Cose da fare dopo aver installato Wordpress

Puoi installare WordPress in 2 semplici passaggi, ma ti consigliamo di modificare alcune delle impostazioni predefinite per ottimizzare le prestazioni e migliorare anche la sicurezza del tuo sito Web WordPress.

Ottimizza la tua installazione di WordPress

Questi suggerimenti sono applicabili solo ai siti WordPress.org self-hosted e non ai blog WordPress.com. Inoltre, presumo che tu stia eseguendo WordPress su Apache sotto Linux. La guida è ora aggiornata per WordPress 4.2. Iniziamo:

1. Spostare la cartella di caricamento multimediale

WordPress memorizza tutte le immagini e i file caricati nella cartella wp-content/uploads. Dovresti comunque spostare questa cartella al di fuori della cartella principale di WordPress, preferibilmente su un sottodominio. In questo modo i backup di WordPress saranno più gestibili (è possibile eseguire il backup dei file e dei temi caricati separatamente) e, cosa più importante, la pubblicazione di immagini da un dominio diverso consentirà download paralleli nel browser migliorando il tempo di caricamento della pagina.

Apri il tuo file wp-config.php e aggiungi le seguenti righe per cambiare la posizione della cartella wp-content. Puoi anche deselezionare l'opzione "Organizza i miei caricamenti in cartelle basate su mese e anno".

 define( 'WP_CONTENT_URL', 'http://files.domain.com/media' ); define( 'WP_CONTENT_DIR', $_SERVER['HOME'] . '/files.domain.com/media' );

2. Rimuovi i meta tag non necessari dall'intestazione di WordPress

Se guardi il codice sorgente HTML del tuo sito WordPress, troverai un paio di meta tag nell'intestazione che non sono realmente richiesti. Ad esempio, la versione del software WordPress in esecuzione sul tuo server può essere facilmente recuperata guardando l'intestazione della tua fonte.

 <meta name="generator" content="WordPress 4.1" />

Queste informazioni sono un buon suggerimento per gli hacker di WordPress che stanno cercando di prendere di mira i blog che utilizzano le versioni precedenti e meno sicure del software WordPress. Per rimuovere completamente il numero di versione e altri metadati non essenziali dall'intestazione di WordPress, aggiungi questo snippet al file functions.php che si trova nella cartella dei temi di WordPress.

 remove_action( 'wp_head', 'wp_generator' ) ; remove_action( 'wp_head', 'wlwmanifest_link' ) ; remove_action( 'wp_head', 'rsd_link' ) ;

3. Impedisci alle persone di sfogliare le tue cartelle

Dal momento che non vorresti che nessuno sfogliasse i tuoi file e cartelle di WordPress usando la vista esploratore nei browser web, aggiungi la seguente riga al tuo file .htaccess che esiste nella tua directory di installazione di WordPress.

 Options All -Indexes

Assicurati anche che ci sia un index.php vuoto nella cartella wp-content/themes e wp-content/plugins della tua directory di WordPress.

4. Disabilita l'HTML nei commenti di WordPress

La casella dei commenti in WordPress consente ai commentatori di utilizzare i tag HTML e possono persino aggiungere collegamenti ipertestuali nei loro commenti. I commenti hanno rel=nofollow ma se desideri disabilitare completamente l'HTML nei commenti di WordPress, aggiungi questo snippet al tuo file functions.php.

 add_filter( 'pre_comment_content', 'esc_html' );

Aggiornamento: sostituito wp_specialchars con esc_html poiché il primo è deprecato da WordPress 2.8+

5. Disattiva le revisioni dei post in WordPress

WordPress include un'utile funzione di revisione dei documenti per aiutarti a tenere traccia delle modifiche alle modifiche dei post e puoi anche ripristinare qualsiasi versione precedente dei post del tuo blog. Le revisioni dei post, tuttavia, aumentano le dimensioni della tabella wp_posts di WordPress poiché ogni revisione significa una riga aggiuntiva.

Per disabilitare le revisioni dei post in WordPress, apri il file wp-config.php nella directory di WordPress e aggiungi la seguente riga:

 define( 'WP_POST_REVISIONS', false);

In alternativa, se desideri mantenere la funzionalità Post Revisions, puoi semplicemente limitare il numero di revisioni dei post che WordPress memorizza nel database MySQL. Aggiungi questa riga al file wp-config per memorizzare solo le 3 modifiche recenti.

 define( 'WP_POST_REVISIONS', 3);

6. Modificare l'intervallo di salvataggio automatico successivo

Quando modifichi un post del blog all'interno dell'editor di WordPress, le bozze verranno salvate automaticamente durante la digitazione e questo ti aiuterà a recuperare il tuo lavoro in caso di arresto anomalo del browser. Le bozze vengono salvate ogni minuto, ma puoi modificare la durata predefinita in 120 secondi (o 2 minuti) aggiungendo una riga al tuo file wp-config.php.

 define( 'AUTOSAVE_INTERVAL', 120 );

7. Nascondi i feed RSS di WordPress non essenziali

L'installazione di WordPress genera più feed RSS - il feed del blog, i feed degli articoli, i feed dei commenti, i feed delle categorie, i feed degli archivi, ecc. - e questi sono rilevabili automaticamente poiché sono inclusi nell'intestazione HTML delle pagine del tuo blog utilizzando il <link> meta tag. Se vuoi solo pubblicizzare il tuo feed RSS principale e rimuovere gli altri feed dal , aggiungi una riga al tuo file functions.php:

 remove_action( 'wp_head', 'feed_links', 2 ); remove_action( 'wp_head', 'feed_links_extra', 3 );

8. Mantieni un unico feed RSS, reindirizza gli altri

Nel passaggio precedente, abbiamo semplicemente rimosso i feed RSS dalla stampa all'interno dell'intestazione del sito, ma i feed RSS esistono ancora. Se desideri avere un solo feed RSS servito tramite FeedBurner e disabilitare tutti gli altri feed, aggiungilo al tuo file .htaccess. Ricordati di sostituire l'URL del feed con il tuo.

 <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTP_USER_AGENT} !^.*(FeedBurner|FeedValidator) [NC] RewriteRule ^feed/?.*$ http://feeds.labnol.org/labnol [L,NC,R=301] </IfModule>

9. Disabilita i suggerimenti di accesso a WordPress

Quando digiti un nome utente inesistente o una password errata durante l'accesso a WordPress, verrà fornito un messaggio di errore molto dettagliato che ti dice esattamente se il tuo nome utente è sbagliato o se la password non corrisponde. Ciò potrebbe offrire un suggerimento alle persone che stanno cercando di entrare nel tuo blog WordPress ma, fortunatamente, possiamo disabilitare gli avvisi di accesso.

 function no_wordpress_errors(){ return 'GET OFF MY LAWN !! RIGHT NOW !!'; } add_filter( 'login_errors', 'no_wordpress_errors' );

10. Abilita l'autenticazione a 2 fattori

Questo è altamente raccomandato. Se qualcuno si impossessa delle tue credenziali di WordPress, avrà comunque bisogno del tuo cellulare per accedere alla dashboard di WordPress.

A differenza di Dropbox o Google, l'autenticazione in 2 passaggi non fa parte di WordPress, ma puoi sempre utilizzare il plug-in Authy per abilitare l'autenticazione a 2 fattori.

11. Modifica la struttura del Permalink

Non utilizzare la struttura Permalink predefinita di WordPress poiché è dannosa per la SEO. Vai su Opzioni -> Permalink all'interno della dashboard di WordPress e modifica la struttura del Permalink di WordPress in qualcosa del tipo:

 Option 1. /%post_id%/%postname% Option 2. /%category%/%postname%/%post_id%/

12. Aggiungi icone favicon e touch

Il tuo tema WordPress potrebbe non includere nemmeno riferimenti alla favicon (favicon.ico) o alle icone Apple touch, ma i browser Web e i lettori di feed potrebbero comunque richiederli dal tuo server. È sempre meglio servire un file che restituire un 404.

Per prima cosa, crea un file favicon.ico 16x16 e un file apple-touch.png 144x144 e caricali nella home directory del tuo blog. Quindi aggiungi questa riga al tuo .htaccess per reindirizzare tutte le richieste di icone Apple Touch a quel particolare file.

 RedirectMatch 301 /apple-touch-icon(.*)?.png http://example.com/apple-touch.png

13. Non consentire l'indicizzazione degli script di WordPress

Vuoi che Google e altri motori di ricerca eseguano la scansione e indicizzino le pagine del tuo blog ma non i vari file PHP della tua installazione di WordPress. Apri il file robots.txt nella tua home directory di WordPress e aggiungi queste righe per impedire ai bot di indicizzare il materiale di back-end di WordPress.

 User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/plugins/ Disallow: /wp-content/themes/ Disallow: /feed/ Disallow: */feed/

14. Rendi l'amministratore un abbonato

Se il tuo nome utente WordPress è "admin", crea un nuovo utente e concedi loro i privilegi di amministratore. Ora esci da WordPress, accedi come nuovo utente e cambia il privilegio dell'utente "amministratore" da amministratore a abbonato.

Potresti anche considerare di eliminare l'utente "admin" e trasferire eventuali post/pagine esistenti al nuovo utente. Questo è importante per motivi di sicurezza perché non vuoi che nessuno indovini il nome utente che ha i privilegi di amministratore per la tua installazione di WordPress.

15. Nascondi le Sitemap XML dai motori di ricerca

Le Sitemap XML aiuteranno i motori di ricerca a scansionare meglio il tuo sito, ma non vuoi che i motori di ricerca mostrino effettivamente la tua mappa del sito nelle pagine dei risultati di ricerca. Aggiungi questo al tuo .htaccess per impedire l'indicizzazione delle mappe del sito XML.

 <IfModule mod_rewrite.c> <Files sitemap.xml> Header set X-Robots-Tag "noindex" </Files> </IfModule>

16. Non utilizzare la ricerca di WordPress

Assicurati che la ricerca del tuo sito sia alimentata da Google Custom Search e non utilizzi la funzione di ricerca integrata di WordPress. La ricerca di WordPress restituisce risultati meno rilevanti e l'altro vantaggio è che ridurrà lo sforzo sul server/database di WordPress poiché le query di ricerca verranno gestite tramite Google.

In alternativa, se prevedi di continuare con la ricerca integrata di WordPress, utilizza il plug-in Nice Search. Crea permalink migliori per le tue pagine di ricerca di WordPress (/search/tutorials vs /?s=tutorials).

17. Proteggi con password la directory wp-admin

Puoi facilmente aggiungere un altro livello di sicurezza alla tua installazione di WordPress proteggendo con password la directory wp-admin. Tuttavia, dovrai ricordare due set di credenziali per accedere a WordPress: la password di WordPress e la password che protegge la directory wp-admin.

18. Registra 404 errori in Google Analytics

404 errori sono un'occasione persa. Puoi utilizzare gli eventi in Google Analytics per registrare i tuoi errori 404 inclusi i dettagli sul sito di riferimento che punta a quella pagina 404 del tuo sito. Aggiungi questo snippet nel tuo file 404.php.

 <? if (is_404()) { ?> _gaq.push(['_trackEvent', '404', document.location.pathname + document.location.search, document.referrer, 0, true]); <? } ?>

19. Elimina temi inutilizzati e plugin di WordPress

I plugin e i temi inutilizzati non influiranno sulle prestazioni del tuo sito Web WordPress, ma l'obiettivo dovrebbe essere quello di avere il minor codice eseguibile possibile sul nostro server. Quindi disattiva ed elimina le cose che non ti servono più.

20. Impedisci a WordPress di indovinare gli URL

WordPress ha la strana abitudine di indovinare gli URL e nella maggior parte dei casi fa errori. Lasciatemi spiegare. Se un utente richiede l'URL labnol.org/hello ma se quella pagina non esiste, WordPress potrebbe reindirizzare quell'utente a labnol.org/hello-world solo perché gli URL hanno alcune parole comuni.

Se desideri che WordPress smetta di indovinare gli URL e invece emetta un errore 404 Non trovato per le pagine mancanti, inserisci questo snippet nel file functions.php:

 add_filter('redirect_canonical', 'stop_guessing'); function stop_guessing($url) { if (is_404()) { return false; } return $url; }

21. Imposta le intestazioni di scadenza per il contenuto statico

I file statici ospitati sul tuo sito Web WordPress, come immagini, CSS e JavaScript, non cambieranno spesso e quindi puoi impostare le intestazioni di scadenza per loro in modo che i file vengano memorizzati nella cache del browser dell'utente. Pertanto, nelle visite successive, il tuo sito verrà caricato in modo relativamente più veloce poiché i file JS e CSS verrebbero recuperati dalla cache locale.

Fare riferimento a HTML5 Boilerplate per i dettagli sull'impostazione delle intestazioni di scadenza e compressione per le prestazioni. Se stai utilizzando un plug-in di memorizzazione nella cache come W3 Total Cache, il controllo della cache è gestito dal plug-in stesso.

 ExpiresActive On ExpiresByType image/gif "access plus 30 days" ExpiresByType image/jpeg "access plus 30 days" ExpiresByType image/png "access plus 30 days" ExpiresByType text/css "access plus 1 week" ExpiresByType text/javascript "access plus 1 week"

23. Migliora la sicurezza di WordPress

Ho discusso in dettaglio della sicurezza di WordPress in precedenza. Il succo è che dovresti aggiungere chiavi segrete al tuo file wp_config.php, installare un plug-in di monitoraggio dei file (come Sucuri o WordFence), cambiare il prefisso della tabella di WordPress e anche limitare i tentativi di accesso per prevenire attacchi di forza bruta.

24. Disabilita la modifica dei file all'interno di WordPress

Quando accedi alla dashboard di WordPress come amministratore, puoi facilmente modificare qualsiasi file PHP associato ai plugin e ai temi di WordPress. Se desideri rimuovere la funzionalità di modifica dei file (un punto e virgola mancante può distruggere il tuo sito WordPress), aggiungi questa riga al tuo file wp-config.php:

 define( 'DISALLOW_FILE_EDIT', true );

25. Rimuovere i parametri di query aggiuntivi dagli URL

Se l'indirizzo web del tuo sito WordPress è abc.com, le persone possono comunque raggiungere il tuo sito se aggiungono alcuni parametri di query all'URL. Ad esempio, abc.com/?utm=ga o abc.com/?ref=feedly sono, tecnicamente parlando, URL completamente diversi ma funzioneranno perfettamente.

Questo è negativo perché diluisce la tua link equity (SEO) e, in una situazione ideale, vorresti che tutti gli URL puntassero alla versione canonica. Aggiungi questo piccolo frammento al tuo file .htaccess e rimuoverà i parametri di query non necessari da tutte le richieste in arrivo.

 <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{QUERY_STRING} !="" RewriteCond %{QUERY_STRING} !^p=.* RewriteCond %{QUERY_STRING} !^s=.* RewriteCond %{REQUEST_URI} !^/wp-admin.* RewriteRule ^(.*)$ /$1? [R=301,L] </IfModule>

26. Rimuovere la barra di amministrazione

Questa è una caratteristica fastidiosa di WordPress: aggiunge una barra di amministrazione in cima a tutte le pagine ed è visibile a tutti gli utenti che hanno effettuato l'accesso ai loro account WordPress.com. Questo può tuttavia essere rimosso aggiungendo una riga al tuo file functions.php.

 add_filter('show_admin_bar', '__return_false');

27. Gestisci i blocchi degli annunci

Alcuni dei lettori del tuo blog potrebbero utilizzare un software di blocco degli annunci per bloccare la pubblicazione degli annunci dal tuo sito. Puoi servire contenuti alternativi come un elenco dei tuoi post WordPress popolari o incorporare invece un video di YouTube.

28. Inserisci il marchio nel tuo feed RSS

Puoi facilmente aggiungere il logo del tuo marchio a tutti gli articoli nel feed RSS. E poiché questi sono serviti dal tuo server, puoi pubblicare un'immagine diversa per i siti che stanno plagiando i tuoi contenuti ripubblicando il tuo feed. Aggiungilo al tuo file functions.php.

 function add_rss_logo($content) { if(is_feed()) { $content .= "<hr><a href='blog_url'><img src='logo_url'/></a>"; } return $content; } add_filter('the_content', 'add_rss_logo'); add_filter('the_excerpt_rss', 'add_rss_logo');

29. Installa i plugin essenziali

Ecco un elenco completo dei plugin di WordPress che utilizzo e consiglio.

30. Rimani connesso per un periodo più lungo

Se selezioni l'opzione "Ricordami", WordPress ti manterrà connesso per 2 settimane. Se accedi a WordPress solo da un personal computer, puoi facilmente estendere la data di scadenza del cookie di accesso di autorizzazione aggiungendolo al tuo file functions.php.

 add_filter( 'auth_cookie_expiration', 'stay_logged_in_for_1_year' ); function stay_logged_in_for_1_year( $expire ) { return 31556926; // 1 year in seconds }

31. Rimuovi gli emoji di WordPress

A partire dalla v4.2, WordPress ora inserisce i file relativi alle Emoji nell'intestazione del tuo sito web. Se non hai intenzione di utilizzare le emoticon e gli emoji nel tuo blog, puoi facilmente sbarazzarti di questi file extra aggiungendo le seguenti righe al tuo file functions.php:

 remove_action( 'wp_head', 'print_emoji_detection_script', 7 ); remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );

32. Tieni traccia delle tue pagine stampate

Puoi utilizzare Google Analytics per monitorare l'utilizzo della stampa del tuo sito web. Quando un visitatore stampa una qualsiasi pagina del tuo sito web, un evento verrà registrato in Analytics e saprai che tipo di contenuto viene inviato alla stampante. Allo stesso modo, puoi anche aggiungere un codice QR alle pagine stampate e le persone possono trovare facilmente l'URL di origine scansionando il codice con il proprio telefono cellulare.

Vedi anche: Comandi Linux per WordPress