wp-config.php in WordPress: So findest und bearbeitest du die Datei sicher

Keine Kommentare

Wenn du WordPress nutzt, hast du bestimmt schon mal von der wp-config.php gehört. Sie ist eine der wichtigsten Dateien deines Blogs – und trotzdem versteckt sie sich ziemlich gut. In diesem Artikel zeige ich dir, wie du sie findest, verstehst und sogar selbst anpassen kannst.

Die wp-config.php regelt viele Dinge im Hintergrund, zum Beispiel die Verbindung zur Datenbank oder bestimmte Sicherheitseinstellungen. Ohne sie läuft WordPress gar nicht erst. Aber keine Sorge: Du musst kein Profi sein, um zu verstehen, was drinsteht.

Ich erkläre dir Schritt für Schritt, was du wissen musst – ganz ohne Fachchinesisch. Egal ob du nur mal reinschauen oder eigene Einstellungen ausprobieren willst: Mit ein paar Grundlagen bist du schnell auf der sicheren Seite.

Lass uns gemeinsam anschauen, wie du mit der wp-config.php richtig umgehst – und worauf du dabei unbedingt achten solltest.

Was ist die wp-config.php und warum ist sie so wichtig?

Laptop mit geöffneter wp-config.php Datei in WordPress

Die wp-config.php ist eine zentrale Datei in jeder WordPress-Installation. Sie verbindet dein WordPress mit der Datenbank und legt wichtige Grundeinstellungen fest, noch bevor WordPress überhaupt richtig startet.

Wenn du dir WordPress wie ein Haus vorstellst, ist die wp-config.php so etwas wie der Bauplan. Sie sagt, wo die Datenbank steht, wie sie heißt, und wie man sich dort anmeldet. Ohne diesen Plan weiß WordPress nicht, wo es deine Beiträge, Seiten und Einstellungen finden soll.

In der Datei stehen unter anderem:

  • Datenbankname
  • Benutzername und Passwort für die Datenbank
  • Datenbank-Server (meist „localhost“)
  • Sicherheitsschlüssel für Login und Cookies
  • Spracheinstellungen

Außerdem lassen sich hier bestimmte Funktionen aktivieren oder abschalten, zum Beispiel den Debug-Modus, mit dem du Fehlermeldungen siehst. Auch Cache-Einstellungen oder Speichergrenzen kannst du hier festlegen.

Das Besondere: Die wp-config.php ist keine normale WordPress-Seite oder Einstellung im Dashboard. Du findest sie direkt im Hauptverzeichnis deiner WordPress-Dateien – meist dort, wo auch die Ordner „wp-content“, „wp-admin“ und „wp-includes“ liegen.

Weil die Datei so viele sensible Informationen enthält, solltest du mit ihr vorsichtig umgehen. Eine kleine Änderung an der falschen Stelle kann dazu führen, dass deine Website nicht mehr lädt. Aber wenn du weißt, was du tust, kannst du viel aus ihr herausholen.

Wo finde ich die wp-config.php in einer WordPress-Installation?

wp-config.php im Hauptverzeichnis einer WordPress-Installation

Die wp-config.php liegt nicht irgendwo tief versteckt, sondern direkt im Hauptverzeichnis deiner WordPress-Website. Das ist der Ordner, in dem auch die Unterordner wp-content, wp-includes und wp-admin zu finden sind. Wenn du Zugriff auf deine Webdateien hast, findest du die Datei ziemlich schnell.

Am einfachsten erreichst du die wp-config.php über einen FTP-Zugang oder den Dateimanager deines Webhosters. Nach dem Einloggen landest du meist im sogenannten Root-Verzeichnis deiner Domain. Dort liegt die Datei schon bereit – gleich auf Augenhöhe mit den anderen wichtigen WordPress-Dateien wie index.php oder .htaccess.

Manchmal ist sie aber gar nicht sichtbar. Dann kann es daran liegen, dass dein Dateimanager versteckte Dateien ausblendet oder du in einem Unterverzeichnis gelandet bist. Achte darauf, wirklich im Hauptordner deiner Installation zu sein – besonders, wenn du mehrere WordPress-Websites auf demselben Webspace hast.

Tipp: Wenn du die Datei dort nicht findest, kann es auch sein, dass sie beim Setup noch nicht erstellt wurde. In dem Fall erzeugt WordPress sie automatisch, sobald du die Installation abschließt.

Sobald du die Datei gefunden hast, kannst du sie mit einem einfachen Texteditor wie Notepad++ oder direkt im Dateimanager deines Hosters öffnen. Aber Vorsicht: Nicht versehentlich doppelklicken und herunterladen, sondern gezielt zum Bearbeiten öffnen.

So öffnest und bearbeitest du die wp-config.php sicher

Bevor du die wp-config.php bearbeitest, solltest du unbedingt eine Sicherheitskopie der Datei erstellen. Speichere dir einfach die Originalversion auf deinem Rechner ab, damit du sie im Notfall wieder hochladen kannst. Schon ein kleiner Fehler in der Datei kann dafür sorgen, dass deine Website nicht mehr funktioniert.

Um die Datei zu öffnen, brauchst du keinen speziellen Editor. Ein einfacher Texteditor wie Notepad++ (Windows) oder CotEditor (Mac) reicht völlig aus. Programme wie Microsoft Word solltest du dagegen nicht verwenden, da sie unsichtbare Formatierungen hinzufügen, die die Datei beschädigen können.

Der sicherste Weg zur Bearbeitung:

  1. Lade die wp-config.php über FTP oder den Dateimanager deines Hosters auf deinen Computer herunter.
  2. Öffne sie mit einem reinen Texteditor.
  3. Ändere nur die Stellen, bei denen du dir ganz sicher bist.
  4. Speichere die Datei und lade sie wieder an die ursprüngliche Stelle hoch – mit Überschreiben der alten Version.

Wenn dein Hosting-Anbieter einen Dateimanager mit integriertem Editor bietet, kannst du die Datei auch direkt dort ändern. Achte aber immer darauf, nach jeder Änderung deine Website zu überprüfen. Lädt sie nicht mehr, hast du vermutlich einen Fehler gemacht – dann hilft dir deine Sicherungskopie.

Wichtige Standard-Einträge in der wp-config.php erklärt

Die wp-config.php enthält eine Reihe von Einträgen, die WordPress überhaupt erst funktionsfähig machen. Viele dieser Zeilen werden bei der Installation automatisch gesetzt. Trotzdem ist es hilfreich, zu wissen, was sie bedeuten.

Hier sind die wichtigsten Standard-Einträge kurz erklärt:

define( 'DB_NAME', 'datenbankname' );

Der Name deiner WordPress-Datenbank. Hier speichert WordPress alle Inhalte.

define( 'DB_USER', 'benutzername' );
define( 'DB_PASSWORD', 'passwort' );

Benutzername und Passwort für den Zugriff auf die Datenbank. Diese Daten bekommst du von deinem Webhoster.

define( 'DB_HOST', 'localhost' );

Der Server, auf dem die Datenbank läuft. Bei den meisten Anbietern ist das einfach „localhost“.

$table_prefix = 'wp_';

Das ist das Präfix für alle Datenbanktabellen. Standard ist „wp_“, aber aus Sicherheitsgründen wird oft ein anderer Wert empfohlen.

define( 'WPLANG', '' );

Legt die Sprache der WordPress-Oberfläche fest. Wird meist leer gelassen, da die Sprache inzwischen über das Dashboard eingestellt wird.

Zusätzlich findest du dort auch die Authentifizierungsschlüssel (Security Keys), die für sichere Logins sorgen. Diese sehen aus wie lange Zufallszeichenfolgen und sollten nicht verändert werden, wenn du dich nicht ausloggen willst.

Alle diese Einträge sind notwendig, damit deine WordPress-Seite korrekt läuft. Änderungen solltest du nur machen, wenn du genau weißt, was du tust.

Erweiterte Einstellungen und praktische Anpassungen für Fortgeschrittene

Neben den Standard-Einträgen kannst du die wp-config.php auch nutzen, um WordPress gezielt an deine Bedürfnisse anzupassen. Das lohnt sich besonders, wenn du mehr Kontrolle über die Performance, das Caching oder die Fehlersuche haben möchtest.

Ein praktisches Beispiel ist der Debug-Modus, den du aktivieren kannst, um Fehler auf deiner Seite zu erkennen:

define( 'WP_DEBUG', true );

Im Live-Betrieb solltest du diese Einstellung aber wieder auf false setzen, damit Besucher keine Fehlermeldungen sehen.

Auch die Begrenzung des Arbeitsspeichers kann direkt in der Datei festgelegt werden:

define( 'WP_MEMORY_LIMIT', '256M' );

Das hilft, wenn dein Hoster standardmäßig wenig PHP-Speicher zur Verfügung stellt und du Plugins oder Themes nutzt, die mehr benötigen.

Du kannst außerdem festlegen, ob WordPress automatisch Updates durchführt:

define( 'WP_AUTO_UPDATE_CORE', false );

Oder du deaktivierst den Datei-Editor im Backend, um Manipulationen durch Dritte zu erschweren:

define( 'DISALLOW_FILE_EDIT', true );

Solche erweiterten Anpassungen bieten dir viele Möglichkeiten, WordPress noch gezielter zu steuern. Voraussetzung ist aber, dass du genau weißt, was jede Einstellung bewirkt. Denn falsch gesetzte Werte können zu Fehlern oder Einschränkungen führen.

Sicherheitstipps im Umgang mit der wp-config.php

Laptop mit WordPress-Logo, Code und Sicherheitssymbol auf dem Bildschirm

Da die wp-config.php sensible Daten wie Passwörter und Sicherheitsschlüssel enthält, ist sie ein beliebtes Ziel für Angreifer. Mit ein paar einfachen Maßnahmen kannst du die Datei besser schützen und das Risiko deutlich senken.

Ein bewährter Tipp ist, die Datei eine Ebene über das Webroot-Verzeichnis zu verschieben. WordPress erkennt die wp-config.php auch dort – das macht es Hackern schwerer, direkt darauf zuzugreifen.

Du kannst zusätzlich den Zugriff über den Browser blockieren. Das geht mit einem einfachen Eintrag in der .htaccess-Datei, wenn du einen Apache-Server nutzt:

<files wp-config.php>
order allow,deny
deny from all
</files>

So wird verhindert, dass jemand die Datei direkt im Browser aufruft.

Ein weiterer Schutz ist es, die Dateiberechtigungen einzuschränken. Stelle sicher, dass die Datei nur vom Server gelesen werden kann. Als Richtwert gilt:

  • Linux/Unix-Server: 400 oder 440 (nur Lesezugriff)
  • Windows-Server: Entsprechende NTFS-Rechte setzen

Außerdem solltest du nie sensible Daten wie Zugangsdaten oder Sicherheitsschlüssel in öffentlichen Repositories speichern – besonders nicht auf Plattformen wie GitHub.

Auch wenn diese Maßnahmen etwas technisches Verständnis erfordern, sind sie sehr effektiv. So stellst du sicher, dass deine wp-config.php nicht zur Schwachstelle wird.

Häufige Fehler beim Bearbeiten und wie du sie vermeidest

Beim Bearbeiten der wp-config.php kann schnell etwas schiefgehen – vor allem, wenn man sich nicht auskennt oder versehentlich eine wichtige Zeile verändert. Viele Probleme entstehen durch kleine, aber entscheidende Fehler im Code.

Ein typischer Fehler ist das Einfügen von Leerzeichen oder Zeilenumbrüchen vor oder nach dem <?php-Tag. Schon ein einziges Leerzeichen vor diesem Öffnungstag kann dazu führen, dass WordPress nicht mehr richtig lädt.

Auch fehlende oder falsche Anführungszeichen sind eine häufige Ursache für Fehlermeldungen. Achte darauf, bei Einträgen wie:

define( 'WP_DEBUG', true );

die richtigen einfachen Hochkommas (') zu verwenden und keine typografischen Anführungszeichen („ oder “), die oft automatisch von Textverarbeitungsprogrammen eingefügt werden.

Außerdem solltest du niemals eine Zeile entfernen, nur weil du nicht verstehst, wofür sie da ist. Lieber nachlesen oder kommentarlos stehen lassen – viele Einträge sind essenziell für den Betrieb deiner Seite.

Vermeide auch, mehrere define()-Befehle zu vermischen oder mitten im Code einen Kommentar unklar zu setzen. Wenn du Kommentare nutzt, dann so:

// Debug-Modus aktivieren
define( 'WP_DEBUG', true );

Wenn deine Website nach einer Änderung nicht mehr lädt, hilft es meist, die gesicherte Originaldatei wieder hochzuladen. Deshalb ist ein Backup vor jeder Änderung Pflicht.

Alternative Wege: wp-config.php per Plugin oder wp-cli bearbeiten

Wenn du die wp-config.php nicht manuell bearbeiten möchtest und Zugang zur Kommandozeile deines Servers hast, bietet dir wp-cli eine sichere und professionelle Alternative. Dieses Tool ist speziell für WordPress entwickelt und erlaubt dir, viele Aufgaben direkt über die Konsole auszuführen – inklusive Änderungen an der wp-config.php.

Ein typischer Befehl zum Aktivieren des Debug-Modus sieht so aus:

wp config set WP_DEBUG true --raw

Auch andere Einstellungen wie die Sprache, Speichergrenzen oder benutzerdefinierte Konstanten lassen sich damit einfach setzen. Der große Vorteil: wp-cli schreibt die Werte direkt und korrekt formatiert in die Datei, ohne dass du sie selbst öffnen oder das Risiko von Syntaxfehlern eingehen musst.

Damit das funktioniert, muss wp-cli auf deinem Server installiert sein. Viele WordPress-Hoster stellen es bereits vorinstalliert zur Verfügung oder ermöglichen eine einfache Nachrüstung.

Gerade für Fortgeschrittene oder Admins mit mehreren Installationen ist wp-cli eine zeitsparende und zuverlässige Lösung zur Verwaltung der wp-config.php.

Fazit: wp-config.php gezielt nutzen und besser verstehen

Die wp-config.php ist mehr als nur eine technische Datei – sie ist der Schlüssel zu vielen wichtigen Funktionen in WordPress. Wenn du verstehst, wie sie aufgebaut ist und was sich darin steuern lässt, bekommst du ein ganz neues Gefühl für dein System. Du musst kein Profi sein, um Änderungen vorzunehmen – wichtig ist nur, dass du sorgfältig arbeitest und im Zweifel immer ein Backup hast.

Viele spannende Möglichkeiten wie Debug-Modus, Speichergrenzen oder Sicherheitsfunktionen warten darauf, von dir entdeckt zu werden. Vielleicht willst du auch mal wp-cli ausprobieren oder mit einem Plugin erste Schritte machen – beides sind gute Wege, dich langsam heranzutasten.

Wenn du dich mit der wp-config.php beschäftigst, lernst du WordPress auf einer tieferen Ebene kennen. Das macht dich unabhängiger, sicherer und sorgt dafür, dass du Probleme schneller lösen kannst. Trau dich ruhig – es lohnt sich.

Fragen zum Artikel?
Tausche dich mit anderen Blogger:innen, WordPress-Nutzern und Website-Betreibern in unserem 💬 Forum auf WP-Visual.net aus – kostenlos, offen & hilfsbereit.

Ähnliche Beiträge:

Dirk Löbe Webmaster und Autor

Über Dirk Löbe

Hallo! Ich bin Dirk und habe meine erste Webseite bereits 2001 erstellt. Seit 2008 nutze ich dafür ausschließlich WordPress. Um dich an meinen Erfahrungen teilhaben zu lassen, biete ich dir hier Tutorials, Tipps und Informationen rund um das beliebte CMS. Weitere Projekte von mir: Dirks-Computerecke, Dirks-Fotoecke und Voegel-im-Garten.de.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert