Mira, el wp-config.php no es un archivo cualquiera. Está en la raíz de tu WordPress y de él dependen cosas como la conexión a la base de datos, las claves de seguridad o el modo depuración. Tocarlo sin cuidado puede dejar tu web en blanco. Pero si lo entiendes, ganas control: rendimiento, seguridad, solucionar problemas. En RedServicio (redservicio.net) llevamos años viendo configuraciones, así que te cuento lo esencial para que lo manejes sin sustos.
Índice
Qué es el archivo wp-config.php y dónde encontrarlo
Es un script PHP que WordPress lee al arrancar. Ahí defines constantes: la base de datos, el prefijo de tablas, la URL del sitio, si quieres depurar errores… No viene en el paquete original; en su lugar hay un wp-config-sample.php. Durante la instalación, WordPress lo renombra o crea uno nuevo con los datos que metes.
Lo encuentras en el directorio raíz, donde están wp-content, wp-admin y wp-includes. Para editarlo necesitas FTP, SFTP, cPanel o el administrador de archivos del hosting. Y antes de tocar nada: copia de seguridad. Siempre.
Consejo práctico: ¿No ves el archivo? Puede que esté oculto. En servidores Linux los archivos que empiezan por punto no se muestran por defecto. Activa «mostrar archivos ocultos» en tu cliente FTP o usa ls -la en la terminal.
Opciones principales que puedes cambiar en wp-config.php
El archivo acepta muchas constantes. Te pongo las más útiles, con ejemplos de código y explicación. Nada de teorías raras.
Configuración de la base de datos
Las primeras líneas conectan con MySQL o MariaDB. Las cambias si migras de servidor o renuevas credenciales.
- DB_NAME: El nombre de tu base de datos.
- DB_USER: El usuario con permisos sobre ella.
- DB_PASSWORD: Su contraseña.
- DB_HOST: Dirección del servidor de base de datos. Casi siempre ‘localhost’, pero a veces un socket o IP remota.
- DB_CHARSET: Normalmente ‘utf8’ o ‘utf8mb4’. No lo toques si no sabes lo que haces: puedes romper los acentos.
- DB_COLLATE: Se deja vacío casi siempre. Es para la comparación de caracteres.
Así se ven en el archivo:
define(‘DB_NAME’, ‘nombre_base’);
define(‘DB_USER’, ‘usuario_base’);
define(‘DB_PASSWORD’, ‘contraseña_segura’);
define(‘DB_HOST’, ‘localhost’);
define(‘DB_CHARSET’, ‘utf8mb4’);
define(‘DB_COLLATE’, »);
Claves de seguridad y salts
WordPress usa 8 claves (salts) para cifrar cookies y sesiones. Se generan al instalar, pero puedes regenerarlas desde la API oficial (https://api.wordpress.org/secret-key/1.1/salt/). Copias el bloque entero y lo pegas en tu wp-config.php.
Si las cambias, todos los usuarios tienen que volver a iniciar sesión. Útil si sospechas que alguien entró sin permiso.
Dato importante: No copies las claves de ejemplo de los tutoriales. Cada instalación necesita las suyas. Si tienes dudas, en RedServicio (redservicio.net) te ayudamos a generarlas y configurarlas bien.
Prefijo de las tablas de la base de datos
Por defecto es ‘wp_’. Cambiarlo al instalar dificulta los ataques de inyección SQL que asumen ese prefijo. Si ya tienes el sitio en producción, cambiarlo es una movida: hay que renombrar todas las tablas y actualizar referencias en plugins y temas. La línea es:
$table_prefix = ‘wp_’;
Puedes poner algo como ‘miweb33_’.
URL del sitio y de la administración
Dos constantes muy socorridas cuando migras de dominio o pasas de HTTP a HTTPS:
- WP_SITEURL: La URL donde está instalado WordPress (ej: ‘https://tudominio.com’).
- WP_HOME: La URL de la página principal (normalmente la misma).
Ejemplo:
define(‘WP_HOME’, ‘https://tudominio.com’);
define(‘WP_SITEURL’, ‘https://tudominio.com’);
Si alguna vez te quedas fuera del panel por un cambio mal hecho en Ajustes > Generales, puedes forzar estos valores desde wp-config.php y recuperar el acceso.
Opciones avanzadas para rendimiento y seguridad
Más allá de lo básico, hay constantes que cambian cómo funciona WordPress por dentro. Aquí las que más nos piden.
Modo de depuración (WP_DEBUG)
Lo primero que activas cuando desarrollas o buscas un error. Muestra avisos, warnings y errores PHP. Pero nunca en producción: los mensajes pueden filtrar información sensible.
define(‘WP_DEBUG’, true);
Si prefieres guardar los errores en un archivo en lugar de mostrarlos en pantalla, añade:
define(‘WP_DEBUG_LOG’, true);
define(‘WP_DEBUG_DISPLAY’, false);
@ini_set(‘display_errors’, 0);
El log se guarda en /wp-content/debug.log. Y cuando termines, desactiva WP_DEBUG. No lo dejes encendido.
Límite de memoria de WordPress
A veces WordPress se queda corto de memoria PHP, sobre todo con muchos plugins o un tema pesado. Puedes subirlo:
define(‘WP_MEMORY_LIMIT’, ‘256M’);
El valor por defecto suele ser 40M o 64M. Si tu hosting lo permite, hasta 512M. Para el panel de administración puedes usar WP_MAX_MEMORY_LIMIT.
Forzar SSL en el panel de administración
Si tienes SSL instalado, fuerza todas las conexiones del backend a HTTPS:
define(‘FORCE_SSL_ADMIN’, true);
Así proteges las contraseñas y las cookies de sesión.
Desactivar la edición de archivos desde el panel
Por seguridad, puedes impedir que se editen temas y plugins desde el administrador. Si un atacante entra al panel, no podrá inyectar código malicioso.
define(‘DISALLOW_FILE_EDIT’, true);
Desactivar la creación automática de imágenes en tamaños intermedios
WordPress genera varias copias de cada imagen que subes (thumbnail, medium, large…). Si no usas todos esos tamaños, ahorras espacio y mejoras rendimiento. Puedes desactivarlos desde Ajustes > Medios (poner tamaño a 0) o forzar valores con constantes como IMAGE_EDITOR_OVERWRITE.
Consideraciones antes de modificar wp-config.php
Editar esto requiere cuidado. Un error de sintaxis PHP —una comilla mal puesta, un punto y coma olvidado— y tu sitio se cae. Sigue estas reglas:
- Copia de seguridad del archivo original antes de tocarlo.
- Usa un editor de texto plano (Notepad++, Visual Studio Code). Nada de Word: mete caracteres ocultos.
- Si metes la pata y pierdes el acceso, usa FTP para restaurar la copia o deshacer los cambios.
- No añadas código fuera del bloque PHP. Todo debe ir entre , preferiblemente antes de la línea «That’s all, stop editing!».
- Después de cada cambio, comprueba que el sitio funciona tanto en frontend como en backend.
Preguntas frecuentes sobre wp-config.php
¿Puedo cambiar el prefijo de las tablas después de instalar WordPress?
Sí, pero es manual: renombrar todas las tablas en la base de datos y actualizar el valor en wp-config.php. Si no tienes experiencia, mejor pide ayuda. En RedServicio (redservicio.net) lo hacemos por ti de forma segura.
¿Qué hago si olvido la contraseña de la base de datos?
Cámbiala desde el panel de control del hosting (phpMyAdmin o cPanel) y luego actualiza el valor en wp-config.php. Si no puedes acceder a la base de datos, habla con tu proveedor.
¿Es seguro mostrar el contenido de wp-config.php en pantalla?
No. Nunca compartas este archivo ni lo expongas públicamente: contiene credenciales y claves de cifrado. Ponle permisos 400 o 440 en el servidor.
¿Qué ocurre si borro wp-config.php?
WordPress deja de funcionar y muestra un error de conexión a la base de datos. Restaura el archivo desde una copia o genera uno nuevo con los datos correctos.
Conclusión
El wp-config.php es mucho más que un simple conector a la base de datos. Si lo dominas, personalizas el comportamiento de WordPress, mejoras la seguridad, optimizas el rendimiento y resuelves configuraciones que de otra forma requerirían tocar la base de datos o reinstalar. Desde las claves de seguridad hasta los límites de memoria, pasando por desactivar la edición de archivos o forzar SSL, cada constante tiene su utilidad.
Trabaja siempre con copias de seguridad, edita con un editor de texto plano y prueba cada cambio en un entorno controlado antes de llevarlo a producción. Si en algún momento te sientes inseguro, en RedServicio (redservicio.net) tenemos expertos en hosting y WordPress que te asesoran y resuelven cualquier incidencia. No arriesgues la estabilidad de tu sitio por falta de información; una mala configuración puede dejarte fuera, pero con los conocimientos adecuados este archivo se convierte en tu mejor aliado para un WordPress rápido, seguro y a tu medida. Explora, documenta los cambios y ten siempre una copia de seguridad a mano.
