WordPress 數(shù)據(jù)庫連接的用戶名和密碼是已明文形式在 wp-config.php 文件里保存著的，這無疑是一個很大的安全隱患，萬一數(shù)據(jù)庫密碼泄漏出去了，不懷好意的人就可以對你的網(wǎng)站為所欲為了。

1、移動 wp-config.php 文件的存放位置

wp-config.php 文件默認(rèn)是在網(wǎng)站根目錄保存的，把這個文件移動到別的位置就可以解決到這個隱患，WordPress 默認(rèn)會在網(wǎng)站根目錄尋找這個文件，如果沒有找到，會繼續(xù)往上層目錄尋找。知道了這點，我們就可以把 wp-config.php 文件移動到 WordPress 站點根目錄的上層目錄，就算別人知道了你的 FTP 密碼，在網(wǎng)站里也找不到數(shù)據(jù)庫配置信息。

安全起見，建議在 WordPress 根目錄創(chuàng)建一個 wp-config 配置文件，然后把真實的 wp-config.php 文件的位置包含進(jìn)來，如下：

define('ABSPATH', dirname(__FILE__) . '/');
require_once(ABSPATH . '../path/to/wp-config.php');

2、通過 .htaccess 文件限制訪問 WordPress 配置文件

如果你能編輯 .htaccess 文件，我們還可以通過使用使用 .htaccess 文件限制用戶訪問，在真實 wp-config.php 配置文件目錄下創(chuàng)建 .htaccess 文件，加入如下代碼：

order allow,deny
deny from all

至此，WordPress 的配置文件就安全了，整個網(wǎng)站的安全性也就有了很大的提升。