O wp-config.php é o arquivo de configuração mais importante do WordPress. É ele que guarda os dados de conexão com o banco de dados, as chaves de segurança e uma série de constantes que controlam como o seu site funciona — do modo de depuração ao limite de memória. Neste guia, você vai entender o que é o wp-config.php, onde ele fica, como editá-lo com segurança e quais são as principais configurações que você pode ajustar. Como é um arquivo sensível (um erro pode derrubar o site inteiro), a regra de ouro é sempre a mesma: faça backup antes de tocar nele.
O wp-config.php controla a conexão com o banco e a segurança do site. Um erro de digitação pode tirar o site do ar. Antes de qualquer alteração, baixe uma cópia do arquivo — se algo quebrar, basta reenviar a versão anterior.
O que é o arquivo wp-config.php?
O wp-config.php é um arquivo PHP que fica na raiz da instalação do WordPress e reúne as configurações fundamentais do site. É ele que diz ao WordPress a qual banco de dados se conectar, com quais credenciais, e define comportamentos como idioma, prefixo das tabelas, modo de depuração e limites de recursos.
Um detalhe importante: o wp-config.php não vem pronto no pacote de instalação do WordPress. O que existe é um modelo chamado wp-config-sample.php. Durante a instalação, o WordPress preenche os dados e gera o wp-config.php automaticamente — ou você mesmo pode criá-lo, renomeando o wp-config-sample.php e preenchendo as informações do banco.
Sem esse arquivo (ou com ele mal configurado), o WordPress não carrega e você vê o erro clássico “Erro ao estabelecer conexão com o banco de dados”.
Onde fica o wp-config.php?
O wp-config.php fica no diretório raiz da instalação do WordPress — normalmente a pasta public_html, ao lado das pastas wp-admin e wp-content. Para acessá-lo, use o gerenciador de arquivos do seu painel (cPanel, DirectAdmin) ou um cliente FTP como o FileZilla.
Para editar, você pode abrir direto pelo editor do gerenciador de arquivos, ou baixar o arquivo, editá-lo em um editor de código (como o VS Code) e reenviar. Sempre com uma cópia de backup guardada.
As principais configurações do wp-config.php
Conexão com o banco de dados
É o bloco mais crítico — sem ele, o site não funciona. Reúne as quatro informações que o WordPress usa para acessar o banco:
define( 'DB_NAME', 'nome_do_banco' );
define( 'DB_USER', 'usuario_do_banco' );
define( 'DB_PASSWORD', 'sua_senha' );
define( 'DB_HOST', 'localhost' );- DB_NAME — o nome do banco de dados MySQL do site.
- DB_USER — o usuário com permissão de acesso a esse banco.
- DB_PASSWORD — a senha desse usuário.
- DB_HOST — o endereço do servidor de banco de dados. Costuma ser
localhost, mas alguns provedores usam um host específico (confirme com o seu). Se o MySQL usa uma porta diferente da padrão (3306), informe assim:localhost:3307.
Se esses dados estiverem errados, aparece o erro “Erro ao estabelecer conexão com o banco de dados”.
Chaves de segurança (salts)
Logo abaixo do banco, ficam oito chaves de segurança (as keys e salts). Elas criptografam as informações de sessão e os cookies de login, tornando muito mais difícil para um invasor forjar um acesso:
define( 'AUTH_KEY', '...' );
define( 'SECURE_AUTH_KEY', '...' );
define( 'LOGGED_IN_KEY', '...' );
define( 'NONCE_KEY', '...' );
define( 'AUTH_SALT', '...' );
define( 'SECURE_AUTH_SALT', '...' );
define( 'LOGGED_IN_SALT', '...' );
define( 'NONCE_SALT', '...' );Nunca invente as chaves manualmente. O WordPress tem um gerador oficial que cria as oito de uma vez, com aleatoriedade segura: acesse api.wordpress.org/secret-key/1.1/salt/, copie o resultado e substitua as linhas correspondentes. Trocar essas chaves também desconecta todos os usuários logados — útil se você suspeita de um acesso indevido.
Prefixo das tabelas
Define o prefixo das tabelas do banco no WordPress. O padrão é wp_:
$table_prefix = 'wp_';Como wp_ é o padrão conhecido por todos, usar um prefixo personalizado (por exemplo, meusite_) na hora da instalação é uma boa prática de segurança — dificulta ataques automatizados ao banco. Atenção: mudar o prefixo em um site que já está funcionando exige renomear as tabelas do banco também, senão o site quebra. Faça isso só na instalação ou com um plugin específico.
Modo de depuração (WP_DEBUG)
Controla se o WordPress exibe erros e avisos do PHP. Por padrão vem desativado (false):
define( 'WP_DEBUG', false );Ao investigar um problema (como uma tela branca ou erro crítico), mude para true para ver os erros. Para não mostrar os erros aos visitantes e sim gravá-los num arquivo de log, use a combinação:
define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', true ); // grava em wp-content/debug.log
define( 'WP_DEBUG_DISPLAY', false ); // não mostra na telaLembre-se de desativar o debug quando terminar — deixá-lo ligado em produção pode expor informações sensíveis.
O caminho absoluto (não mexer)
No fim do arquivo há um bloco que define o caminho absoluto e carrega o WordPress. Nunca adicione nada abaixo dele — suas linhas personalizadas devem sempre vir antes do comentário “Isso é tudo, pode parar de editar!”:
/* Isso é tudo, pode parar de editar! Bom blogging. */
if ( ! defined( 'ABSPATH' ) ) {
define( 'ABSPATH', __DIR__ . '/' );
}
require_once ABSPATH . 'wp-settings.php';Constantes úteis para adicionar ao wp-config.php
Além do básico, o wp-config.php aceita dezenas de constantes que ajustam segurança, desempenho e comportamento do site. As mais úteis:
| Constante | O que faz |
|---|---|
| WP_MEMORY_LIMIT | Aumenta o limite de memória do WordPress (ex.: ‘256M’). Útil contra o erro de memória esgotada. |
| DISALLOW_FILE_EDIT | Com true, desativa o editor de temas/plugins no painel — impede que um invasor edite código pelo wp-admin. |
| WP_HOME / WP_SITEURL | Definem a URL do site sem mexer no banco. Úteis após migração ou troca de domínio. |
| WP_POST_REVISIONS | Limita (ex.: 3) ou desativa (false) o número de revisões salvas por post, aliviando o banco. |
| AUTOSAVE_INTERVAL | Ajusta o intervalo (em segundos) do salvamento automático do editor. Padrão: 60. |
| FORCE_SSL_ADMIN | Com true, força o uso de HTTPS no painel de administração. |
| WP_AUTO_UPDATE_CORE | Controla as atualizações automáticas do núcleo (true, false ou 'minor'). |
Como proteger o wp-config.php
Como o wp-config.php guarda as credenciais do banco, protegê-lo é essencial. Duas medidas simples:
1. Bloquear o acesso pelo navegador via .htaccess. Adicione ao .htaccess na raiz:
<files wp-config.php>
order allow,deny
deny from all
</files>2. Usar chaves de segurança fortes (o gerador oficial, como mostramos acima) e um prefixo de tabelas personalizado. Some a isso boas práticas gerais: senhas fortes, plugins atualizados e um bom plugin de segurança.
Configurar banco de dados e wp-config.php pode assustar. Na Homehost, o WordPress já vem instalado e configurado via Softaculous, com backup automático e suporte em português para quando você precisar mexer no que importa.
Ver planos de hospedagem WordPressPerguntas frequentes sobre o wp-config.php
Veja também
Continue configurando seu WordPress: veja o que é o WordPress, o guia do arquivo .htaccess do WordPress, como aumentar o limite de memória do WordPress e como fazer login no WordPress.
Conclusão
O wp-config.php é o coração da configuração do WordPress: conecta o site ao banco de dados, protege o acesso com chaves de segurança e permite ajustar dezenas de comportamentos por meio de constantes. Não é um arquivo que você mexe todo dia — mas saber o que cada parte faz ajuda a resolver erros, reforçar a segurança e otimizar o site quando necessário. A regra essencial permanece: faça backup antes de editar, altere uma coisa por vez e sempre teste o site em seguida.