Dinge, die Sie nach der Installation von Wordpress tun sollten
Veröffentlicht: 2022-02-26Sie können WordPress in 2 einfachen Schritten installieren, aber es wird empfohlen, einige der Standardeinstellungen zu optimieren, um die Leistung zu optimieren und auch die Sicherheit Ihrer WordPress-Website zu verbessern.
Optimieren Sie Ihre WordPress-Installation
Diese Vorschläge gelten nur für selbst gehostete WordPress.org-Websites und nicht für WordPress.com-Blogs. Außerdem gehe ich davon aus, dass Sie WordPress auf Apache unter Linux ausführen. Der Leitfaden ist jetzt für WordPress 4.2 aktualisiert. Lass uns anfangen:
1. Verschieben Sie den Medien-Upload-Ordner
WordPress speichert alle deine hochgeladenen Bilder und Dateien im Ordner wp-content/uploads. Sie sollten diesen Ordner jedoch außerhalb des WordPress-Hauptordners verschieben, vorzugsweise auf einer Subdomain. Dadurch werden Ihre WordPress-Backups überschaubarer (die hochgeladenen Dateien und Themes können separat gesichert werden) und vor allem ermöglicht das Bereitstellen von Bildern aus einer anderen Domain parallele Downloads im Browser, wodurch die Ladezeit der Seite verbessert wird.
Öffnen Sie Ihre wp-config.php-Datei und fügen Sie die folgenden Zeilen hinzu, um den Speicherort des wp-content-Ordners zu ändern. Sie können auch die Option „Meine Uploads in monats- und jahresbasierten Ordnern organisieren“ deaktivieren.
define( 'WP_CONTENT_URL', 'http://files.domain.com/media' ); define( 'WP_CONTENT_DIR', $_SERVER['HOME'] . '/files.domain.com/media' );
2. Entfernen Sie unnötige Meta-Tags aus dem WordPress-Header
Wenn Sie sich den HTML-Quellcode Ihrer WordPress-Seite ansehen, finden Sie im Header ein paar Meta-Tags, die nicht wirklich benötigt werden. Beispielsweise kann die Version der WordPress-Software, die auf Ihrem Server ausgeführt wird, einfach abgerufen werden, indem Sie sich Ihren Quell-Header ansehen.
<meta name="generator" content="WordPress 4.1" />
Diese Informationen sind ein guter Hinweis für WordPress-Hacker, die es auf Blogs abgesehen haben, die ältere und weniger sichere Versionen der WordPress-Software verwenden. Um die Versionsnummer und andere nicht wesentliche Metadaten vollständig aus Ihrem WordPress-Header zu entfernen, fügen Sie dieses Snippet der Datei functions.php hinzu, die sich in Ihrem WordPress-Theme-Ordner befindet.
remove_action( 'wp_head', 'wp_generator' ) ; remove_action( 'wp_head', 'wlwmanifest_link' ) ; remove_action( 'wp_head', 'rsd_link' ) ;
3. Verhindern Sie, dass Personen Ihre Ordner durchsuchen
Da Sie nicht möchten, dass jemand Ihre WordPress-Dateien und -Ordner über die Explorer-Ansicht in Webbrowsern durchsucht, fügen Sie die folgende Zeile zu Ihrer .htaccess-Datei hinzu, die in Ihrem WordPress-Installationsverzeichnis vorhanden ist.
Options All -Indexes
Stelle außerdem sicher, dass es eine leere index.php in den Ordnern wp-content/themes und wp-content/plugins deines WordPress-Verzeichnisses gibt.
4. Deaktivieren Sie HTML in WordPress-Kommentaren
Das Kommentarfeld in WordPress ermöglicht Kommentatoren die Verwendung von HTML-Tags und sie können sogar Hyperlinks in ihren Kommentar einfügen. Die Kommentare haben rel=nofollow, aber wenn du HTML in WordPress-Kommentaren komplett verbieten möchtest, füge dieses Snippet zu deiner functions.php-Datei hinzu.
add_filter( 'pre_comment_content', 'esc_html' );
Update: wp_specialchars durch esc_html ersetzt, da ersteres seit WordPress 2.8+ veraltet ist
5. Deaktivieren Sie Beitragsrevisionen in WordPress
WordPress enthält eine hilfreiche Dokumentrevisionsfunktion, mit der Sie Änderungen an Post-Bearbeitungen nachverfolgen können, und Sie können auch zu jeder früheren Version Ihrer Blog-Posts zurückkehren. Post-Revisionen erhöhen jedoch die Größe Ihrer WordPress wp_posts-Tabelle, da jede Revision eine zusätzliche Zeile bedeutet.
Um Post-Revisionen in WordPress zu deaktivieren, öffne die Datei wp-config.php in deinem WordPress-Verzeichnis und füge die folgende Zeile hinzu:
define( 'WP_POST_REVISIONS', false);
Wenn Sie die Post-Revisions-Funktionalität beibehalten möchten, können Sie alternativ einfach die Anzahl der Post-Revisionen begrenzen, die WordPress in der MySQL-Datenbank speichert. Füge diese Zeile zur wp-config-Datei hinzu, um nur die letzten 3 Änderungen zu speichern.
define( 'WP_POST_REVISIONS', 3);
6. Ändern Sie das Intervall nach dem automatischen Speichern
Wenn Sie einen Blogbeitrag im WordPress-Editor bearbeiten, werden Ihre Entwürfe automatisch während der Eingabe gespeichert, und dies hilft bei der Wiederherstellung Ihrer Arbeit, falls der Browser abstürzt. Die Entwürfe werden jede Minute gespeichert, aber du kannst die Standarddauer auf sagen wir 120 Sekunden (oder 2 Minuten) ändern, indem du eine Zeile zu deiner wp-config.php-Datei hinzufügst.
define( 'AUTOSAVE_INTERVAL', 120 );
7. Blenden Sie die nicht wesentlichen WordPress-RSS-Feeds aus
Ihre WordPress-Installation generiert mehrere RSS-Feeds – den Blog-Feed, Artikel-Feeds, Kommentar-Feed, Kategorie-Feeds, Archiv-Feeds usw. – und diese sind automatisch erkennbar, da sie mit dem <link>
in den HTML-Header Ihrer Blog-Seiten eingefügt werden Meta-Tag. Wenn Sie nur Ihren Haupt-RSS-Feed veröffentlichen und die anderen Feeds aus der entfernen möchten, fügen Sie eine Zeile zu Ihrer functions.php-Datei hinzu:
remove_action( 'wp_head', 'feed_links', 2 ); remove_action( 'wp_head', 'feed_links_extra', 3 );
8. Pflegen Sie einen einzelnen RSS-Feed, leiten Sie andere um
Im vorherigen Schritt haben wir einfach die RSS-Feeds aus dem Druck innerhalb des Website-Headers entfernt, aber die RSS-Feeds sind noch vorhanden. Wenn Sie möchten, dass nur ein RSS-Feed über FeedBurner bereitgestellt wird und alle anderen Feeds deaktiviert werden, fügen Sie diesen Ihrer .htaccess-Datei hinzu. Denken Sie daran, die Feed-URL durch Ihre eigene zu ersetzen.
<IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTP_USER_AGENT} !^.*(FeedBurner|FeedValidator) [NC] RewriteRule ^feed/?.*$ http://feeds.labnol.org/labnol [L,NC,R=301] </IfModule>
9. Deaktivieren Sie WordPress-Anmeldehinweise
Wenn Sie beim Anmelden bei WordPress einen nicht vorhandenen Benutzernamen oder ein falsches Passwort eingeben, erhalten Sie eine sehr detaillierte Fehlermeldung, die Ihnen genau sagt, ob Ihr Benutzername falsch ist oder das Passwort nicht übereinstimmt. Das könnte Leuten, die versuchen, in Ihr WordPress-Blog einzudringen, einen Hinweis geben, aber glücklicherweise können wir die Anmeldewarnungen deaktivieren.
function no_wordpress_errors(){ return 'GET OFF MY LAWN !! RIGHT NOW !!'; } add_filter( 'login_errors', 'no_wordpress_errors' );
10. Aktivieren Sie die 2-Faktor-Authentifizierung
Dies ist sehr zu empfehlen. Wenn jemand Ihre WordPress-Anmeldeinformationen erhält, benötigt er immer noch Ihr Mobiltelefon, um auf Ihr WordPress-Dashboard zuzugreifen.
Im Gegensatz zu Dropbox oder Google ist die 2-Schritt-Authentifizierung nicht Teil von WordPress, aber Sie können jederzeit das Authy-Plugin verwenden, um die 2-Faktor-Authentifizierung zu aktivieren.
11. Ändern Sie die Permalink-Struktur
Verwenden Sie nicht die standardmäßige Permalink-Struktur von WordPress, da dies schlecht für SEO ist. Gehen Sie zu Optionen -> Permalinks in Ihrem WordPress-Dashboard und ändern Sie Ihre WordPress-Permalink-Struktur in etwas wie:
Option 1. /%post_id%/%postname% Option 2. /%category%/%postname%/%post_id%/
12. Fügen Sie Favicon und Touch-Icons hinzu
Ihr WordPress-Design enthält möglicherweise nicht einmal Verweise auf das Favicon (favicon.ico) oder die Apple Touch-Symbole, aber Webbrowser und Feed-Reader können sie dennoch von Ihrem Server anfordern. Es ist immer besser, eine Datei bereitzustellen, als einen 404-Fehler zurückzugeben.
Erstellen Sie zunächst eine 16x16 große favicon.ico- und eine 144x144 große apple-touch.png-Datei und laden Sie sie in das Home-Verzeichnis Ihres Blogs hoch. Fügen Sie dann diese Zeile zu Ihrer .htaccess hinzu, um alle Apple-Touch-Icon-Anforderungen an diese bestimmte Datei umzuleiten.
RedirectMatch 301 /apple-touch-icon(.*)?.png http://example.com/apple-touch.png
13. Indizierung von WordPress-Skripten nicht zulassen
Sie möchten, dass Google und andere Suchmaschinen Ihre Blog-Seiten crawlen und indexieren, aber nicht die verschiedenen PHP-Dateien Ihrer WordPress-Installation. Öffnen Sie die robots.txt-Datei in Ihrem WordPress-Home-Verzeichnis und fügen Sie diese Zeilen hinzu, um die Bots daran zu hindern, das Backend-Zeug von WordPress zu indizieren.
User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/plugins/ Disallow: /wp-content/themes/ Disallow: /feed/ Disallow: */feed/
14. Machen Sie den Administrator zu einem Abonnenten
Wenn Ihr WordPress-Benutzername „admin“ ist, erstellen Sie einen neuen Benutzer und gewähren Sie ihm Administratorrechte. Melden Sie sich jetzt von WordPress ab, melden Sie sich als neuer Benutzer an und ändern Sie die Berechtigung des Benutzers „admin“ von Administrator auf Abonnent.
Sie können sogar in Betracht ziehen, den Benutzer „admin“ zu löschen und alle vorhandenen Beiträge / Seiten auf den neuen Benutzer zu übertragen. Dies ist aus Sicherheitsgründen wichtig, da Sie nicht möchten, dass jemand den Benutzernamen errät, der über Administratorrechte für Ihre WordPress-Installation verfügt.
15. Verstecken Sie XML-Sitemaps vor Suchmaschinen
XML-Sitemaps helfen Suchmaschinen dabei, Ihre Website besser zu crawlen, aber Sie möchten nicht, dass Suchmaschinen Ihre Sitemap tatsächlich auf den Suchergebnisseiten anzeigen. Fügen Sie dies zu Ihrer .htaccess hinzu, um die Indizierung von XML-Sitemaps zu verhindern.
<IfModule mod_rewrite.c> <Files sitemap.xml> Header set X-Robots-Tag "noindex" </Files> </IfModule>
16. Verwenden Sie keine WordPress-Suche
Stellen Sie sicher, dass Ihre Website-Suche von der benutzerdefinierten Suche von Google unterstützt wird, und verwenden Sie nicht die integrierte Suchfunktion von WordPress. Die WordPress-Suche liefert weniger relevante Ergebnisse und der andere Vorteil ist, dass sie Ihren WordPress-Server / Ihre WordPress-Datenbank entlastet, da die Suchanfragen über Google abgewickelt werden.
Wenn Sie mit der integrierten WordPress-Suche fortfahren möchten, verwenden Sie alternativ das Nice Search-Plugin. Es erstellt bessere Permalinks für Ihre WordPress-Suchseiten (/search/tutorials vs. /?s=tutorials).
17. Schützen Sie das wp-admin-Verzeichnis mit einem Passwort
Du kannst deiner WordPress-Installation ganz einfach eine weitere Sicherheitsebene hinzufügen, indem du das wp-admin-Verzeichnis mit einem Passwort schützt. Sie müssen sich jedoch zwei Sätze von Anmeldeinformationen für die Anmeldung bei WordPress merken – Ihr WordPress-Passwort und das Passwort, das das wp-admin-Verzeichnis schützt.
18. Protokollieren Sie 404-Fehler in Google Analytics
404-Fehler sind eine verpasste Gelegenheit. Sie können Ereignisse in Google Analytics verwenden, um Ihre 404-Fehler zu protokollieren, einschließlich Details über die verweisende Website, die auf diese 404-Seite Ihrer Website verweist. Fügen Sie dieses Snippet in Ihre 404.php-Datei ein.
<? if (is_404()) { ?> _gaq.push(['_trackEvent', '404', document.location.pathname + document.location.search, document.referrer, 0, true]); <? } ?>
19. Löschen Sie nicht verwendete Themes und WordPress-Plugins
Die ungenutzten Plugins und Themes haben keinen Einfluss auf die Leistung Ihrer WordPress-Website, aber das Ziel sollte sein, so wenig ausführbaren Code wie möglich auf unserem Server zu haben . Deaktivieren und löschen Sie also die Dinge, die Sie nicht mehr benötigen.
20. Verhindern Sie, dass WordPress URLs errät
WordPress hat die seltsame Angewohnheit, URLs zu erraten, und macht in den meisten Fällen Fehler. Lassen Sie mich erklären. Wenn ein Benutzer die URL labnol.org/hello anfordert, diese Seite aber nicht existiert, leitet WordPress diesen Benutzer möglicherweise zu labnol.org/hello-world weiter, nur weil die URLs einige gemeinsame Wörter enthalten.
Wenn Sie möchten, dass WordPress keine URLs mehr errät und stattdessen einen 404 Not Found-Fehler für fehlende Seiten ausgibt, fügen Sie dieses Snippet in die Datei functions.php ein:
add_filter('redirect_canonical', 'stop_guessing'); function stop_guessing($url) { if (is_404()) { return false; } return $url; }
21. Legen Sie Expiry-Header für statische Inhalte fest
Die auf Ihrer WordPress-Website gehosteten statischen Dateien – wie Bilder, CSS und JavaScript – ändern sich nicht oft und daher können Sie Expire-Header für sie festlegen, damit die Dateien im Browser des Benutzers zwischengespeichert werden. Daher wird Ihre Website bei späteren Besuchen relativ schneller geladen, da die JS- und CSS-Dateien aus dem lokalen Cache abgerufen würden.
Weitere Informationen zum Einrichten von Ablauf- und Komprimierungsheadern für die Leistung finden Sie im HTML5-Boilerplate. Wenn Sie ein Caching-Plugin wie W3 Total Cache verwenden, wird die Cache-Steuerung vom Plugin selbst verwaltet.
ExpiresActive On ExpiresByType image/gif "access plus 30 days" ExpiresByType image/jpeg "access plus 30 days" ExpiresByType image/png "access plus 30 days" ExpiresByType text/css "access plus 1 week" ExpiresByType text/javascript "access plus 1 week"
23. Verbessern Sie die WordPress-Sicherheit
Ich habe die WordPress-Sicherheit bereits früher ausführlich besprochen. Das Wesentliche ist, dass Sie Ihrer wp_config.php-Datei geheime Schlüssel hinzufügen, ein Dateiüberwachungs-Plugin (wie Sucuri oder WordFence) installieren, das WordPress-Tabellenpräfix ändern und auch Anmeldeversuche einschränken sollten, um Brute-Force-Angriffe zu verhindern.
24. Deaktivieren Sie die Dateibearbeitung in WordPress
Wenn Sie als Administrator in Ihr WordPress-Dashboard eingeloggt sind, können Sie ganz einfach alle PHP-Dateien bearbeiten, die mit Ihren WordPress-Plugins und -Designs verknüpft sind. Wenn du die Dateibearbeitungsfunktion entfernen möchtest (ein fehlendes Semikolon kann deine WordPress-Seite lahmlegen), füge diese Zeile zu deiner wp-config.php-Datei hinzu:
define( 'DISALLOW_FILE_EDIT', true );
25. Entfernen Sie zusätzliche Abfrageparameter aus URLs
Wenn die Webadresse Ihrer WordPress-Site abc.com lautet, können Benutzer Ihre Site dennoch erreichen, wenn sie der URL einige Abfrageparameter hinzufügen. Beispielsweise sind abc.com/?utm=ga oder abc.com/?ref=feedly technisch gesehen völlig unterschiedliche URLs, funktionieren aber problemlos.
Das ist schlecht, weil es Ihre Link Equity (SEO) verwässert und Sie im Idealfall möchten, dass alle URLs auf die kanonische Version verweisen. Fügen Sie dieses kleine Snippet zu Ihrer .htaccess-Datei hinzu und es entfernt die unnötigen Abfrageparameter von allen eingehenden Anfragen.
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{QUERY_STRING} !="" RewriteCond %{QUERY_STRING} !^p=.* RewriteCond %{QUERY_STRING} !^s=.* RewriteCond %{REQUEST_URI} !^/wp-admin.* RewriteRule ^(.*)$ /$1? [R=301,L] </IfModule>
26. Entfernen Sie die Admin-Leiste
Dies ist eine lästige Funktion von WordPress – es fügt oben auf allen Seiten eine Admin-Leiste hinzu, die für alle Benutzer sichtbar ist, die bei ihren WordPress.com-Konten angemeldet sind. Dies kann jedoch entfernt werden, indem Sie eine Zeile zu Ihrer Datei functions.php hinzufügen.
add_filter('show_admin_bar', '__return_false');
27. Umgang mit Werbeblockern
Einige Ihrer Blog-Leser verwenden möglicherweise Werbeblocker-Software, um die Anzeigenbereitstellung von Ihrer Website zu blockieren. Sie können alternative Inhalte wie eine Liste Ihrer beliebten WordPress-Beiträge bereitstellen oder stattdessen ein YouTube-Video einbetten.
28. Fügen Sie Branding in Ihren RSS-Feed ein
Sie können Ihr Markenlogo ganz einfach zu allen Artikeln im RSS-Feed hinzufügen. Und da diese von Ihrem Server bereitgestellt werden, können Sie ein anderes Bild für Websites bereitstellen, die Ihre Inhalte plagiieren, indem Sie Ihren Feed erneut veröffentlichen. Fügen Sie dies zu Ihrer Datei functions.php hinzu.
function add_rss_logo($content) { if(is_feed()) { $content .= "<hr><a href='blog_url'><img src='logo_url'/></a>"; } return $content; } add_filter('the_content', 'add_rss_logo'); add_filter('the_excerpt_rss', 'add_rss_logo');
29. Installieren Sie die wesentlichen Plugins
Hier ist eine umfassende Liste von WordPress-Plugins, die ich verwende und empfehle.
30. Bleiben Sie länger eingeloggt
Wenn Sie die Option „Remember Me“ aktivieren, werden Sie bei WordPress 2 Wochen lang angemeldet bleiben. Wenn Sie sich nur von einem PC aus bei WordPress anmelden, können Sie das Ablaufdatum des Autorisierungs-Login-Cookies einfach verlängern, indem Sie es zu Ihrer Datei functions.php hinzufügen.
add_filter( 'auth_cookie_expiration', 'stay_logged_in_for_1_year' ); function stay_logged_in_for_1_year( $expire ) { return 31556926; // 1 year in seconds }
31. Entfernen Sie die WordPress-Emojis
Ab Version 4.2 fügt WordPress jetzt Emoji-bezogene Dateien in die Kopfzeile Ihrer Website ein. Wenn Sie die Emoticons und Emojis nicht in Ihrem Blog verwenden möchten, können Sie diese zusätzlichen Dateien leicht entfernen, indem Sie die folgenden Zeilen zu Ihrer Datei functions.php hinzufügen:
remove_action( 'wp_head', 'print_emoji_detection_script', 7 ); remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
32. Verfolgen Sie Ihre gedruckten Seiten
Sie können Google Analytics verwenden, um die Drucknutzung Ihrer Website zu verfolgen. Wenn ein Besucher eine Seite Ihrer Website druckt, wird ein Ereignis in Analytics protokolliert und Sie wissen, welche Art von Inhalt an den Drucker gesendet wird. In ähnlicher Weise können Sie gedruckten Seiten einen QR-Code hinzufügen, und Benutzer können die Quell-URL leicht finden, indem sie den Code mit ihrem Mobiltelefon scannen.
Siehe auch: Linux-Befehle für WordPress