El archivo wp-config.php es el corazón de cualquier instalación de WordPress. Muchos usuarios lo abren solo para cambiar los datos de la base de datos y ya. Pero este mismo archivo permite ajustar decenas de parámetros que tocan rendimiento, seguridad y hasta cómo se comporta el sitio. Aquí vamos a meternos de lleno en las constantes más útiles, cómo ponerlas sin romper nada y qué evitar. Al final, el control de tu WordPress será total. O casi.
Índice
¿Qué es wp-config.php y dónde se encuentra?
wp-config.php es un archivo de configuración que WordPress carga antes que cualquier otro. Está en la raíz de la instalación, junto a wp-settings.php y wp-load.php. Si no existe, el instalador te lo pide. Contiene definiciones de constantes PHP que modifican el núcleo, los plugins y los temas.
Para editarlo, usa un cliente FTP o el administrador de archivos de tu hosting. Y por favor, antes de tocarlo, haz una copia de seguridad. No cuesta nada y te ahorras un disgusto.
Configuraciones básicas esenciales
Antes de meternos en ajustes más finos, asegúrate de que estas constantes fundamentales están bien puestas. Es la base.
Claves de seguridad
WordPress usa ocho constantes de sal (salt) para encriptar cookies y contraseñas. Sin ellas, tu sitio queda más expuesto. Puedes generarlas en el generador oficial de WordPress y pegarlas directamente:
define('AUTH_KEY', 'tu-clave-aqui');
define('SECURE_AUTH_KEY', 'tu-clave-aqui');
define('LOGGED_IN_KEY', 'tu-clave-aqui');
define('NONCE_KEY', 'tu-clave-aqui');
define('AUTH_SALT', 'tu-clave-aqui');
define('SECURE_AUTH_SALT', 'tu-clave-aqui');
define('LOGGED_IN_SALT', 'tu-clave-aqui');
define('NONCE_SALT', 'tu-clave-aqui');
Si cambias estas claves, todas las sesiones activas se invalidan. A mí me ha pasado que lo hago y al rato me llegan correos de usuarios que no pueden entrar. Es buena práctica renovarlas cada cierto tiempo.
Prefijo de tablas
Por defecto, las tablas de WordPress usan el prefijo wp_. Para mayor seguridad, puedes cambiarlo antes de instalar. Si ya tienes una instalación, modifícalo con cuidado:
$table_prefix = 'mi_prefijo_';Después tendrás que renombrar las tablas en la base de datos y actualizar las referencias en options y usermeta. No es especialmente difícil, pero hay que hacerlo con calma.
Configuración de la base de datos
Estas constantes son obligatorias y se definen durante la instalación. Pero puedes ajustar el host o el charset:
define('DB_NAME', 'nombre_bd');
define('DB_USER', 'usuario_bd');
define('DB_PASSWORD', 'contraseña_bd');
define('DB_HOST', 'localhost');
define('DB_CHARSET', 'utf8');
define('DB_COLLATE', '');
Si tu servidor usa un puerto diferente, puedes añadirlo a DB_HOST: 'localhost:3307'.
Configuración avanzada de rendimiento
Un par de líneas en wp-config.php pueden reducir el tiempo de carga y el consumo de recursos. Merece la pena.
Límite de memoria de WordPress
WordPress tiene su propio límite de memoria, independiente del de PHP. Si tu sitio usa muchos plugins o un page builder pesado, auméntalo:
define('WP_MEMORY_LIMIT', '256M');El valor predeterminado es 40M para sitios de un solo usuario y 64M para multisitio. 256M es seguro para la mayoría de los casos. He visto sitios que necesitan 512M, pero eso ya es otro cantar.
Límite de memoria para el administrador
El área de administración puede necesitar más memoria. Usa esta constante para asignarle un límite superior:
define('WP_MAX_MEMORY_LIMIT', '512M');Habilitar caché de WordPress
Si usas un plugin de caché como W3 Total Cache o WP Super Cache, esta constante debe estar presente:
define('WP_CACHE', true);Algunos plugins la añaden automáticamente, pero si no aparece, agrégala justo antes de la línea que dice / That's all, stop editing! /.
Compresión de CSS y JavaScript
WordPress puede servir archivos CSS y JS comprimidos con gzip. Actívalo solo si no lo hace tu servidor web:
define('COMPRESS_CSS', true);
define('COMPRESS_SCRIPTS', true);
define('ENFORCE_GZIP', true);
Verifica que tu hosting no tenga ya la compresión habilitada para evitar duplicados. A veces el servidor ya comprime y al añadir esto no ganas nada.
Modo de depuración (debug)
Cuando desarrollas o solucionas errores, activar el modo debug es indispensable. Pero ojo, nunca lo dejes activado en producción.
WP_DEBUG, WP_DEBUG_LOG, WP_DEBUG_DISPLAY
Estas tres constantes controlan la salida de errores:
define('WP_DEBUG', true);
define('WP_DEBUG_LOG', true);
define('WP_DEBUG_DISPLAY', false);
- WP_DEBUG: activa el modo de depuración.
- WP_DEBUG_LOG: guarda los errores en
/wp-content/debug.log. - WP_DEBUG_DISPLAY: si es false, no muestra errores en pantalla, solo en el log.
Nunca dejes estas constantes activadas en producción. Pueden exponer información sensible. He visto sitios que filtran rutas del servidor por dejarlo encendido.
Configuración de seguridad
Con unas pocas líneas puedes endurecer la seguridad de tu instalación. No está de más.
Deshabilitar la edición de archivos
Evita que usuarios con rol de administrador puedan editar archivos de temas y plugins desde el panel:
define('DISALLOW_FILE_EDIT', true);Esto no elimina la capacidad de subir o instalar, solo la edición inline. Si alguien se cuela en el panel, al menos no podrá modificar el código sobre la marcha.
Forzar SSL en el administrador
Si tienes un certificado SSL, obliga a que todas las conexiones al panel sean seguras:
define('FORCE_SSL_ADMIN', true);También puedes forzar SSL en el frontend con define('FORCE_SSL_LOGIN', true); (obsoleto desde WP 4.0, usa FORCE_SSL_ADMIN).
Saltos de seguridad
Ya mencionamos las claves de sal. Además, puedes rotarlas automáticamente con un plugin o un script CRON, pero en wp-config.php solo las defines estáticas.
Para generar claves seguras automáticamente, visita el generador oficial de WordPress y pega el resultado completo. No uses claves repetidas entre sitios. Si un sitio se compromete, el otro también.
Configuración de red multisitio
Si necesitas gestionar varios sitios desde una misma instalación de WordPress, activa el modo multisitio. Es potente, pero requiere cuidado.
WP_ALLOW_MULTISITE
Agrega esta línea para habilitar la opción de red en el menú Herramientas:
define('WP_ALLOW_MULTISITE', true);Después de guardar, ve a Herramientas > Instalar red y sigue las instrucciones. WordPress añadirá automáticamente más constantes.
Constantes de subdominios o subdirectorios
Una vez instalada la red, aparecerán líneas como:
define('MULTISITE', true);
define('SUBDOMAIN_INSTALL', true); // o false para subdirectorios
define('DOMAIN_CURRENT_SITE', 'tudominio.com');
define('PATH_CURRENT_SITE', '/');
define('SITE_ID_CURRENT_SITE', 1);
define('BLOG_ID_CURRENT_SITE', 1);
Importante: Si cambias SUBDOMAIN_INSTALL después de crear sitios, perderás el acceso a ellos. Decide antes. Me ha pasado y es un lío arreglarlo.
Otras constantes útiles
Estas constantes te permiten afinar el comportamiento diario de WordPress. Pequeños detalles que marcan la diferencia.
AUTOSAVE_INTERVAL
Por defecto, WordPress guarda automáticamente cada 60 segundos. Puedes aumentarlo o reducirlo:
define('AUTOSAVE_INTERVAL', 120); // segundosWP_POST_REVISIONS
Controla el número de revisiones que se guardan por entrada. Un valor alto puede inflar la base de datos:
define('WP_POST_REVISIONS', 5); // número máximo de revisiones
// o deshabilitarlas por completo:
define('WP_POST_REVISIONS', false);
EMPTY_TRASH_DAYS
Define cuántos días permanecen los elementos en la papelera antes de eliminarse definitivamente:
define('EMPTY_TRASH_DAYS', 7); // 7 días por defecto
// para deshabilitar la papelera (eliminación inmediata):
define('EMPTY_TRASH_DAYS', 0);
Ten cuidado con 0: cualquier eliminación es permanente. Si borras algo por error, no hay vuelta atrás.
Buenas prácticas y errores comunes
- No uses comillas dobles dentro de las definiciones si la constante contiene comillas simples, o viceversa. Escapa correctamente.
- No añadas espacios extra después de la coma en
define('NOMBRE', 'valor');. - No muevas las líneas de definición debajo del comentario
/ That's all, stop editing! /. Las constantes deben ir antes. - Haz siempre una copia de seguridad del archivo original antes de editarlo.
- Prueba los cambios en un entorno de staging si es posible.
- No mezcles constantes obsoletas como
COOKIE_DOMAIN(reemplazada por el plugin o la configuración de red).
Si tienes dudas sobre alguna constante, consulta el Codex oficial de WordPress o, mejor aún, contacta con especialistas. En RedServicio (redservicio.net) ofrecemos ayuda profesional para cualquier problema técnico relacionado con hosting, WordPress y administración de servidores. No dudes en pedirnos una revisión de tu wp-config.php si notas comportamientos extraños en tu sitio.
Para terminar
wp-config.php es mucho más que un simple archivo de conexión a la base de datos. Con las constantes adecuadas puedes mejorar el rendimiento, reforzar la seguridad, facilitar la depuración y habilitar funciones avanzadas como el multisitio. Pero cada cambio debe hacerse con conocimiento y precaución, porque un error puede dejar tu sitio inaccesible. Espero que esta guía te haya dado herramientas para dominar tu instalación de WordPress. Y recuerda, en RedServicio (redservicio.net) contamos con expertos que pueden ayudarte a implementar estos ajustes de forma segura y profesional. No subestimes el poder de wp-config.php: una configuración bien optimizada es la base de un WordPress rápido y fiable.
