Das Ultimative WordPress-Entwickler-Setup: Härtung von wp-config.php und Core (2026)

Die “berühmte 5-Minuten-Installation” ist ein Marketing-Slogan, kein professioneller Standard. Eine Standard-WordPress-Installation ist geschwätzig, nicht optimiert und oft unsicher.

Als Entwickler “installieren” wir WordPress nicht einfach nur; wir provisionieren es. Dieser Guide behandelt die wesentlichen Konfigurationskonstanten und Härtungstechniken, die 2026 in jeder Boilerplate für Kundenprojekte enthalten sein sollten.

1. Die Macht der wp-config.php

Dies ist das Gehirn deiner Installation. Hör auf, es auf Standardeinstellungen zu lassen.

Umgebungskontrolle (Environment Control)

Seit WordPress 5.5 ist WP_ENVIRONMENT_TYPE Standard. Nutze es, um zu verhindern, dass Entwicklungsfehler in die Produktion gelangen.

// In wp-config.php
define( 'WP_ENVIRONMENT_TYPE', 'production' ); // 'local', 'development', 'staging', 'production'

Dann in deinem Code:

if ( wp_get_environment_type() === 'production' ) {
    // Caching aktivieren, Fehler deaktivieren
}

Sicherheitshärtung (Hardening)

Verhindere, dass Kunden (oder Hacker) die Seite über das Dashboard zerstören.

// Datei-Editor deaktivieren (Theme/Plugin Editor)
define( 'DISALLOW_FILE_EDIT', true );

// Plugin/Theme Installation/Updates verhindern (Gut für unveränderliche Deployments)
define( 'DISALLOW_FILE_MODS', true );

// SSL im Admin erzwingen
define( 'FORCE_SSL_ADMIN', true );

Beitrags-Revisionen

Datenbank-Aufblähung-Killer. Brauchst du wirklich 100 Versionen von “Über Uns”?

define( 'WP_POST_REVISIONS', 10 ); // Behalte die letzten 10
// ODER
define( 'WP_POST_REVISIONS', false ); // Komplett deaktivieren (Nicht empfohlen)

2. Professionelles Debugging

Zeige niemals Fehler im Frontend an. Logge sie.

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', '/tmp/wp-errors.log' ); // Log außerhalb des Web-Root verschieben!
define( 'WP_DEBUG_DISPLAY', false );

// SQL-Abfragen für Performance-Debugging loggen (In Produktion ausschalten!)
define( 'SAVEQUERIES', false );

3. Bereinigung des “Core Bloat”

WordPress kommt mit Funktionen, die 90% der Business-Seiten nicht brauchen: Emojis, oEmbeds und XML-RPC.

Installiere kein Plugin, um sie zu deaktivieren. Erstelle ein Must-Use Plugin (wp-content/mu-plugins/lean-core.php).

<?php
/* Plugin Name: Lean Core */

// 1. Emojis deaktivieren (Spart HTTP-Anfrage)
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'wp_print_styles', 'print_emoji_styles' );

// 2. XML-RPC deaktivieren (Sicherheit)
add_filter( 'xmlrpc_enabled', '__return_false' );

// 3. WP Version entfernen (Security by Obscurity)
remove_action( 'wp_head', 'wp_generator' );

// 4. RSS Feeds deaktivieren (Wenn du eine Broschüren-Seite baust)
// function wppoland_disable_feed() {
//    wp_die( 'Kein Feed verfügbar, besuchen Sie unsere Homepage!' );
// }
// add_action('do_feed', 'wppoland_disable_feed', 1);

4. Der “Salts”-Mythos

Du kennst die Authentifizierungsschlüssel in wp-config.php.

define('AUTH_KEY',         'deine einzigartige phrase hier');
// ...

Fakt: Das Ändern dieser Schlüssel meldet sofort alle Benutzer ab. Das ist die “Nuklearoption”, wenn eine Seite gehackt wurde. Pro Tip: Automatisiere ihre Rotation mit einem CLI-Skript oder Vault, wenn du Enterprise-Seiten verwaltest.

5. Checkliste Zusammenfassung

Bevor du launchst:

1. Setze WP_ENVIRONMENT_TYPE auf production.
2. Setze DISALLOW_FILE_EDIT auf true.
3. Begrenze WP_POST_REVISIONS.
4. Verschiebe WP_DEBUG_LOG in einen privaten Ordner.
5. Deaktiviere Emojis/XML-RPC per Code.

Eine gut konfigurierte WordPress-Instanz ist leise, sicher und schnell.