:
<?php
include('/home/kabson/test.php');
?>Uwaga: Użyj ścieżki systemowej, a nie adresu URL! Żaden „https://” tu nie będzie pasować
6. Wgraj nowy wp-config.php
Umieść go w katalogu WordPressa, zastępując stary plik (kopię masz, prawda?).
7. Sprawdź, czy strona działa
Odwiedź swoją witrynę. Jeśli wszystko śmiga to oznacza, że wszystko zrobiłeś poprawnie.
Przeniesienie pliku wp-config.php poza katalog publiczny to prosty, ale skuteczny sposób na zwiększenie bezpieczeństwa Twojej strony opartej na WordPressie. Dzięki temu utrudniasz dostęp do najważniejszych danych konfiguracyjnych, nawet jeśli coś pójdzie nie tak z konfiguracją serwera.
Choć to nie daje stuprocentowej ochrony, stanowi dodatkową warstwę bezpieczeństwa — a w świecie cyberataków każda taka warstwa ma znaczenie. To jak dorzucenie kłódki do zamkniętych drzwi — ktoś może nadal próbować wejść, ale raczej wybierze łatwiejszy cel.
Stosujesz inne techniki zabezpieczania WordPressa? Może masz swoje patenty albo właśnie wprowadziłeś opisane zmiany?
Daj znać w komentarzu!
