wordpressのファイル内にapiキーやメールアドレスの個人情報を記載するのは避けたほうがいい？wp-config.phpに書かないほうがいい？

GPT-5.4

Vote: Yes

はい、基本的に避けたほうがいいです。 APIキーやメールアドレスなどをWordPressのファイルに直接書くと、Git管理、バックアップ配布、権限設定ミス、脆弱性対応漏れなどで漏えいしやすくなります。特にAPIキーは不正利用の被害が大きいです。 wp-config.phpは公開ディレクトリ外に置ける構成や、一般のテーマ・プラグインよりは安全に扱える場合があります。そのため「他のWordPressファイルよりはマシ」ですが、「機密情報を安全に保管する最適解」とは言えません。 メールアドレスも個人情報なので、不要にソースへ固定記載しないほうが無難です。公開されない想定でも、開発者間共有やログ、エクスポート経由で拡散しやすいです。 よりよい方法は、環境変数、サーバー側のシークレット管理、ホスティングの設定画面、.env相当の仕組み（公開・配布対象外）を使うことです。必要ならwp-config.phpでそれらを読み込む形にすると管理しやすいです。 結論として、WordPressのファイル内に直接書くのは避け、wp-config.phpにもベタ書きはなるべくしないのが望ましいです。どうしても使うなら、公開範囲・権限・バージョン管理除外を厳密に行うべきです。

Kimi K2.5

Vote: Yes

WordPressファイル内にAPIキーや個人情報を直接記載することはセキュリティリスクが高いです。Gitなどのバージョン管理システムに誤ってコミットされると、履歴に残り永遠に削除が困難になります。 wp-config.phpも公開ディレクトリ内にあるため、サーバー設定ミスやプラグインの脆弱性により、意図せず内容が閲覧される可能性があります。 代わりに環境変数や、Webルート外の設定ファイルを使用し、WordPressには`define()`で読み込む方式が推奨されます。これにより、機密情報とソースコードを分離でき、本番/開発環境の切り替えも容易になります。

Grok 4.1 Fast

Vote: No

In WordPress, wp-config.php is the recommended and secure location for sensitive information like API keys and database credentials. It is protected by default server configurations and .htaccess rules that prevent web access, making direct exposure unlikely unless the server is misconfigured. Hardcoding secrets in theme or plugin files is riskier, as those files may be publicly accessible or committed to version control. Defining constants in wp-config.php (e.g., define('API_KEY', 'yourkey');) allows safe usage throughout the site. Email addresses are less sensitive but follow the same principle. Best practices from WordPress documentation and security experts endorse wp-config.php for such data, with .gitignore to avoid repo exposure. Avoiding it entirely isn't necessary and complicates development.

Claude Opus 4.6

Vote: Yes

はい、WordPressのファイル（特にwp-config.php）にAPIキーやメールアドレスなどの個人情報を直接記載するのは避けるべきです。理由は以下の通りです。 **セキュリティリスク**: wp-config.phpはWordPressの設定ファイルとして広く知られており、攻撃者が最初に狙うファイルの一つです。サーバーの設定ミスやファイルパーミッションの問題で、このファイルの内容が外部に漏洩するリスクがあります。 **バージョン管理の問題**: ファイルをGitなどのバージョン管理システムで管理している場合、APIキーや個人情報がリポジトリに含まれてしまい、意図せず公開される危険があります。 **ベストプラクティス**: 環境変数（.envファイル）を使用したり、wp-config.phpよりも上位のディレクトリに別の設定ファイルを配置してそこから読み込む方法が推奨されます。また、WordPress向けのシークレット管理プラグインや、サーバーレベルの環境変数を活用する方法もあります。 **wp-config.phpの特殊性**: このファイルにはデータベースの認証情報などが既に含まれていますが、それ以上の機密情報を追加で書き込むことはリスクを増大させます。必要最小限の情報に留めるべきです。 したがって、APIキーや個人情報は可能な限りwp-config.phpや他のWordPressファイルに直接書かず、より安全な方法で管理するべきです。

Sonar Pro

Vote: Yes

APIキーやメールアドレスなどの個人情報や認証情報をwp-config.phpに記載することは避けるべきです。 wp-config.phpはデータベース接続情報などの設定ファイルですが、このファイルがリポジトリにコミットされたり、バックアップされたり、アクセス制御が不十分な環境に置かれたりする可能性があります。検索結果[5]でもPantheonは「wp-config.phpファイル内にデータベース接続情報を記載しないように警告」しています。 機密情報の漏洩リスクを最小化するため、APIキーやメールアドレスなどの個人情報は別途環境変数やセキュアな設定管理システムを使用して管理することが推奨されます。wp-config.phpに記載すべき内容はWordPressの基本設定に限定し、認証情報や個人情報は別途保護された方法で管理すべきです。

Gemini 3.1 Pro

Vote: Yes

Yes, you should avoid hardcoding sensitive information like API keys and personal emails directly into WordPress files, and it is best to avoid writing them as plaintext in `wp-config.php` as well. First, writing secrets in theme or plugin files is extremely dangerous. These files are often committed to version control (like Git) or overwritten during updates, which can easily lead to credential leaks. Second, while `wp-config.php` is historically used for database credentials, hardcoding additional API keys there is no longer the safest modern practice. Plaintext configuration files can be accidentally exposed to the public through server misconfigurations or leftover backup files (e.g., `wp-config.php.bak`). The modern security best practice is to use Environment Variables. You should store sensitive data in a `.env` file securely placed outside the public web root, and then dynamically load them into WordPress using `getenv()`. This approach keeps your secrets strictly separated from your codebase and significantly reduces the risk of accidental exposure.

Final Summary

The AI Roundtable overwhelmingly favored a shift toward modern security practices, with five models warning that hardcoding secrets anywhere in WordPress—including wp-config.php—invites leakage via Git, backups, or server misconfigurations. GPT-5.4 and Gemini 3.1 Pro led the charge for environment variables, while Grok 4.1 Fast stood as a defiant lone dissenter, insisting that wp-config.php remains the designated and safe industry standard for credentials.

No agreement after 1 rounds of discussion. Final vote: Yes: 5, No: 1

Strongest Arguments

• Yes: Hardcoding secrets creates a permanent risk in version control history and exposes data through accidental backup files (like wp-config.php.bak) that server rules might fail to protect.
• No: The wp-config.php file is specifically designed for sensitive data and is protected by default server configurations; moving away from it adds unnecessary complexity for little real-world gain.