Cosas que debes hacer después de instalar Wordpress
Publicado: 2022-02-26Puede instalar WordPress en 2 sencillos pasos, pero se recomienda que modifique algunas de las configuraciones predeterminadas para optimizar el rendimiento y también mejorar la seguridad de su sitio web de WordPress.
Optimice su instalación de WordPress
Estas sugerencias solo se aplican a los sitios de WordPress.org autohospedados y no a los blogs de WordPress.com. Además, supongo que está ejecutando WordPress en Apache bajo Linux. La guía ahora está actualizada para WordPress 4.2. Empecemos:
1. Mueva la carpeta de carga de medios
WordPress almacena todas sus imágenes y archivos cargados en la carpeta wp-content/uploads. Sin embargo, debe mover esta carpeta fuera de la carpeta principal de WordPress, preferiblemente en un subdominio. Por lo tanto, sus copias de seguridad de WordPress serán más manejables (los archivos y temas cargados se pueden respaldar por separado) y, lo que es más importante, servir imágenes de un dominio diferente permitirá descargas paralelas en el navegador mejorando el tiempo de carga de la página.
Abra su archivo wp-config.php y agregue las siguientes líneas para cambiar la ubicación de la carpeta wp-content. También puede anular la selección de la opción: "Organizar mis cargas en carpetas basadas en meses y años".
define( 'WP_CONTENT_URL', 'http://files.domain.com/media' ); define( 'WP_CONTENT_DIR', $_SERVER['HOME'] . '/files.domain.com/media' );
2. Eliminar metaetiquetas innecesarias del encabezado de WordPress
Si observa el código fuente HTML de su sitio de WordPress, encontrará un par de metaetiquetas en el encabezado que realmente no son necesarias. Por ejemplo, la versión del software de WordPress que se ejecuta en su servidor se puede recuperar fácilmente mirando el encabezado de su fuente.
<meta name="generator" content="WordPress 4.1" />
Esta información es una buena pista para los piratas informáticos de WordPress que buscan apuntar a blogs que utilizan las versiones más antiguas y menos seguras del software de WordPress. Para eliminar por completo el número de versión y otros metadatos no esenciales de su encabezado de WordPress, agregue este fragmento al archivo functions.php que se encuentra en su carpeta de temas de WordPress.
remove_action( 'wp_head', 'wp_generator' ) ; remove_action( 'wp_head', 'wlwmanifest_link' ) ; remove_action( 'wp_head', 'rsd_link' ) ;
3. Evite que las personas naveguen por sus carpetas
Dado que no le gustaría que nadie explore sus archivos y carpetas de WordPress usando la vista de explorador en los navegadores web, agregue la siguiente línea a su archivo .htaccess que existe en su directorio de instalación de WordPress.
Options All -Indexes
También asegúrese de que haya un index.php en blanco en la carpeta wp-content/themes y wp-content/plugins de su directorio de WordPress.
4. Deshabilitar HTML en los comentarios de WordPress
El cuadro de comentarios en WordPress permite a los comentaristas usar etiquetas HTML e incluso pueden agregar hipervínculos en su comentario. Los comentarios tienen rel=nofollow, pero si desea prohibir por completo HTML en los comentarios de WordPress, agregue este fragmento a su archivo functions.php.
add_filter( 'pre_comment_content', 'esc_html' );
Actualización: se reemplazó wp_specialchars con esc_html ya que el primero está obsoleto desde WordPress 2.8+
5. Desactiva las revisiones de publicaciones en WordPress
WordPress incluye una útil función de revisión de documentos para ayudarlo a realizar un seguimiento de los cambios en las ediciones de publicaciones y también puede volver a cualquier versión anterior de las publicaciones de su blog. Sin embargo, las revisiones de publicaciones aumentan el tamaño de su tabla wp_posts de WordPress, ya que cada revisión significa una fila adicional.
Para deshabilitar las revisiones de publicaciones en WordPress, abra el archivo wp-config.php en su directorio de WordPress y agregue la siguiente línea:
define( 'WP_POST_REVISIONS', false);
Alternativamente, si desea conservar la funcionalidad de revisiones posteriores, puede limitar la cantidad de revisiones de publicaciones que WordPress almacena en la base de datos MySQL. Agregue esta línea al archivo wp-config para almacenar solo las 3 ediciones recientes.
define( 'WP_POST_REVISIONS', 3);
6. Cambiar el intervalo de guardado automático posterior
Cuando edite una publicación de blog dentro del editor de WordPress, guardará automáticamente sus borradores a medida que escribe y esto ayudará a recuperar su trabajo en caso de que el navegador se bloquee. Los borradores se guardan cada minuto, pero puede cambiar la duración predeterminada para decir 120 segundos (o 2 minutos) agregando una línea a su archivo wp-config.php.
define( 'AUTOSAVE_INTERVAL', 120 );
7. Oculte las fuentes RSS de WordPress no esenciales
Su instalación de WordPress genera múltiples fuentes RSS: la fuente del blog, las fuentes de artículos, las fuentes de comentarios, las fuentes de categoría, las fuentes de archivo, etc., y estas se pueden descubrir automáticamente, ya que se incluyen en el encabezado HTML de las páginas de su blog mediante el <link>
etiqueta meta. Si solo desea publicar su fuente RSS principal y eliminar las otras fuentes del , agregue una línea a su archivo functions.php:
remove_action( 'wp_head', 'feed_links', 2 ); remove_action( 'wp_head', 'feed_links_extra', 3 );
8. Mantén una única fuente RSS, redirige a otros
En el paso anterior, simplemente eliminamos las fuentes RSS de la impresión dentro del encabezado del sitio, pero las fuentes RSS aún existen. Si desea que solo se sirva una fuente RSS a través de FeedBurner y deshabilitar todas las demás fuentes, agréguela a su archivo .htaccess. Recuerde reemplazar la URL del feed con la suya propia.
<IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTP_USER_AGENT} !^.*(FeedBurner|FeedValidator) [NC] RewriteRule ^feed/?.*$ http://feeds.labnol.org/labnol [L,NC,R=301] </IfModule>
9. Deshabilitar las sugerencias de inicio de sesión de WordPress
Cuando ingresa un nombre de usuario inexistente o una contraseña incorrecta al iniciar sesión en WordPress, aparecerá un mensaje de error muy detallado que le indicará exactamente si su nombre de usuario es incorrecto o si la contraseña no coincide. Eso podría ofrecer una pista a las personas que intentan ingresar a su blog de WordPress pero, afortunadamente, podemos desactivar las advertencias de inicio de sesión.
function no_wordpress_errors(){ return 'GET OFF MY LAWN !! RIGHT NOW !!'; } add_filter( 'login_errors', 'no_wordpress_errors' );
10. Habilite la autenticación de 2 factores
Esto es muy recomendable. Si alguien obtiene sus credenciales de WordPress, aún necesitará su teléfono móvil para acceder a su panel de control de WordPress.
A diferencia de Dropbox o Google, la autenticación de dos pasos no forma parte de WordPress, pero siempre puede usar el complemento Authy para habilitar la autenticación de dos factores.
11. Cambiar la estructura de enlaces permanentes
No utilice la estructura de enlaces permanentes predeterminada de WordPress, ya que es mala para el SEO. Vaya a Opciones -> Enlaces permanentes dentro de su tablero de WordPress y cambie su estructura de enlaces permanentes de WordPress a algo como:
Option 1. /%post_id%/%postname% Option 2. /%category%/%postname%/%post_id%/
12. Agregar íconos favoritos y táctiles
Es posible que su tema de WordPress ni siquiera incluya referencias al favicon (favicon.ico) o los íconos táctiles de Apple, pero los navegadores web y los lectores de feeds aún pueden solicitarlos a su servidor. Siempre es mejor entregar un archivo que devolver un 404.
Primero, cree un archivo favicon.ico de 16x16 y un archivo apple-touch.png de 144x144 y cárguelos en el directorio de inicio de su blog. Luego agregue esta línea a su .htaccess para redirigir todas las solicitudes de íconos táctiles de Apple a ese archivo en particular.
RedirectMatch 301 /apple-touch-icon(.*)?.png http://example.com/apple-touch.png
13. No permitir la indexación de scripts de WordPress
Desea que Google y otros motores de búsqueda rastreen e indexen las páginas de su blog, pero no los diversos archivos PHP de su instalación de WordPress. Abra el archivo robots.txt en su directorio de inicio de WordPress y agregue estas líneas para evitar que los bots indexen el backend de WordPress.
User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/plugins/ Disallow: /wp-content/themes/ Disallow: /feed/ Disallow: */feed/
14. Haga que el administrador sea un suscriptor
Si su nombre de usuario de WordPress es "admin", cree un nuevo usuario y concédale privilegios de administrador. Ahora cierre la sesión de WordPress, inicie sesión como el nuevo usuario y cambie el privilegio del usuario "admin" de Administrador a Suscriptor.
Incluso puede considerar eliminar el usuario "admin" y transferir cualquier publicación/página existente al nuevo usuario. Esto es importante por razones de seguridad porque no quiere que nadie adivine el nombre de usuario que tiene privilegios de administrador en su instalación de WordPress.
15. Ocultar mapas de sitio XML de los motores de búsqueda
Los mapas del sitio XML ayudarán a los motores de búsqueda a rastrear mejor su sitio, pero no desea que los motores de búsqueda muestren su mapa del sitio en las páginas de resultados de búsqueda. Agregue esto a su .htaccess para evitar la indexación de mapas de sitio XML.
<IfModule mod_rewrite.c> <Files sitemap.xml> Header set X-Robots-Tag "noindex" </Files> </IfModule>
16. No use la búsqueda de WordPress
Asegúrese de que la búsqueda de su sitio esté impulsada por la Búsqueda personalizada de Google y no utilice la función de búsqueda integrada de WordPress. La búsqueda de WordPress arroja resultados menos relevantes y la otra ventaja es que reducirá la tensión en su servidor/base de datos de WordPress, ya que las consultas de búsqueda se manejarán a través de Google.
Alternativamente, si planea continuar con la búsqueda integrada de WordPress, use el complemento Nice Search. Crea mejores enlaces permanentes para sus páginas de búsqueda de WordPress (/search/tutorials vs /?s=tutorials).
17. Proteger con contraseña el directorio wp-admin
Puede agregar fácilmente otra capa de seguridad a su instalación de WordPress protegiendo con contraseña el directorio wp-admin. Sin embargo, deberá recordar dos conjuntos de credenciales para iniciar sesión en WordPress: su contraseña de WordPress y la contraseña que protege el directorio wp-admin.
18. Registra errores 404 en Google Analytics
Los errores 404 son una oportunidad perdida. Puede usar eventos en Google Analytics para registrar sus errores 404, incluidos los detalles sobre el sitio de referencia que apunta a esa página 404 de su sitio. Agregue este fragmento en su archivo 404.php.
<? if (is_404()) { ?> _gaq.push(['_trackEvent', '404', document.location.pathname + document.location.search, document.referrer, 0, true]); <? } ?>
19. Eliminar temas no utilizados y complementos de WordPress
Los complementos y temas no utilizados no afectarán el rendimiento de su sitio web de WordPress, pero el objetivo debe ser tener la menor cantidad de código ejecutable posible en nuestro servidor. Por lo tanto, desactive y elimine las cosas que ya no necesita.
20. Evite que WordPress adivine URL
WordPress tiene la extraña costumbre de adivinar las URL y comete errores en la mayoría de los casos. Dejame explicar. Si un usuario solicita la URL labnol.org/hello pero si esa página no existe, WordPress puede redirigir a ese usuario a labnol.org/hello-world solo porque las URL tienen algunas palabras comunes.
Si desea que WordPress deje de adivinar las URL y, en su lugar, emita un error 404 No encontrado para las páginas que faltan, coloque este fragmento en el archivo functions.php:
add_filter('redirect_canonical', 'stop_guessing'); function stop_guessing($url) { if (is_404()) { return false; } return $url; }
21. Establecer encabezados de caducidad para contenido estático
Los archivos estáticos alojados en su sitio web de WordPress, como imágenes, CSS y JavaScript, no cambiarán con frecuencia y, por lo tanto, puede configurar Expire Headers para ellos para que los archivos se almacenen en caché en el navegador del usuario. Por lo tanto, en visitas posteriores, su sitio se cargará relativamente más rápido ya que los archivos JS y CSS se recuperarán del caché local.
Consulte el código estándar de HTML5 para obtener detalles sobre la configuración de encabezados de compresión y vencimiento para el rendimiento. Si está utilizando un complemento de almacenamiento en caché como W3 Total Cache, el propio complemento administra el control de caché.
ExpiresActive On ExpiresByType image/gif "access plus 30 days" ExpiresByType image/jpeg "access plus 30 days" ExpiresByType image/png "access plus 30 days" ExpiresByType text/css "access plus 1 week" ExpiresByType text/javascript "access plus 1 week"
23. Mejora la seguridad de WordPress
He discutido la seguridad de WordPress en detalle anteriormente. La esencia es que debe agregar claves secretas a su archivo wp_config.php, instalar un complemento de monitoreo de archivos (como Sucuri o WordFence), cambiar el prefijo de la tabla de WordPress y también limitar los intentos de inicio de sesión para evitar ataques de fuerza bruta.
24. Deshabilitar la edición de archivos dentro de WordPress
Cuando inicia sesión en su panel de WordPress como administrador, puede editar fácilmente cualquiera de los archivos PHP asociados con sus complementos y temas de WordPress. Si desea eliminar la funcionalidad de edición de archivos (un punto y coma faltante puede eliminar su sitio de WordPress), agregue esta línea a su archivo wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
25. Eliminar parámetros de consulta adicionales de las URL
Si la dirección web de su sitio de WordPress es abc.com, las personas aún pueden llegar a su sitio si agregan algunos parámetros de consulta a la URL. Por ejemplo, abc.com/?utm=ga o abc.com/?ref=feedly son, técnicamente hablando, URL completamente diferentes pero funcionarán bien.
Esto es malo porque diluye la equidad de su enlace (SEO) y, en una situación ideal, le gustaría que todas las URL apunten a la versión canónica. Agregue este pequeño fragmento a su archivo .htaccess y eliminará los parámetros de consulta innecesarios de todas las solicitudes entrantes.
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{QUERY_STRING} !="" RewriteCond %{QUERY_STRING} !^p=.* RewriteCond %{QUERY_STRING} !^s=.* RewriteCond %{REQUEST_URI} !^/wp-admin.* RewriteRule ^(.*)$ /$1? [R=301,L] </IfModule>
26. Eliminar la barra de administración
Esta es una característica molesta de WordPress: agrega una barra de administración en la parte superior de todas las páginas y eso es visible para todos los usuarios que han iniciado sesión en sus cuentas de WordPress.com. Sin embargo, esto se puede eliminar agregando una línea a su archivo functions.php.
add_filter('show_admin_bar', '__return_false');
27. Tratar con bloqueadores de anuncios
Algunos de los lectores de su blog pueden estar utilizando software de bloqueo de anuncios para bloquear la publicación de anuncios desde su sitio. Puede servir contenido alternativo como una lista de sus publicaciones populares de WordPress o incrustar un video de YouTube en su lugar.
28. Inserte la marca en su fuente RSS
Puede agregar fácilmente el logotipo de su marca a todos los artículos en la fuente RSS. Y dado que estos se publican desde su servidor, puede publicar una imagen diferente para los sitios que están plagiando su contenido al volver a publicar su feed. Agregue esto a su archivo functions.php.
function add_rss_logo($content) { if(is_feed()) { $content .= "<hr><a href='blog_url'><img src='logo_url'/></a>"; } return $content; } add_filter('the_content', 'add_rss_logo'); add_filter('the_excerpt_rss', 'add_rss_logo');
29. Instale los complementos esenciales
Aquí hay una lista completa de complementos de WordPress que uso y recomiendo.
30. Permanecer conectado por un período más largo
Si marca la opción "Recordarme", WordPress lo mantendrá conectado durante 2 semanas. Si solo está iniciando sesión en WordPress desde una computadora personal, puede extender fácilmente la fecha de vencimiento de la cookie de inicio de sesión de autorización agregando esto a su archivo functions.php.
add_filter( 'auth_cookie_expiration', 'stay_logged_in_for_1_year' ); function stay_logged_in_for_1_year( $expire ) { return 31556926; // 1 year in seconds }
31. Eliminar los emojis de WordPress
A partir de v4.2, WordPress ahora inserta archivos relacionados con Emoji en el encabezado de su sitio web. Si no planea usar los emoticonos y emojis en su blog, puede deshacerse fácilmente de estos archivos adicionales agregando las siguientes líneas a su archivo functions.php:
remove_action( 'wp_head', 'print_emoji_detection_script', 7 ); remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );
32. Realice un seguimiento de sus páginas impresas
Puede utilizar Google Analytics para realizar un seguimiento del uso de impresión de su sitio web. Cuando un visitante imprime cualquier página en su sitio web, se registrará un evento en Analytics y sabrá qué tipo de contenido se envía a la impresora. Del mismo modo, también puede agregar un código QR a las páginas impresas y las personas pueden encontrar fácilmente la URL de origen escaneando el código con su teléfono móvil.
Ver también: Comandos de Linux para WordPress