Datoteka WordPress wp-config.php je srce vaše WordPress stranice: tu se čuvaju svi ključni podaci – od informacija za povezivanje s bazom podataka do sigurnosnih ključeva. Stoga je zaštita ove datoteke od presudne važnosti. U ovom blogu detaljno obrađujemo što je wp-config.php, zašto je važno osigurati je, kako postaviti korisničke dozvole, koje posljedice ima loša konfiguracija, te kako prilagoditi lokalizaciju i jezične postavke. Naučit ćete i kako generirati sigurnosne ključeve, primijeniti napredne sigurnosne mjere, provoditi rutinske provjere, te korak po korak izraditi sigurnosne kopije i obnoviti datoteku. Na kraju, donosimo praktične preporuke za maksimalnu sigurnost vaše WordPress stranice.
Što je WordPress wp-config.php datoteka?
WordPress wp-config.php je temeljna konfiguracijska datoteka WordPress instalacije. Sadrži osnovne podatke za povezivanje s bazom, sigurnosne ključeve, prefiks tablica i postavke za debugiranje. Bez ispravno konfigurirane wp-config.php datoteke WordPress ne može pristupiti bazi podataka – stranica jednostavno neće raditi.
Datoteka wp-config.php nalazi se u root direktoriju WordPress instalacije. Prilikom instalacije WordPressa, datoteka se automatski generira ili se traži da je ručno kreirate. Njezin sadržaj čini okosnicu vašeg weba, pa je važno pristupati joj s dužnom pažnjom: pogrešna konfiguracija može izazvati razne probleme.
U sljedećoj tablici prikazani su osnovni parametri iz wp-config.php i njihova važnost:
| Postavka | Opis | Važnost |
|---|---|---|
| DB_NAME | Naziv WordPress baze podataka. | Ključna za povezivanje s bazom podataka. |
| DB_USER | Korisničko ime za pristup bazi. | Neophodno za autentifikaciju. |
| DB_PASSWORD | Lozinka korisnika baze. | Osigurava siguran pristup bazi podataka. |
| DB_HOST | Adresa servera baze podataka. | Potrebna za povezivanje s bazom. |
U wp-config.php nalaze se i sigurnosni ključevi (authentication unique keys and salts) koji jačaju zaštitu WordPress stranice. Oni šifriraju kolačiće i čuvaju korisničke podatke, čime otežavaju napade na autenticirani dio stranice. Redovito ažuriranje ključeva je preporučljivo. Osnovne funkcije wp-config.php:
- Osnovni podaci baze: Naziv, korisničko ime, lozinka i host baze podataka.
- Sigurnosni ključevi: Jedinstveni ključevi i salt vrijednosti.
- Prefiks tablica: Definira prefiks za tablice u bazi (default je wp_).
- Debug mode: Omogućuje/isključuje WordPress debugiranje.
- Automatsko spremanje: Postavka intervala automatskog spremanja objava.
- Postavke jezika: Definira jezik WordPress stranice.
wp-config.php je srce WordPressa – pravilno je konfigurirati i čuvati dužnost je svakog vlasnika web stranice.
Zašto treba zaštititi WordPress wp-config.php?
WordPress wp-config.php je ključna datoteka – u njoj su svi osjetljivi podaci: od pristupa bazi do sigurnosnih ključeva. Ako je kompromitirana, napadač može potpuno preuzeti vašu stranicu. Zato je zaštita ove datoteke temelj WordPress sigurnosti, i nikad je ne treba zanemariti.
Sigurnost weba često ovisi o "najslabijoj karici" – a wp-config.php je najčešća meta napada. Sadrži podatke koji su napadačima najvrijedniji: korisničko ime, lozinku i adresu baze podataka. Ako netko dođe do ovih informacija, može mijenjati sadržaj, ubaciti malware ili obrisati site.
| Rizik | Opis | Preventiva |
|---|---|---|
| Povezivanje s bazom | Neovlašteni pristup bazi i izmjena podataka. | Koristite jake lozinke i mijenjajte ih redovito. |
| Krađa podataka | Krađa korisničkih podataka, lozinki i privatnih informacija. | Redovito obnavljajte sigurnosne ključeve. |
| Potpuna kontrola stranice | Napadač može preuzeti cijeli site. | Ispravno postavite dozvole za datoteke. |
| Gubitak podataka | Baza podataka se briše ili ošteti. | Izradite sigurnosne kopije redovito. |
Najčešći sigurnosni propusti
- Pogrešno postavljene dozvole za datoteke
- Slabe lozinke baze podataka
- Ne ažurirane WordPress verzije i pluginovi
- Neiskorišteni sigurnosni ključevi ili prejednostavni ključevi
- Datoteka dostupna svima u javnom direktoriju
Zaštita wp-config.php nije samo tehnički zahtjev – to je vaša odgovornost prema posjetiteljima i klijentima. Pravilna zaštita ove datoteke štiti vašu reputaciju i dugoročno osigurava uspjeh weba.
Korisničke dozvole u wp-config.php postavkama
Ispravno postavljanje dozvola za wp-config.php i ostale WordPress datoteke presudno je za sigurnost. Pogrešne dozvole znači da napadači mogu pristupiti ili izmijeniti osjetljive podatke. Zato dozvole treba postaviti tako da samo server korisnik može čitati datoteku, a ostali nemaju pristup.
| Datoteka/Mapa | Preporučene dozvole | Objašnjenje |
|---|---|---|
| wp-config.php | 644 ili 440 | Sadrži osjetljive podatke – treba biti čitljiv samo server korisniku. |
| .htaccess | 644 | Kontrolira web server – dozvole omogućuju čitanje, ali ne i izmjenu svima. |
| /images/ | 755 | Sadrži medijske datoteke – dozvole omogućuju upload, ali ne izvršavanje. |
| /wp-content/plugins/ | 755 | Sadrži pluginove – dozvole omogućuju rad pluginova, ali ne izmjenu svima. |
Prilikom postavljanja dozvola primjenjujte načelo najmanje privilegiranosti: svaki korisnik ili proces dobiva samo minimalne dozvole potrebne za rad. Na primjer, wp-config.php nikad ne smije biti pisiv svima.
- Kako postaviti dozvole
- Povežite se na server putem SSH-a ili FTP-a.
- Idite u direktorij gdje je wp-config.php.
- Postavite dozvole pomoću
chmod(npr.chmod 644 wp-config.php). - Postavite dozvole za mape (npr.
chmod 755 /images/). - Provjerite dozvole pomoću popisa datoteka (ls -l ili FTP klijent).
- Po potrebi provjerite vlasništvo nad datotekama (
chown).
Dozvole ovise o serveru i hosting okruženju, pa je važno pratiti preporuke svog hosting providera i najbolje sigurnosne prakse. Pogrešne dozvole ugrožavaju web i mogu izazvati gubitak podataka ili napad.
Posljedice loše konfiguracije wp-config.php
Pogrešna konfiguracija wp-config.php može ozbiljno ugroziti sigurnost i performanse web stranice. Ova datoteka je temelj WordPressa – jedna greška može onemogućiti pristup stranici, izazvati gubitak podataka ili otvoriti sigurnosne propuste. Stoga je pri uređivanju ove datoteke važno razmisliti o mogućim posljedicama.
Najčešća greška je unos pogrešnih podataka baze: ako su ime baze, korisničko ime, lozinka ili host pogrešni, WordPress ne može pristupiti bazi i stranica neće raditi. U tom slučaju provjerite i ispravite podatke u datoteci.
Posljedice loše konfiguracije
- Problem s povezivanjem baze: Pogrešni podaci za bazu onemogućuju rad stranice.
- Sigurnosni propusti: Korištenje slabih ili default ključeva olakšava napade.
- Slabiji performansi: Pogrešne postavke cache-a ili memorije mogu usporiti web.
- Gubitak podataka: Pogrešno postavljene kopije otežavaju oporavak podataka.
- Poruke o greškama: Pogrešne postavke mogu prikazivati stalne greške – loše za korisničko iskustvo.
Loše postavljeni sigurnosni ključevi (security keys) također predstavljaju rizik. WordPress koristi ključeve za šifriranje kolačića i zaštitu korisničkih sesija. Ako su ključevi slabi ili default, napadač može preuzeti korisničke račune. Zato ih treba redovito mijenjati i koristiti jake, nasumične vrijednosti.
| Vrsta greške | Moguće posljedice | Preventiva |
|---|---|---|
| Pogrešni podaci baze | Web stranica je nedostupna, greška pri povezivanju s bazom | Provjerite podatke, izradite sigurnosne kopije |
| Slabi sigurnosni ključevi | Krađa kolačića, kompromitacija korisničkih računa | Koristite jake, nasumične ključeve – redovito mijenjajte |
| Pogrešne cache postavke | Spor rad stranice, duže učitavanje | Ispravno postavite cache postavke, testirajte performanse |
| Pogrešna memorija | PHP greške, rušenje weba | Postavite memoriju prema potrebama servera |
Ostale pogreške u wp-config.php mogu utjecati na performanse weba. Npr. ostavite li debug mode (WP_DEBUG) uključen na produkciji, mogu se prikazivati osjetljive informacije. Debug treba biti uključen samo kod razvoja, a na produkciji obavezno isključen. Pogrešno postavljeni backupovi ili potpuno uklonjena backup funkcija mogu otežati oporavak podataka. Poznavanje funkcija i mogućih posljedica svake postavke ključ je uspješne i sigurne WordPress stranice.
Lokalizacija i jezične postavke u wp-config.php
wp-config.php nije važan samo za sigurnost – u njemu se postavljaju i lokalizacijske postavke weba. Lokalizacija omogućuje da web bude prilagođen jezično i kulturološki posjetiteljima: postavljaju se jezik, vremenska zona i druge regijske vrijednosti. To poboljšava korisničko iskustvo i pomaže SEO optimizaciji za ciljana tržišta.
Pravilno postavljen jezik i kulturne preference olakšavaju snalaženje na webu. Lokalizacija putem wp-config.php poboljšava upotrebljivost i zadovoljstvo korisnika, a tražilice bolje razumiju za koje tržište je site namijenjen.
| Postavka | Opis | Primjer |
|---|---|---|
| WPLANG | Određuje jezik WordPress site-a. | 'hr_HR' (hrvatski) |
| WP_TIMEZONE | Postavlja vremensku zonu stranice. | 'Europe/Zagreb' |
| DB_COLLATE | Definira kolaciju baze podataka. | 'utf8_general_ci' |
| DATE_FORMAT | Format datuma. | 'd.m.Y' |
Najvažnije lokalizacijske postavke u wp-config.php su:
- WPLANG: Jezik WordPressa ('hr_HR' za hrvatski).
- WP_TIMEZONE: Vremenska zona ('Europe/Zagreb').
- DB_COLLATE: Kolacija baze ('utf8_general_ci').
- DATE_FORMAT: Format datuma ('d.m.Y').
- TIME_FORMAT: Format vremena ('H:i').
Postavke jezika
Postavljanjem jezika u wp-config.php odabirete jezik na kojem će WordPress biti prikazan. Ako site nije višeklingvalan, važno je odrediti default jezik radi boljeg korisničkog iskustva i pravilnog prikaza sadržaja.
Kulturne postavke
Osim jezika, putem wp-config.php možete postaviti i kulturne parametre – npr. format datuma i vremena. Za hrvatske korisnike standardni format datuma je dan.mjesec.godina – postavite DATE_FORMAT prema očekivanjima publike. Kulturne postavke prilagođavaju site lokalnim navikama i poboljšavaju korisničko iskustvo.
Ispravno postavljena lokalizacija pomaže internacionalizaciji i izgradnji odnosa s korisnicima. Zato wp-config.php treba pažljivo prilagoditi lokalnim potrebama.
Kako generirati sigurnosne ključeve u wp-config.php?
Najvažnija sigurnosna funkcija wp-config.php su sigurnosni ključevi. Oni dodaju sloj enkripcije – WordPress koristi ih za šifriranje podataka u bazi, pa čak i ako netko pristupi podacima, ne može ih iskoristiti. Snažni i jedinstveni ključevi znatno otežavaju napade.
WordPress sigurnosni ključevi su nasumični stringovi koji jačaju autentifikaciju korisnika. Postoje četiri osnovna ključa: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY i NONCE_KEY. Svaki mora biti različit – kompromitacija jednog ne ugrožava ostale.
| Naziv ključa | Opis | Važnost |
|---|---|---|
| AUTH_KEY | Osnovni autentifikacijski ključ. | Vrlo visoka |
| SECURE_AUTH_KEY | Ključ za sigurnu (HTTPS) autentifikaciju. | Visoka |
| LOGGED_IN_KEY | Ključ za autentifikaciju prijavljenih korisnika. | Srednja |
| NONCE_KEY | Ključ za generiranje jednokratnih tokena. | Srednja |
Za kreiranje sigurnosnih ključeva koristite WordPress online generator. Kopirajte generirane stringove i zalijepite ih u wp-config.php umjesto postojećih ključeva. Prije izmjene napravite backup datoteke.
- Kako generirati i postaviti ključeve
- Posjetite WordPress Security Key Generator.
- Kopirajte generirane ključeve.
- Otvorite wp-config.php (prethodno napravite sigurnosnu kopiju).
- Obrišite postojeće ključeve.
- Zalijepite nove stringove.
- Spremite datoteku, učitajte na server.
Ključeve redovito mijenjajte – pogotovo ako sumnjate na sigurnosni incident ili ih dugo niste mijenjali. Mijenjanje ključeva poništava postojeće sesije i sprječava pristup napadačima. Sigurnosni ključevi su temelj zaštite vaše WordPress stranice.
Napredne sigurnosne postavke u WordPress wp-config.php
wp-config.php omogućuje i napredne sigurnosne postavke – od zaštite baze do kontrole dozvola i editiranja datoteka. Pravilno postavljene napredne postavke podižu sigurnost i sprječavaju neovlaštene pristupe i gubitak podataka.
| Postavka | Opis | Primjer |
|---|---|---|
| `AUTH_KEY` | Jača sigurnost korisničkih sesija. | `put your unique phrase here` |
| `SECURE_AUTH_KEY` | Osigurava HTTPS sesije. | `put your unique phrase here` |
| `WP_DEBUG` | Kontrolira debug mod. | `false` (na produkciji) |
| `DISALLOW_FILE_EDIT` | Onemogućuje uređivanje tema i pluginova iz WordPressa. | `true` |
Redovito mijenjajte `AUTH_KEY` i `SECURE_AUTH_KEY` – time sprječavate krađu sesije i napade. Debug mod (WP_DEBUG) na produkciji mora biti isključen, da se ne izlažu osjetljivi podaci.
- Mogućnosti napredne zaštite
- Skrivanje podataka za pristup bazi.
- Redovito ažuriranje sigurnosnih ključeva.
- Onemogućavanje editiranja datoteka (`DISALLOW_FILE_EDIT`).
- Kontrola prikaza grešaka (`WP_DEBUG`).
- Upravljanje automatskim ažuriranjima.
- Custom prefiks tablica za dodatni sloj zaštite.
Svaka izmjena u wp-config.php može utjecati na rad weba – prije promjena izradite sigurnosnu kopiju i pažljivo testirajte. Jedna pogreška može učiniti web nedostupnim.
Primjeri naprednih postavki
Osim osnovnih, wp-config.php omogućuje i napredne postavke – npr. promjena prefiksa tablica u bazi smanjuje rizik od SQL injekcija. Primjeri:
define('AUTH_KEY', 'put your unique phrase here'); define('SECURE_AUTH_KEY', 'put your unique phrase here'); define('LOGGED_IN_KEY', 'put your unique phrase here'); define('NONCE_KEY', 'put your unique phrase here'); define('AUTH_SALT', 'put your unique phrase here'); define('SECURE_AUTH_SALT', 'put your unique phrase here'); define('LOGGED_IN_SALT', 'put your unique phrase here'); define('NONCE_SALT', 'put your unique phrase here');
Rutinske provjere za WordPress wp-config.php
Zaštita wp-config.php je ključna za sigurnost weba. Ova datoteka sadrži sve važne podatke – zato je važno redovno provjeravati postavke i dozvole. Rutinske provjere pomažu u otkrivanju ranjivosti i omogućuju brzu reakciju.
Najprije provjerite dozvole datoteke – idealno je 644 ili još strože 600. Tako je datoteka dostupna samo vlasniku, a ne neovlaštenim korisnicima. Provjerite dozvole putem FTP klijenta ili hosting panela.
| Provjera | Opis | Preporuka |
|---|---|---|
| Dozvole datoteke | Provjera dozvola wp-config.php | 644 ili 600 |
| Sigurnosni ključevi | Jesu li ključevi jedinstveni i snažni? | Generirajte i postavite nove ključeve |
| Podaci baze | Provjera sigurnosti korisničkog imena i lozinke | Koristite snažne lozinke, mijenjajte ih redovito |
| Automatska ažuriranja | Provjera postavki automatskog ažuriranja WordPressa | Omogućite sigurnosna ažuriranja |
Zatim, sigurnosni ključevi moraju biti snažni i jedinstveni. WordPress koristi ih za šifriranje sesija. Slabi ključevi omogućuju krađu sesija. Koristite WordPress generator za nove ključeve i zamijenite postojeće.
Izradite sigurnosnu kopiju wp-config.php – ako nešto pođe po zlu, možete vratiti staru verziju. Povremeno pregledajte datoteku i uklonite nepotrebne ili riskantne postavke. Ove mjere čuvaju sigurnost weba.
- Checklista za sigurnost
- Provjerite dozvole: wp-config.php mora biti 644 ili 600.
- Ažurirajte sigurnosne ključeve: Generirajte nove i zamijenite postojeće.
- Provjerite podatke baze: Koristite snažne lozinke.
- Provjerite automatska ažuriranja: Omogućite sigurnosna ažuriranja.
- Izradite backup: Redovito izrađujte sigurnosne kopije wp-config.php.
- Uklonite nepotrebne postavke: Očistite datoteku od nepotrebnih ili riskantnih vrijednosti.
Kako izraditi sigurnosnu kopiju i vratiti wp-config.php?
Redovito backupiranje wp-config.php je temelj sigurnosti i kontinuiteta vaše stranice. Ova datoteka sadrži ključne podatke – backup vam omogućuje brzi oporavak nakon greške, napada ili problema sa serverom. Pravovremeni backup štiti vaše podatke i osigurava neprekidan rad weba.
| Način backupiranja | Opis | Preporučena učestalost |
|---|---|---|
| Ručno | Preuzimanje datoteke putem FTP-a ili file managera. | Mjesečno ili prije većih izmjena |
| Plugin backup | Automatski backup putem pluginova (npr. UpdraftPlus, BackupBuddy). | Tjedno ili dnevno, ovisno o prometu |
| Backup na serveru | Backup putem hosting provider opcija. | Prema hosting planu |
| Backup baze podataka | Redovno backupiranje baze podataka povezane s wp-config.php. | Tjedno ili prije većih izmjena |
Najsigurnije je koristiti više metoda backupiranja – ručno, pluginom i server backupom. Držite backup na različitim mjestima (cloud, vanjski disk) radi dodatne sigurnosti, posebno sigurnosne ključeve i podatke baze.
- Koraci za backup
- Pronađite wp-config.php (obično u root direktoriju WordPressa).
- Preuzmite datoteku putem FTP-a ili file managera na računalo.
- Pohranite kopiju na sigurno mjesto (npr. šifriranu mapu).
- Ako koristite backup plugin, postavite automatsko backupiranje.
- Provjerite/korištenje backup opcija hosting providera.
- Testirajte backup – provjerite da li se može vratiti bez problema.
Za povrat wp-config.php prvo provjerite da je backup ispravan. Povrat podrazumijeva upload datoteke na originalnu lokaciju putem FTP-a ili hosting panela. Ako je web nedostupan, kontaktirajte hosting podršku. Nakon povrata testirajte osnovne funkcije stranice i provjerite postoji li neka greška.