WordPress で wp-config.php をインストールディレクトリの外に移動する方法とそうすべき理由

メインイメージ

WordPress の設定ファイル wp-config.php をインストールディレクトリの外（一つ上）に移動することについてです。

これは手間がほとんどかからずセキュリティ上のメリットが大きい対策なので、実施可能な環境ではぜひ実施することを検討してください。

確認時の環境

Wordpress 6.5.3

手順

動作している WordPress サイトのインストールディレクトリを開きます。デフォルトの状態であればインストールディレクトリ直下に wp-config.php があるのでそれを一つ上の階層に移動します。

例:

項目	値
移動前のディレクトリ	`/home/<username>/example.com/public_html/`
移動後のディレクトリ	`/home/<username>/example.com/`

ファイルを移動するだけなので作業内容はシンプルですが、操作ミスの不安がある方は事前にサイト全体のバックアップを取ってから行ってください。

移動し終えたらブラウザからその WordPress サイトのホームページにアクセスして、サイトが変わりなく正しく表示されるか確認してください。移動が正しく作業が行えていれば wp-config.php の移動後も WordPress サイトは正しく動くはずです。

どうしてもうまく行かない場合は移動した wp-config.php をインストールディレクトリ直下に戻してください。

なぜ wp-config.php を一つ上の階層に移動してもサイトが問題なく動くか原理を上の動画で説明しているので、興味のある方は動画も見てみてください。

セキュリティ上のメリット

wp-config.php にはセキュリティキーやデータベース接続情報などの機密情報が記述されており、その内容が外部から閲覧されるとサイトの乗っ取りや悪用、情報漏洩の被害を受けるリスクがあります。

万が一 Apache の設定（ .htaccess ）に記述ミスがあったりすると、ウェブ上から PHP ファイルの中身がそのまま閲覧できる状態になってしまうことがあります。そんなときに wp-config.php がデフォルトのインストールディレクトリ直下に置いてあると閲覧されて機密情報が漏洩する可能性がありますが、インストールディレクトリの一つ上の階層に移動しておけば wp-config.php の中身が閲覧されるリスクが低くなります。