wp-config.php: o que é e como configurar (guia completo)

O wp-config.php é o arquivo de configuração mais importante do WordPress. É ele que guarda os dados de conexão com o banco de dados, as chaves de segurança e uma série de constantes que controlam como o seu site funciona — do modo de depuração ao limite de memória. Neste guia, você vai entender o que é o wp-config.php, onde ele fica, como editá-lo com segurança e quais são as principais configurações que você pode ajustar. Como é um arquivo sensível (um erro pode derrubar o site inteiro), a regra de ouro é sempre a mesma: faça backup antes de tocar nele.

⚠️
Faça backup antes de editar

O wp-config.php controla a conexão com o banco e a segurança do site. Um erro de digitação pode tirar o site do ar. Antes de qualquer alteração, baixe uma cópia do arquivo — se algo quebrar, basta reenviar a versão anterior.

O que é o arquivo wp-config.php?

O wp-config.php é um arquivo PHP que fica na raiz da instalação do WordPress e reúne as configurações fundamentais do site. É ele que diz ao WordPress a qual banco de dados se conectar, com quais credenciais, e define comportamentos como idioma, prefixo das tabelas, modo de depuração e limites de recursos.

Um detalhe importante: o wp-config.php não vem pronto no pacote de instalação do WordPress. O que existe é um modelo chamado wp-config-sample.php. Durante a instalação, o WordPress preenche os dados e gera o wp-config.php automaticamente — ou você mesmo pode criá-lo, renomeando o wp-config-sample.php e preenchendo as informações do banco.

Sem esse arquivo (ou com ele mal configurado), o WordPress não carrega e você vê o erro clássico “Erro ao estabelecer conexão com o banco de dados”.

Onde fica o wp-config.php?

O wp-config.php fica no diretório raiz da instalação do WordPress — normalmente a pasta public_html, ao lado das pastas wp-admin e wp-content. Para acessá-lo, use o gerenciador de arquivos do seu painel (cPanel, DirectAdmin) ou um cliente FTP como o FileZilla.

Para editar, você pode abrir direto pelo editor do gerenciador de arquivos, ou baixar o arquivo, editá-lo em um editor de código (como o VS Code) e reenviar. Sempre com uma cópia de backup guardada.

As principais configurações do wp-config.php

Conexão com o banco de dados

É o bloco mais crítico — sem ele, o site não funciona. Reúne as quatro informações que o WordPress usa para acessar o banco:

define( 'DB_NAME', 'nome_do_banco' ); define( 'DB_USER', 'usuario_do_banco' ); define( 'DB_PASSWORD', 'sua_senha' ); define( 'DB_HOST', 'localhost' );
  • DB_NAME — o nome do banco de dados MySQL do site.
  • DB_USER — o usuário com permissão de acesso a esse banco.
  • DB_PASSWORD — a senha desse usuário.
  • DB_HOST — o endereço do servidor de banco de dados. Costuma ser localhost, mas alguns provedores usam um host específico (confirme com o seu). Se o MySQL usa uma porta diferente da padrão (3306), informe assim: localhost:3307.

Se esses dados estiverem errados, aparece o erro “Erro ao estabelecer conexão com o banco de dados”.

Chaves de segurança (salts)

Logo abaixo do banco, ficam oito chaves de segurança (as keys e salts). Elas criptografam as informações de sessão e os cookies de login, tornando muito mais difícil para um invasor forjar um acesso:

define( 'AUTH_KEY', '...' ); define( 'SECURE_AUTH_KEY', '...' ); define( 'LOGGED_IN_KEY', '...' ); define( 'NONCE_KEY', '...' ); define( 'AUTH_SALT', '...' ); define( 'SECURE_AUTH_SALT', '...' ); define( 'LOGGED_IN_SALT', '...' ); define( 'NONCE_SALT', '...' );
💡
Gere chaves fortes automaticamente

Nunca invente as chaves manualmente. O WordPress tem um gerador oficial que cria as oito de uma vez, com aleatoriedade segura: acesse api.wordpress.org/secret-key/1.1/salt/, copie o resultado e substitua as linhas correspondentes. Trocar essas chaves também desconecta todos os usuários logados — útil se você suspeita de um acesso indevido.

Prefixo das tabelas

Define o prefixo das tabelas do banco no WordPress. O padrão é wp_:

$table_prefix = 'wp_';

Como wp_ é o padrão conhecido por todos, usar um prefixo personalizado (por exemplo, meusite_) na hora da instalação é uma boa prática de segurança — dificulta ataques automatizados ao banco. Atenção: mudar o prefixo em um site que já está funcionando exige renomear as tabelas do banco também, senão o site quebra. Faça isso só na instalação ou com um plugin específico.

Modo de depuração (WP_DEBUG)

Controla se o WordPress exibe erros e avisos do PHP. Por padrão vem desativado (false):

define( 'WP_DEBUG', false );

Ao investigar um problema (como uma tela branca ou erro crítico), mude para true para ver os erros. Para não mostrar os erros aos visitantes e sim gravá-los num arquivo de log, use a combinação:

define( 'WP_DEBUG', true ); define( 'WP_DEBUG_LOG', true ); // grava em wp-content/debug.log define( 'WP_DEBUG_DISPLAY', false ); // não mostra na tela

Lembre-se de desativar o debug quando terminar — deixá-lo ligado em produção pode expor informações sensíveis.

O caminho absoluto (não mexer)

No fim do arquivo há um bloco que define o caminho absoluto e carrega o WordPress. Nunca adicione nada abaixo dele — suas linhas personalizadas devem sempre vir antes do comentário “Isso é tudo, pode parar de editar!”:

/* Isso é tudo, pode parar de editar! Bom blogging. */ if ( ! defined( 'ABSPATH' ) ) { define( 'ABSPATH', __DIR__ . '/' ); } require_once ABSPATH . 'wp-settings.php';

Constantes úteis para adicionar ao wp-config.php

Além do básico, o wp-config.php aceita dezenas de constantes que ajustam segurança, desempenho e comportamento do site. As mais úteis:

Constante O que faz
WP_MEMORY_LIMIT Aumenta o limite de memória do WordPress (ex.: ‘256M’). Útil contra o erro de memória esgotada.
DISALLOW_FILE_EDIT Com true, desativa o editor de temas/plugins no painel — impede que um invasor edite código pelo wp-admin.
WP_HOME / WP_SITEURL Definem a URL do site sem mexer no banco. Úteis após migração ou troca de domínio.
WP_POST_REVISIONS Limita (ex.: 3) ou desativa (false) o número de revisões salvas por post, aliviando o banco.
AUTOSAVE_INTERVAL Ajusta o intervalo (em segundos) do salvamento automático do editor. Padrão: 60.
FORCE_SSL_ADMIN Com true, força o uso de HTTPS no painel de administração.
WP_AUTO_UPDATE_CORE Controla as atualizações automáticas do núcleo (true, false ou 'minor').

Como proteger o wp-config.php

Como o wp-config.php guarda as credenciais do banco, protegê-lo é essencial. Duas medidas simples:

1. Bloquear o acesso pelo navegador via .htaccess. Adicione ao .htaccess na raiz:

<files wp-config.php> order allow,deny deny from all </files>

2. Usar chaves de segurança fortes (o gerador oficial, como mostramos acima) e um prefixo de tabelas personalizado. Some a isso boas práticas gerais: senhas fortes, plugins atualizados e um bom plugin de segurança.

Uma hospedagem que cuida da parte difícil

Configurar banco de dados e wp-config.php pode assustar. Na Homehost, o WordPress já vem instalado e configurado via Softaculous, com backup automático e suporte em português para quando você precisar mexer no que importa.

Ver planos de hospedagem WordPress

Perguntas frequentes sobre o wp-config.php

Onde fica o wp-config.php?
No diretório raiz da instalação do WordPress, normalmente a pasta public_html, ao lado das pastas wp-admin e wp-content. Você acessa pelo gerenciador de arquivos do painel ou por FTP.
Meu site não tem wp-config.php. É normal?
O arquivo não vem pronto no pacote do WordPress — existe um modelo chamado wp-config-sample.php. O wp-config.php é gerado durante a instalação, ou você pode criá-lo renomeando o modelo e preenchendo os dados do banco de dados.
É seguro editar o wp-config.php?
Sim, desde que você faça um backup antes e edite com cuidado. Como o arquivo controla a conexão com o banco, um erro pode tirar o site do ar — mas basta restaurar a cópia anterior para voltar ao normal. Adicione linhas sempre antes do comentário “Isso é tudo, pode parar de editar!”.
O que fazer se aparecer “Erro ao estabelecer conexão com o banco de dados”?
Esse erro quase sempre vem de dados errados no wp-config.php. Confira se DB_NAME, DB_USER, DB_PASSWORD e DB_HOST estão corretos e batem com os dados do banco no painel da hospedagem. Se estiverem certos, o servidor de banco pode estar fora do ar — contate o suporte.
Como ativar o modo de depuração pelo wp-config.php?
Mude a linha define(‘WP_DEBUG’, false); para true. Para gravar os erros em um arquivo em vez de mostrá-los aos visitantes, adicione WP_DEBUG_LOG como true e WP_DEBUG_DISPLAY como false. Lembre de desativar quando terminar.

Veja também

Continue configurando seu WordPress: veja o que é o WordPress, o guia do arquivo .htaccess do WordPress, como aumentar o limite de memória do WordPress e como fazer login no WordPress.

Conclusão

O wp-config.php é o coração da configuração do WordPress: conecta o site ao banco de dados, protege o acesso com chaves de segurança e permite ajustar dezenas de comportamentos por meio de constantes. Não é um arquivo que você mexe todo dia — mas saber o que cada parte faz ajuda a resolver erros, reforçar a segurança e otimizar o site quando necessário. A regra essencial permanece: faça backup antes de editar, altere uma coisa por vez e sempre teste o site em seguida.

Este artigo foi útil?

Obrigado pela resposta!
Picture of Gustavo Gallas

Gustavo Gallas

Analista de sistemas, formado pela PUC-Rio. Programador, gestor de redes e diretor da empresa Homehost. Pai do Bóris, seu pet de estimação. Gosta de rock'n'roll, cerveja artesanal e de escrever sobre assuntos técnicos.

Contato: gustavo.blog@homehost.com.br

Ganhe 30% OFF

Indique seu nome e e-mail,e ganhe um cupom de desconto de 30% para sempre na Homehost!