ワードプレスのwp-config.phpを外部に置くのは本当に安全？メリット・デメリットを検証

投稿:2025年11月19日

wp-config.phpを別の名称あるは別のディレクトリに置く方がいいか、又はその方法につきまして解説いたします。

この記事の目次

ワードプレスのwp-config.phpを外部化もしくは名称を変えることメリット
ワードプレスのwp-config.phpを外部化もしくは名称を変える方法
外部化するには？
ワードプレスのwp-config.phpを外部化もしくは名称を変えることデメリット
wp-config.phpのリネームは推奨される？

ワードプレスのwp-config.phpを外部化もしくは名称を変えることメリット

wp-config.phpにはデータベースの接続情報という非常に重要な情報が書き込まれています。この接続情報が外部に漏れるとデータベースを操作されて不正なユーザーを作られたり、ワードプレスのコンテンツを書き換えされたりする可能性があります。

※XサーバーやSakura、Lolipop等の共用サーバーではデータベース接続できるのは同一サーバー内だけに限定している場合が多いです。この為、外部からデータベース接続できるかどうかはサーバーのプランやご契約サーバーの仕様によります。ただし、ハッカーが上記サーバーのPHPMYADMINの場所(URL)を知っている場合はやはりデータベースを操作されてしまう可能性があります

また、ハッカーが良く行う脆弱性攻撃として、wp-config.phpの内容を覗き見るというのがあり、この脆弱性攻撃を防ぐためにも、wp-config.phpを外部化もしくは名称を変えることはセキュリティー上のメリットがございます。

参考　(下記記事の３位５位の脆弱性となります)
ワードプレスで昨今最も狙われているプラグインの脆弱性６選

ワードプレスのwp-config.phpを外部化もしくは名称を変える方法

下記の手順でwp-config.phpの名称を変えることが可能です。

1. wp-config.php をリネーム

FTP やファイルマネージャーで
wp-config.php → wp-config-secure.php（任意の名前で問題ございませんが手順２の名称と一致している必要がございます）

2. wp-load.phpのwp-config.phpの読み込み部分を書き換える

下記の２行

if ( file_exists( ABSPATH . 'wp-config.php' ) ) {

	/** The config file resides in ABSPATH */
	require_once ABSPATH . 'wp-config.php';

を下記のように書き換えます

if ( file_exists( ABSPATH . 'wp-config-secure.php' ) ) {

	/** The config file resides in ABSPATH */
	require_once ABSPATH . 'wp-config-secure.php';

※wp-config.php　を残したうえで、別の名称のwp-config-secure.phpをrequireして読み込む方式はセキュリティー上はあまり意味を成しません。

外部化するには？

まず上記wp-config-secure.phpをサーバーのHTMLが配置されているフォルダの上の階層に置きます。
そのフォルダを../で上の階層を指定して指定します。

一つ上の階層に配置した場合

if ( file_exists( ABSPATH . '../wp-config-secure.php' ) ) {

	/** The config file resides in ABSPATH */
	require_once ABSPATH . '../wp-config-secure.php';

２つ上の階層に配置した場合

if ( file_exists( ABSPATH . '../../wp-config-secure.php' ) ) {

	/** The config file resides in ABSPATH */
	require_once ABSPATH . '../../wp-config-secure.php';

ワードプレスのwp-config.phpを外部化もしくは名称を変えることデメリット

上記カスタマイズを行った場合、ワードプレスのアップデート時にいくつかの注意するべきデメリットがございます。

１　アップデート時に、WordPressが「設定ファイルがない」と判断し、新しくwp-config.phpを生成してしまう

２　アップデート時にwp-load.phpが正規ファイルに戻ってしまい、リネームしたwp-config.php　を読み込めなくなり、サイトがインストール時の画面になってしまいサイトが表示不全になります

この為、アップデート時に毎回、wp-config.phpを外部化する作業を再度求められます。自動更新が有効になっている場合想定外のタイミングで上記エラーが引き起こされる可能性がございます。

wp-config.phpのリネームは推奨される？

当社では特殊な事例を除いてwp-config.phpをリネームしたり外部化するのはデメリットも大きい為推奨できないかと考えられます。それよりもwp-config.phpを覗き見られる脆弱性対策を行われることをお勧めいたします。

※当社で構築している脆弱性データベースから御社サイトに導入されているプラグインのwp-config.phpを覗き見られる脆弱性検査等を簡単に行っていただくことが可能です
【無料】ワードプレス:マルウェアスキャン＆セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

WordPress ワードプレスのマルウェア駆除やセキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください

著者 WPドクターセキュリティチーム (リーダー吉田僚太)

ハッキングされたワードプレスサイトのマルウェア駆除、セキュリティ対策を年間数百件請け負う。ワードプレスサイトのマルウェア感染により、被害を受けるサイトを多数見てきた経験から、ワードプレスサイトのハッキング被害をなんとか減らしたいとの思いから日本で初めてワードプレスのマルウェア検出プログラムを開発。好評を経て数千回ダウンロードされたことから、その後WPドクターマルウェア検出プラグインにプログラム進化させ、リリース。プラグインは現在数万サイトで利用されている。１００万件を超えるマルウェアファイルの収集分析、その検出パターンの生成、脆弱性データベースの構築など、プラグインの機能や検出力強化を担当している。また個別マルウェア駆除の依頼をより高精度に行うための作業フローの開発・洗練や再感染を防ぐ為のセキュリティー対策方法を日々研究している。

著者の記事一覧(カテゴリーセキュリティ・脆弱性・マルウェア駆除)
Wordpress.org公式アカウント