最重要的是wp-config.php 包含一些敏感信息：数据库用户名/密码等。

因此，我们的想法是：将其移到文档根目录之外，就不必担心任何事情。攻击者将永远无法从外部源访问该文件。

然而，问题是：wp-config.php 从不在屏幕上打印任何内容。它只定义在整个WP安装过程中使用的各种常量。因此，人们看到该文件内容的唯一方法是绕过您的服务器PHP解释器.php 要渲染为纯文本的文件。如果发生这种情况，您已经有麻烦了：他们可以直接访问您的服务器（可能还有root权限），并且可以做任何他们喜欢的事情。

我要继续说there\'s no benefit to moving wp-config outside the document root from a security perspective -- 出于上述原因以及以下原因：

您可以通过虚拟主机配置或限制对文件的访问。htaccess--有效地限制外部对文件的访问，就像将文件移到文档根目录之外一样，您可以确保文件权限对wp-config 防止任何没有足够权限的用户读取文件，即使他们通过SSH获得（有限的）服务器访问权限wp-config.php 文件属于。更重要的是，该数据库用户只有读写该WP安装的数据库的权限，没有其他权限——没有权限授予其他用户权限。也就是说，如果攻击者能够访问您的数据库，那么只需从备份中恢复（请参见第4点）并更改您经常备份的数据库用户即可。通常是一个相对的术语：如果你每天发布20篇文章，你最好每天或每隔几天备份一次。如果您每周发布一次，那么每周备份一次就足够了like this), 这意味着即使攻击者获得了访问权限，您也可以轻松地检测到代码更改并将其回滚。如果攻击者有权访问wp-config, 他们可能还搞砸了别的事情wp-config, 因为你很小心（见第3点和第4点），所以这不是什么大不了的事。盐等可以随时更换。唯一发生的事情是，它使登录用户的cookie无效给我，移动wp-config 在文件中，root隐晦地散发着安全的气息——这在很大程度上是一个稻草人。

我认为马克斯的答案很有见识，这是故事的一个方面。这个WordPress Codex has more advise:

此外，请确保只有您（和web服务器）可以读取此文件（通常指400或440权限）。

如果将服务器与一起使用。htaccess，您可以将此文件放在该文件（最顶部）中，以拒绝任何为其冲浪的人的访问：

<files wp-config.php>
order allow,deny
deny from all
</files>

有人请我们加入，我会在这里回答。

是的，隔离您的wp配置有安全好处。从您站点的根目录。

1-如果您的PHP处理程序以某种方式被破坏或修改，您的DB信息将不会公开。是的，在服务器更新期间，我在共享主机上看到过几次这种情况。是的，在此期间网站将被破坏，但您的密码将保持不变。

2-最佳实践始终建议将配置文件与数据文件隔离。是的，使用WordPress（或任何web应用程序）很难做到这一点，但将其向上移动会带来一些隔离。

3-还记得PHP-CGI漏洞吗-，并查看源。http://www.kb.cert.org/vuls/id/520827

最后，这些都是小细节，但它们确实有助于将风险降至最低。特别是在共享环境中，任何人都可以访问您的数据库（他们只需要一个用户/通行证）。

但不要让小干扰（过早优化）影响到网站的安全：

1-始终保持更新

2-使用强密码

3-限制访问（通过权限）。我们在这里有一篇关于它的帖子：

http://blog.sucuri.net/2012/08/wordpress-security-cutting-through-the-bs.html

当然是的。

移动wp config时。php在公共目录之外，当php处理程序恶意（或意外）访问时，您可以使用浏览器保护它不被读取已更改。

当服务器几乎没有因为lame管理员的错误而受到感染时，可以读取您的DB登录名/密码。向管理员收取罚款，并获得更好的管理和更可靠的服务器主机。虽然那可能更贵。

为了便于讨论，我只想澄清一下，移动wp\\u配置。php文件并不一定意味着只需将其移动到父目录。假设您有一个类似于/root/html的结构，其中html包含WP安装和所有html内容。而不是移动wp\\u config。php到/root，您可以将其移动到/root/secure之类的位置。。。它位于html目录之外，也不在服务器根目录中。当然，您需要确保php也可以在这个安全文件夹中运行。

因为WP不能配置为查找WP\\U配置。php在/root/secure这样的同级文件夹中，您必须采取额外的步骤。我离开了wp\\U配置。php，并删除敏感部分（数据库登录、salt、表前缀），将它们移动到一个名为config的单独文件中。php。然后添加PHPinclude wp\\u配置的命令。php，如下所示：include(\'/home/content/path/to/root/secure/config.php\');

这基本上就是我在设置中所做的。现在，基于上述讨论，我仍在评估这是否必要，甚至是一个好主意。但我只想补充一点，上面的配置是可能的。它不会公开您的备份和其他根文件，只要安全文件夹没有使用自己的公共URL设置，它就不可浏览。

此外，您可以通过创建来限制对安全文件夹的访问。其中的htaccess文件包含：

order deny,allow
deny from all
allow from 127.0.0.1

有很多写得不好的主题和插件允许atatckers注入代码（记住Timthumb的安全问题）。如果我是一个攻击者，为什么要搜索wp配置。php？只需插入以下代码：

var_dump( DB_NAME, DB_USER, DB_PASSWORD );

wp配置中的错误部分。php并不是因为它保存敏感数据。糟糕的部分是将敏感数据定义为全局可访问常量。

Update

有很多方法可以攻击网站。脚本注入是访问网站的唯一方法。

假设服务器存在允许攻击者访问内存转储的漏洞。攻击者将在内存转储中找到所有变量的所有值。如果定义了一个全局可访问常量，它必须保留在内存中，直到脚本结束。创建变量而不是常量，垃圾收集器很有可能在不再需要变量后覆盖（或释放）内存。

保护敏感数据的更好方法是在使用后立即将其删除：

$db_con = new stdClass();
$db_con->db_user = \'username\';
$db_con->password = \'password\';
$db_con->host = \'localhost\';

$db_handler = new Database_Handler( $db_con );

$db_con = null;

很抱歉撞到一个旧帖子，但这不是一个显而易见的解决方案吗。我们知道移动wp配置有一些安全好处。wordpress路由目录中的php文件。有些人会辩称，好处微乎其微，而其他人则不会。

另一方面，将文件移出其默认位置可能存在一些缺点，例如破坏一些没有功能来查找wp配置的插件。php文件位于其他位置。

对我来说最明显的事情就是创建一个秘密信息。wordpress路由目录之外的php文件，其中包含所有用户名和密码的变量，即。

$userName = "user";

$databasePassword = "12345";

require(\'PATH-TO-FILE/secret-info.php\');

除了安全方面的好处外，它还允许您在版本控制下保持WordPress实例，同时将核心WordPress文件作为子模块/外部模块。这就是马克·贾奎斯如何设置他的WordPress框架项目。看见https://github.com/markjaquith/WordPress-Skeleton#assumptions 有关详细信息。

万古长青之后，wordpress仍将wp-config.php 默认情况下，在其根目录中，无需添加即可访问web。htaccess规则以阻止访问它。所有具有一键wordpress安装的共享主机都很可能执行相同的操作。其结果是，大多数wordpress网站都是这样配置的，我相信我从来没有听到过有人说；我的网站被黑客攻击，因为wp配置。php位于根目录中；。

要使用文件中包含的信息，您需要访问DB服务器，可能需要向某个应用程序服务器添加脚本，如果您运行VPS，这意味着如果攻击者有这样的能力，它就是；游戏结束“；在任何情况下，对于您来说，在共享主机上，他们可能会根据用户隔离对DB的访问，因此即使在这种设置下，也不是一件小事。

其结果是wordpress 5.2+健康信息不会给出移动文件的建议，而且从未听说过有安全插件会这样做。

因此，长期的实际信息表明，理论上这样做更好，但它主要是一个安全剧场。

搬家的真正问题wp-config.php 对于上面的一个目录来说，它从根本上防止其他wordpress安装在与第一个相同的目录中，这是许多人都会做的事情。解决的办法是wp-config.php 在默认位置，但添加从位于web根目录之外的不同文件加载实际配置的代码，该文件的命名方式可能不是通用的，而是特定于站点的。

问题是，许多wordpress toturials甚至没有提到wp-config.php 在另一个地方，在你之后的人将有一个WTF时刻，试图弄清楚如何按照要求他们添加define 到wp-config.php 文件