wp-config exposto no WordPress: como proteger o arquivo

Tipo Seguranca

Nome do erro Como corrigir o wp-config.php exposto no WordPress

Severidade Crítico

Descrição O wp-config exposto é uma falha grave em que o arquivo de configuração do WordPress fica legível pela web, revelando a senha do banco e as chaves de autenticação. Ocorre quando o servidor entrega o conteúdo em texto, em vez de processá-lo como PHP, ou quando um backup do arquivo fica acessível por URL.

Conteúdo exclusivo para membros Pro

Faça upgrade para acessar este item completo.

// ★ Conteúdo disponível para membros Pro...
// Faça upgrade para acessar este item.

Perguntas frequentes

Por que o wp-config.php exposto é tão grave?

Porque ele contém a senha do banco de dados e as chaves de autenticação do site. Com a senha do banco, o atacante lê e altera todo o conteúdo; com as chaves, consegue forjar cookies de sessão e se passar por um administrador. É um vazamento que entrega o controle do site.

Como sei se o meu wp-config.php está exposto?

Acesse seudominio.com/wp-config.php no navegador. Se aparecer o conteúdo em texto, com linhas como DB_PASSWORD e as chaves, o arquivo está exposto. Protegido, a URL deve retornar 403 Forbidden ou uma página em branco, nunca o código.

O PHP normalmente esconde esse arquivo. Quando ele vaza?

Quando o servidor para de interpretar PHP e serve o arquivo como texto, o que acontece em quedas do handler do PHP ou má configuração. Também vaza por cópias de backup acessíveis (wp-config.php.bak) e por listagem de diretório aberta. A regra no .htaccess protege contra todos esses casos.

Preciso trocar a senha do banco depois de bloquear?

Sim, se o conteúdo chegou a ficar acessível na web. Bloquear o arquivo impede novos acessos, mas as credenciais antigas podem já ter sido lidas. Troque a senha do banco de dados e gere novas chaves de autenticação para invalidar o que possa ter vazado.

Bloquear pelo .htaccess é suficiente?

É a defesa principal no Apache, porque barra a requisição antes de servir o arquivo. Some a isso remover cópias de backup, ajustar a permissão para 640 e desativar a listagem de diretório. No Nginx, a regra equivalente é um bloco location negando o wp-config.php.

Como gero novas chaves de autenticação do WordPress?

O WordPress oferece um gerador oficial de chaves secretas. Copie o bloco gerado e substitua as linhas de SECRET KEY e SALT correspondentes no wp-config.php. Ao salvar, todas as sessões ativas são invalidadas, o que expulsa qualquer sessão forjada com as chaves antigas.

Pro Grave

Como corrigir Sorry, you are not allowed to access this page no WordPress

O aviso Sorry, you are not allowed to access this page aparece quando o WordPress entende que seu usuario nao tem a capacidade exigida pela tela. Costuma vir de papel de usuario rebaixado, prefixo de tabela trocado apos migracao ou capacidades de admin corrompidas.

Pro Grave

Como corrigir Your connection is not private no WordPress

Your connection is not private e o aviso que o navegador mostra quando nao consegue validar o certificado SSL do site. No WordPress costuma vir de certificado vencido, emitido para outro dominio ou com a cadeia de confianca incompleta no servidor.

Pro Grave

Como corrigir o conflito de login entre All in One Security e Elementor Pro

O conflito de login entre All in One Security e Elementor Pro surge quando recursos do AIOS (Cookie-Based Brute Force Prevention, Rename Login Page ou CAPTCHA) interceptam o wp-login.php, para onde o widget de Login do Elementor Pro envia as credenciais. O login recarrega, da erro de captcha ou redireciona para 127.0.0.1.

Pro Crítico

Como corrigir vulnerabilidade XSS no WordPress

Uma vulnerabilidade XSS (cross-site scripting) no WordPress permite que um invasor injete JavaScript malicioso nas suas páginas, que então roda no navegador de quem visita. Corrigir significa achar a entrada não sanitizada, escapar a saída e atualizar o plugin ou tema que abriu a brecha.

Pro Grave

Como corrigir o bloqueio do sitemap entre All in One Security e Rank Math

O bloqueio do sitemap AIOS Rank Math acontece quando uma regra de firewall do All in One Security devolve 403 Forbidden ao acessar o sitemap_index.xml gerado pelo Rank Math. As regras avancadas de filtro de query string e de metodos do AIOS interpretam a URL do sitemap como tráfego suspeito e o Google passa a receber 'Couldn't fetch'.

Pro Grave

Como corrigir a IP Whitelist que não funciona no All in One Security

No All in One Security, a IP Whitelist não libera o acesso quando o IP que o plugin detecta difere do IP que você cadastrou. Atrás de Cloudflare ou proxy reverso, o AIOS lê o IP do servidor intermediário, e a allowlist nunca casa.

Setores

Extensões

Integrações

Como corrigir o wp-config.php exposto no WordPress

Conteúdo exclusivo para membros Pro

Perguntas frequentes

Itens relacionados

Como corrigir Sorry, you are not allowed to access this page no WordPress

Como corrigir Your connection is not private no WordPress

Como corrigir o conflito de login entre All in One Security e Elementor Pro

Como corrigir vulnerabilidade XSS no WordPress

Como corrigir o bloqueio do sitemap entre All in One Security e Rank Math

Como corrigir a IP Whitelist que não funciona no All in One Security

Setores

Extensões

Integrações

Extensões

Hero Sections

Seções de CTA

Login

Blog

Cabeçalhos

Seções de FAQ

Cadastro

Blog individual

Rodapés

Seções de contato

Seções de preços

Faixas

Portfólio

Seções de equipe

Números

Logotipos