很多使用WordPress程序建站的小伙伴会做很多安全保护手段以保持WordPress网站免受黑客攻击，这里搬主题建议把wp-config.php移动到网站根目录之外，只用一个简单的改变，为你的WordPress网站增加一个额外的安全层。

因为wp-config.php文件包含了你的MySQL数据库的用户名和密码，以及网站上所有登录会话cookie的加密盐–它是有人可能需要完全接管你的网站的一切。

应该把wp-config.php移到网站根目录之外吗？

是的! 移动你的wp-config.php文件是一个简单的事情，而且当你把它的好处和最小的额外工作相比较时。甚至WordPress Codex也建议你把你的wp-config.php从它的默认安装位置移开，作为加固WordPress的一种方法。

Wordfence的研究人员最近发现了一个大规模的攻击，其目标是过时的主题和插件的漏洞，最终目的是获得对wp-config.php文件的访问。这次攻击的目标是全球至少130万个网站。像这样的自动攻击，一般都是在默认位置寻找脆弱的文件，所以移动你的wp-config.php文件将有助于使这些自动方法失败。

如果你的FTP（老式的！）或SSH凭证被破坏，它不会保护你 – 在这种情况下，你有一个严重程度完全不同的重大漏洞。

如何将wp-config.php移到网站根目录之外？

如果你有多个网站，只需为每个网站重复这两个步骤，适当地命名文件（例如，example.com.config.php）. example.net.config.php

第1步、将wp-config.php文件复制到你的public_html目录之外，并将其重命名为其他内容。

复制你的wp-config.php文件并把它放在上面的文件夹中。一旦它在那里，重命名它，使它看起来不是明显的wp-config.php文件。同样，我们这样做是为了防止机器人和恶意脚本在对文件名 “wp-config.php”进行大规模搜索时看到结果。

尽管我在这个例子中保留了wp-config.php这个名字，但你可以给你的文件取任何名字。唯一的要求是，它必须以”.php”结尾。

第二步、编辑你当前的wp-config.php文件以指向新文件

编辑原来的wp-config.php文件，删除其中的所有内容，然后在其位置上添加这段简短的代码。 

<?php
include('/home/cpanel-username/wp-config.php');

确保将 “cpanel-username”替换为你的服务器用户名，将wp-config.php替换为新文件名。根据你自己的服务器的根目录位置名称进行变动。

第3步、使用.htaccess限制对新配置文件的访问

这是一个可选的步骤，但是搬主题建议这样做，因为它基本上会禁止对新的配置文件的直接访问。

在根目录下创建一个新的（或编辑现有的）.htaccess文件（比public_html高一个文件夹），并添加以下代码。

<files wp-config.php>
order allow,deny
deny from all
</files>

用新的文件名替换wp-config.php

接下来你的网站现在应该可以顺利加载了，因为它正在从一个不再位于对公众开放的目录中的文件读取它的配置信息。

从技术上讲，以前在你的WordPress安装目录中的wp-config.php文件仍然存在，但它现在只作为一个指向非公开文件夹的文件版本的文件。

如果你的网站无法加载并显示HTTP 500错误，这通常是因为文件名有误，或者服务器的绝对路径输入错误。如果是这种情况，请重新检查wp-config文件。

唯一的缺点是，一些依托wp-config.php文件的插件（如iThemes Security）不再有权限，如果需要，你需要针对性的手动添加代码。