回答:
Codexの「Hardening WordPress」ページには、「wp-config.phpの保護」に関するセクションがあります。これには、権限を440または400に変更することが含まれます。サーバー構成で許可されている場合は、wp-configファイルをルートから1つ上のディレクトリに移動することもできます。
もちろん、誰かがあなたのサーバーにアクセスした場合、このようなパスワードのファイルを持つことにはいくつかの危険がありますが、正直なところ、その時点で彼らはすでにあなたのサーバーにいます。
最後に、選択肢があまりありません。WordPressを設定する別の方法を見たことがありません。できる限りロックダウンすることができますが、これはWordPressの構築方法であり、深刻なセキュリティの脅威である場合、そのようには行われません。
(mrwwebが示唆するように)構成ファイルをWebルートから1レベル上に保つための事例を作るために:数か月前、私たちのプロダクションサーバーでの自動更新はphpを殺しましたが、apacheを実行したままにしました。そのため、ホームページにアクセスするすべての人に、ダウンロードとしてindex.phpが提供されていました。理論的には、それがWordPressサイトであることを知っている人なら誰でもwp-config.phpをリクエストして入手できたはずです(Webルートにあった場合)。もちろん、リモートMySQL接続を許可した場合にのみ、これらのDB資格情報を使用できますが、それでもクールではありません。私はこれがフリンジケースであることに気づきますが、あなたの設定を見えないように保つのはとても簡単です、なぜそれをしませんか?
もう1つのヒントは、.htaccessでwp-config.php(およびその他の機密ファイル)を保護することです。
他のすべてのWordPressファイルが配置されているサイトのディレクトリにある.htaccessファイルに以下を追加します。
<Files wp-config.php>
order allow,deny
deny from all
</Files>