Slik sikrer du wp-config.php – WordPress sin viktigste fil

Skrevet av Mats Fjellheim – UX-designer og frontend-utvikler i ITKOMET

wp-config.php er en av de mest kritiske filene i hele WordPress-installasjonen din.
Den inneholder sensitiv informasjon som databasepassord, sikkerhetsnøkler og
innstillinger som styrer hvordan nettstedet ditt oppfører seg.

Hvis en angriper får tilgang til denne filen, har de i praksis full kontroll over
nettsiden din. Derfor er sikring av wp-config.php et av de viktigste – og mest
oversette – sikkerhetstiltakene i WordPress.

Hva inneholder wp-config.php?

  • Databasebrukernavn og passord
  • Databaseadresse
  • WordPress security keys og salts
  • Debug- og systeminnstillinger

Dette er informasjon som aldri skal være offentlig tilgjengelig.

1. Beskytt wp-config.php med .htaccess

Det viktigste enkelttiltaket du kan gjøre, er å blokkere all ekstern tilgang til
wp-config.php via .htaccess.

<Files wp-config.php>
deny from all
</Files>

Dette sørger for at filen ikke kan åpnes direkte via nettleser – selv om noen vet
hvor den ligger.

Viktig: Ta alltid backup av .htaccess før du gjør endringer.

2. Flytt wp-config.php utenfor web root

WordPress tillater at wp-config.php ligger én mappe over web root. Da er den ikke
tilgjengelig via nett i det hele tatt.

/home/bruker/
├─ wp-config.php
└─ public_html/
   └─ wordpress-filer

Dette gir et ekstra sikkerhetslag, men krever at hosting-miljøet støtter det.

3. Sett riktige filrettigheter

Feil filrettigheter kan gi uvedkommende tilgang til å lese eller endre filen.

  • wp-config.php: 600 eller 640
  • Mapper: 755
  • Filer: 644

Dette kan settes via FTP, File Manager eller SSH.

4. Deaktiver filredigering i WordPress

WordPress har en innebygd editor for tema- og pluginfiler. Hvis noen får
admin-tilgang, kan denne misbrukes til å injisere kode.

Legg til følgende i wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Dette fjerner filredigering helt fra admin-panelet.

5. Slå av debug-visning i produksjon

Aktive feilmeldinger kan avsløre filstier, plugin-navn og tekniske detaljer.

define('WP_DEBUG', false);
define('WP_DEBUG_DISPLAY', false);

Debug bør kun være aktivt i lokale eller lukkede utviklingsmiljøer.

6. Fjern og beskytt gamle backup-filer

Vi ser ofte backup-filer ligge åpent i web root:

  • wp-config.php.bak
  • wp-config-old.php
  • wp-config.php~

Disse kan være offentlig tilgjengelige og må slettes eller flyttes.

Vanlige feil vi ser

  • wp-config.php er ikke beskyttet i .htaccess
  • Debug er aktiv på live-side
  • Feil filrettigheter
  • Gamle backup-filer ligger åpent

Oppsummering

  • Beskytt wp-config.php via .htaccess
  • Flytt filen utenfor web root hvis mulig
  • Bruk riktige filrettigheter
  • Deaktiver filredigering
  • Skru av debug i produksjon
  • Rydd opp i gamle backup-filer

Små grep – men med stor effekt for sikkerheten.

Trenger du hjelp?

Noe av dette kan gjøres selv. Andre tiltak bør settes opp av fagfolk for å unngå
nedetid eller feil.

Ønsker du at ITKOMET går gjennom WordPress-oppsettet ditt og sikrer kritiske filer,
er du velkommen til å ta kontakt.

    Legg igjen en kommentar

    Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

    ITKOMET er ditt dedikerte team for digital vekst. Vi kombinerer lang erfaring med moderne teknologi for å levere løsninger som virkelig gjør en forskjell. Fra lokal til global synlighet – vi hjelper deg med å nå dine mål.
    Kontakt
    Kontakt informasjon
    E-post: mats@itkomet.no
    +47 909 80 734
    La oss høre om ditt prosjekt
    Webløsning av ITKOMET AS