Wp-config.php is één van de core WordPress bestanden en daarbij ook nog eens één van de belangrijkste. Het bevindt zich in de root van je website en bevat informatie over je website, zoals database gegevens en andere instellingen.

Wanneer je WordPress downloadt, zal je geen wp-config.php bestand aantreffen. Er is op dat moment alleen een wp-config-sample.php beschikbaar, die je kunt gebruiken om het echte wp-config.php bestand mee te maken. De bedoeling is namelijk dat als je WordPress handmatig installeert, je het wp-config-sample.php bestand opent en hierin je database gegevens invult. Vervolgens sla je het op als wp-config.php en WordPress kan dan de gegevens daarin gebruiken om verbinding te maken met je database. Je kunt er ook voor kiezen om het bestand door WordPress aan te laten maken tijdens de installatie. Meer informatie hierover is te vinden op de pagina ‘WordPress installeren’.

Wanneer WordPress eenmaal geïnstalleerd is op je website, wordt het wp-config.php bestand gebruikt om verbinding te kunnen maken met de database als er gegevens uitgewisseld moeten worden (bijvoorbeeld na het aanmaken van een nieuw bericht of tijdens het inloggen op je website). Het is dus van belang dat dit bestand niet verwijderd wordt of door kwaadwillende kan worden ingezien.

Het wp-config.php bestand beveiligen

Omdat het wp-config.php bestand zo belangrijk is, kan het een goed idee zijn om hem te beveiligen. Er zijn twee verschillende manieren om dit voor elkaar te krijgen. De eerste manier is om gebruik te maken van een stukje code in je .htaccess bestand. Deze code zorgt ervoor dat niemand van buitenaf toegang heeft tot het wp-config.php bestand. Om dit voor elkaar te krijgen, voeg je de volgende code bovenaan toe aan je .htaccess bestand:

<files wp-config.php>
    order allow,deny
    deny from all
</files>

Een andere manier is om je wp-config.php bestand te verplaatsen naar een andere locatie. Standaard zal WordPress één map boven je root ernaar zoeken, dus een simpele manier is om wp-config.php één map naar boven te verplaatsen. Dit betekent dat het bestand niet in je root map meer staat (waar ook de mappen “wp-admin”, “wp-content”, etc. in staan), maar juist in de map waarin je de root map aantreft. Vaak is deze map genoemd naar je domeinnaam. Het is in dit geval ook handig om de bestandrechten van het wp-config.php bestand aan te passen naar 400 of 440, zodat alleen WordPress en de webserver toegang tot het bestand krijgen.

Het is ook mogelijk om het wp-config.php bestand in een geheel andere map te plaatsen. In dat geval moet je een nieuw wp-config.php bestand aanmaken, wat je op de oude plek plaatst, met daarin de volgende code:

<?php
if ( !defined('ABSPATH') )
    define('ABSPATH', dirname(__FILE__) . '/');
/** Locatie van je echte wp-config bestand. */
require_once(ABSPATH . 'pad/naar/wp-config.php');

Hierin moet je nog wel “/pad/naar/” aanpassen naar het daadwerkelijke pad waar wp-config.php te vinden zal zijn. Dit pad wordt berekend vanuit je root map, dus als je hem bijvoorbeeld in de map “wp-content” had geplaatst, zal het pad als volgt eruit zien: /wp-content/wp-config.php.

In de meeste gevallen is het beter om de .htaccess methode te gebruiken, omdat het voor grote problemen kan zorgen als WordPress je wp-config.php bestand toch niet kan vinden.

Aanpassingen aan het wp-config.php bestand

Er zijn ook een aantal ‘tweaks’ of aanpassingen mogelijk in het wp-config.php bestand. Denk hierbij aan het uitschakelen of limiteren van het aantal revisies, automatische updates uitschakelen en meer. Voor meer informatie over mogelijke aanpassingen, kan je een kijkje nemen bij deze 16 handige snippets.

Michel Kraaijeveld

Michel Kraaijeveld is oprichter van WPsitemaken. Hij is ervan overtuigd dat het voor iedereen mogelijk moet zijn om een eigen website te maken, zonder lastige handleidingen door te hoeven nemen. Zelf is hij al 6 jaar actief met WordPress en probeert zijn kennis op een simpele manier over te brengen aan anderen.