wp-config.php – warum diese eine Datei über Sicherheit und Funktion Ihrer Website entscheidet
Die wp-config.php ist die wichtigste Konfigurationsdatei einer WordPress-Installation. Sie enthält die Datenbankzugangsdaten, Sicherheitsschlüssel, Debug-Einstellungen und grundlegende Parameter, die WordPress für den Betrieb benötigt. Ohne eine korrekt konfigurierte wp-config.php startet WordPress nicht. Für Unternehmen ist diese Datei relevant, weil sie die Verbindung zwischen Website und Datenbank herstellt, Sicherheitsmechanismen aktiviert und Performance-Einstellungen steuert. Eine falsch konfigurierte wp-config.php kann die Website lahmlegen, Sicherheitslücken öffnen oder die Performance drastisch verschlechtern. Gleichzeitig ist sie der Schlüssel zu fortgeschrittenen Optimierungen, die eine durchschnittliche WordPress-Website von einer professionellen unterscheiden.
Ihre WordPress-Installation braucht professionelle Konfiguration? Jetzt beraten lassen.
Was die wp-config.php enthält
Die wp-config.php wird bei der WordPress-Installation automatisch erstellt und enthält standardmäßig die Datenbankverbindungsdaten: Datenbankname, Benutzername, Passwort und Server-Adresse. Diese vier Werte verbinden WordPress mit seiner MySQL- oder MariaDB-Datenbank, in der alle Inhalte gespeichert sind. Ohne korrekte Datenbankverbindung zeigt WordPress den berüchtigten Fehler “Error establishing a database connection” – eine leere Seite, die Besucher und Suchmaschinen gleichermaßen abschreckt.
Neben den Datenbankdaten enthält die Datei die Authentication Keys und Salts – kryptografische Schlüssel, die WordPress-Cookies verschlüsseln und die Sicherheit von Benutzer-Sessions gewährleisten. Das Tabellenpräfix, standardmäßig wp_, bestimmt den Namensraum der Datenbanktabellen. Die Debug-Einstellungen kontrollieren, ob WordPress Fehlermeldungen anzeigt. Und die Konstante ABSPATH definiert den absoluten Pfad zur WordPress-Installation. All diese Werte sind sensibel – wer Zugriff auf die wp-config.php hat, hat Zugriff auf die gesamte Website.
Sicherheitsrelevante Einstellungen in der wp-config.php
Die wp-config.php ist die erste Verteidigungslinie einer WordPress-Website. Die Authentication Keys und Salts sollten einzigartige, zufällig generierte Zeichenketten sein. WordPress bietet unter api.wordpress.org/secret-key einen Generator, der bei jeder Anfrage neue Schlüssel erzeugt. Diese Schlüssel regelmäßig zu wechseln – etwa nach einem Sicherheitsvorfall – invalidiert alle bestehenden Sessions und zwingt alle Benutzer zur Neuanmeldung.
Weitere sicherheitsrelevante Einstellungen: DISALLOW_FILE_EDIT deaktiviert den integrierten Theme- und Plugin-Editor im WordPress-Dashboard – ein häufiges Einfallstor für Angreifer, die sich Admin-Zugang verschafft haben. DISALLOW_UNFILTERED_HTML verhindert, dass Administratoren beliebigen HTML-Code in Beiträgen einfügen können – relevant für Multisite-Installationen und Websites mit mehreren Redakteuren. FORCE_SSL_ADMIN erzwingt HTTPS für den gesamten Admin-Bereich. Und das Tabellenpräfix sollte von wp_ auf einen individuellen Wert geändert werden, um automatisierte SQL-Injection-Angriffe zu erschweren.
Performance-Optimierung über die wp-config.php
Die wp-config.php bietet mehrere Stellschrauben für die Website-Performance. WP_MEMORY_LIMIT erhöht den PHP-Speicher, den WordPress nutzen darf – der Standardwert von 40 Megabyte reicht für komplexe Websites mit vielen Plugins oft nicht aus. WP_POST_REVISIONS begrenzt die Anzahl gespeicherter Beitragsrevisionen – statt unbegrenzter Revisionen, die die Datenbank aufblähen, reichen in der Praxis drei bis fünf Versionen. AUTOSAVE_INTERVAL bestimmt, wie oft WordPress automatisch speichert – der Standardwert von 60 Sekunden kann auf 120 oder 300 Sekunden erhöht werden, um Datenbankschreibvorgänge zu reduzieren.
EMPTY_TRASH_DAYS definiert, wie lange gelöschte Beiträge im Papierkorb verbleiben, bevor sie endgültig entfernt werden. WP_CACHE aktiviert das Object Caching, das Plugins wie WP Rocket oder Redis Object Cache nutzen. Und CONCATENATE_SCRIPTS steuert, ob WordPress Admin-Scripts zusammenfasst – in manchen Hosting-Umgebungen kann das Deaktivieren dieser Option die Dashboard-Performance verbessern. Diese Einstellungen sind individuell auf die jeweilige Website abzustimmen – es gibt keine universell optimale Konfiguration.
Professionelle WordPress-Konfiguration für maximale Sicherheit und Performance – jetzt anfragen.
Die wp-config.php und Multisite
Für WordPress Multisite-Installationen enthält die wp-config.php zusätzliche Konfigurationsparameter. WP_ALLOW_MULTISITE aktiviert die Multisite-Funktion. MULTISITE, SUBDOMAIN_INSTALL, DOMAIN_CURRENT_SITE und PATH_CURRENT_SITE definieren die Netzwerkstruktur. Diese Einstellungen müssen vor der ersten Multisite-Aktivierung korrekt gesetzt werden – eine nachträgliche Änderung der Netzwerkstruktur von Subdomains auf Unterverzeichnisse oder umgekehrt ist technisch aufwendig und kann bestehende Inhalte unzugänglich machen.
Für Unternehmen mit mehreren Standorten oder Marken, die WordPress Multisite nutzen, ist die korrekte wp-config.php-Konfiguration besonders kritisch. Ein falscher Parameter kann das gesamte Netzwerk lahmlegen. Professionelle WordPress-Agenturen konfigurieren Multisite-Installationen in einer Staging-Umgebung, testen alle Netzwerkfunktionen und dokumentieren die Konfiguration, bevor sie in die Produktivumgebung übernommen wird.
Debugging und Fehlersuche über die wp-config.php
Wenn eine WordPress-Website Probleme macht – weiße Seite, Fehlermeldungen, unerwartetes Verhalten – ist die wp-config.php der erste Anlaufpunkt für die Fehlersuche. WP_DEBUG aktiviert den Debug-Modus und zeigt PHP-Fehler, Warnungen und Hinweise direkt auf der Website an. WP_DEBUG_LOG schreibt diese Meldungen in eine Log-Datei statt sie anzuzeigen – sicherer für Produktivumgebungen, da Besucher keine technischen Details sehen. WP_DEBUG_DISPLAY steuert, ob Fehlermeldungen im Browser angezeigt werden.
Die empfohlene Debug-Konfiguration für eine Produktivwebsite: WP_DEBUG auf true, WP_DEBUG_LOG auf true und WP_DEBUG_DISPLAY auf false. So werden alle Fehler protokolliert, aber nicht den Besuchern angezeigt. Die Log-Datei kann dann in Ruhe analysiert werden. Für Entwicklungsumgebungen kann WP_DEBUG_DISPLAY auf true gesetzt werden, um Fehler sofort zu sehen. Auf einer Produktivwebsite sollte WP_DEBUG jedoch grundsätzlich deaktiviert sein, wenn kein aktives Debugging stattfindet – aktiviertes Debugging verbraucht Serverressourcen und kann sensible Informationen preisgeben.
Kostenloser WordPress-Sicherheits-Check
Erfahren Sie, ob Ihre WordPress-Konfiguration sicher und optimal eingestellt ist – inklusive konkreter Handlungsempfehlungen.
Fehler Nummer eins: Die wp-config.php nicht schützen
Die wp-config.php enthält Datenbankpasswörter und Sicherheitsschlüssel – sie ist die sensibelste Datei einer WordPress-Installation. Trotzdem ist sie auf vielen Servern über den Browser aufrufbar, wenn die Server-Konfiguration fehlerhaft ist. Der Schutz über .htaccess-Regeln, die den direkten Zugriff auf die Datei blockieren, ist eine Grundmaßnahme, die bei jeder professionellen Installation Standard sein sollte. Zusätzlich kann die wp-config.php eine Verzeichnisebene oberhalb der WordPress-Installation platziert werden – WordPress findet sie dort automatisch, aber ein Angreifer, der Zugriff auf das Web-Verzeichnis erhält, sieht sie nicht.
Fehler Nummer zwei: Standard-Sicherheitsschlüssel verwenden
Manche WordPress-Installationen – besonders automatische One-Click-Installationen bei Hosting-Anbietern – verwenden leere oder standardmäßige Authentication Keys und Salts. Das bedeutet: Die Cookie-Verschlüsselung ist schwach oder nicht vorhanden, und Session-Hijacking wird deutlich einfacher. Die Lösung ist trivial: Einzigartige Schlüssel über den WordPress Secret Key Generator erzeugen und in die wp-config.php eintragen. Dieser Vorgang dauert zwei Minuten und verbessert die Sicherheit erheblich.
Fehler Nummer drei: Debug-Modus auf der Produktivwebsite aktiviert lassen
Der Debug-Modus ist ein unverzichtbares Werkzeug für die Entwicklung und Fehlersuche. Auf einer öffentlich zugänglichen Website hat er nichts zu suchen. WP_DEBUG mit aktiviertem WP_DEBUG_DISPLAY zeigt Besuchern PHP-Fehler, die Server-Pfade, Plugin-Versionen und andere technische Details preisgeben – Informationen, die ein Angreifer für gezielte Attacken nutzen kann. Auf jeder Produktivwebsite muss WP_DEBUG deaktiviert oder zumindest WP_DEBUG_DISPLAY auf false gesetzt sein. Technische Wartung zwischen 50 und 300 Euro monatlich stellt sicher, dass solche Konfigurationsfehler erkannt und behoben werden.
WordPress-Sicherheit und Performance professionell konfigurieren – jetzt Kontakt aufnehmen.
Was ist die wp-config.php?
Die wp-config.php ist die zentrale Konfigurationsdatei einer WordPress-Installation. Sie enthält die Datenbankverbindungsdaten, Sicherheitsschlüssel, Debug-Einstellungen und grundlegende Parameter, ohne die WordPress nicht funktioniert. Die Datei wird bei der Installation automatisch erstellt und befindet sich im Hauptverzeichnis der WordPress-Installation. Sie ist die sensibelste Datei einer WordPress-Website, da sie Datenbankpasswörter und kryptografische Schlüssel enthält.
Kann ich die wp-config.php selbst bearbeiten?
Technisch ja, über einen FTP-Client oder den Dateimanager des Hosting-Anbieters. Praktisch sollten Änderungen nur von erfahrenen Personen vorgenommen werden, da ein Fehler die gesamte Website lahmlegen kann. Ein fehlender Strichpunkt, ein falsches Anführungszeichen oder ein falsch platzierter Parameter führt zu einem White Screen of Death – einer komplett leeren Seite. Vor jeder Änderung muss ein Backup der Datei erstellt werden. Für die meisten Anpassungen gibt es sicherere Wege über das WordPress-Dashboard oder spezialisierte Plugins.
Wo finde ich die wp-config.php?
Die wp-config.php befindet sich im Hauptverzeichnis der WordPress-Installation, typischerweise im Ordner public_html oder httpdocs auf dem Webserver. Sie können sie über einen FTP-Client wie FileZilla, über den Dateimanager in Ihrem Hosting-Control-Panel oder über die Kommandozeile mit SSH-Zugang erreichen. WordPress erkennt die Datei auch, wenn sie eine Verzeichnisebene oberhalb der Installation platziert wird – eine Sicherheitsmaßnahme, die den direkten Zugriff über den Browser erschwert.
Wie kann ich die WordPress-Sicherheitsschlüssel ändern?
Besuchen Sie api.wordpress.org/secret-key, um neue einzigartige Sicherheitsschlüssel zu generieren. Kopieren Sie den generierten Block und ersetzen Sie die entsprechenden Zeilen in Ihrer wp-config.php. Nach dem Speichern werden alle bestehenden Sessions invalidiert – alle Benutzer müssen sich neu anmelden. Das Ändern der Schlüssel empfiehlt sich nach einem Sicherheitsvorfall, bei Verdacht auf unbefugten Zugriff oder wenn die Website von einem anderen Server übernommen wurde. Die Änderung hat keine Auswirkung auf Inhalte oder Einstellungen der Website.
