Rzeczy, które powinieneś zrobić po zainstalowaniu Wordpress

Możesz zainstalować WordPress w 2 prostych krokach, ale zaleca się dostosowanie niektórych ustawień domyślnych, aby zoptymalizować wydajność, a także poprawić bezpieczeństwo swojej witryny WordPress.

Zoptymalizuj instalację WordPressa

Te sugestie mają zastosowanie tylko do samodzielnie hostowanych witryn WordPress.org, a nie do blogów WordPress.com. Zakładam również, że używasz WordPressa na Apache pod Linuksem. Przewodnik został zaktualizowany dla WordPress 4.2. Zacznijmy:

1. Przenieś folder przesyłania multimediów

WordPress przechowuje wszystkie przesłane obrazy i pliki w folderze wp-content/uploads. Powinieneś jednak przenieść ten folder poza główny folder WordPress, najlepiej w subdomenie. Dzięki temu Twoje kopie zapasowe WordPress będą łatwiejsze w zarządzaniu (przesłane pliki i motywy mogą być archiwizowane osobno), a co najważniejsze, serwowanie obrazów z innej domeny umożliwi równoległe pobieranie w przeglądarce, poprawiając czas ładowania strony.

Otwórz plik wp-config.php i dodaj następujące wiersze, aby zmienić lokalizację folderu wp-content. Możesz także odznaczyć opcję „Porządkuj moje przesłane pliki w folderach miesięcznych i rocznych”.

 define( 'WP_CONTENT_URL', 'http://files.domain.com/media' ); define( 'WP_CONTENT_DIR', $_SERVER['HOME'] . '/files.domain.com/media' );

2. Usuń niepotrzebne metatagi z nagłówka WordPress

Jeśli spojrzysz na kod źródłowy HTML swojej witryny WordPress, znajdziesz w nagłówku kilka metatagów, które tak naprawdę nie są wymagane. Na przykład wersję oprogramowania WordPress uruchomioną na twoim serwerze można łatwo pobrać, patrząc na nagłówek źródłowy.

 <meta name="generator" content="WordPress 4.1" />

Ta informacja jest dobrą wskazówką dla hakerów WordPress, którzy chcą atakować blogi korzystające ze starszych i mniej bezpiecznych wersji oprogramowania WordPress. Aby całkowicie usunąć numer wersji i inne nieistotne metadane z nagłówka WordPress, dodaj ten fragment do pliku functions.php znajdującego się w folderze motywów WordPress.

 remove_action( 'wp_head', 'wp_generator' ) ; remove_action( 'wp_head', 'wlwmanifest_link' ) ; remove_action( 'wp_head', 'rsd_link' ) ;

3. Uniemożliwiaj innym przeglądanie Twoich folderów

Ponieważ nie chcesz, aby ktokolwiek przeglądał Twoje pliki i foldery WordPress za pomocą widoku eksploratora w przeglądarkach internetowych, dodaj następujący wiersz do pliku .htaccess, który istnieje w katalogu instalacyjnym WordPress.

 Options All -Indexes

Upewnij się również, że w folderach wp-content/themes i wp-content/plugins w katalogu WordPressa znajduje się pusty plik index.php.

4. Wyłącz HTML w komentarzach WordPress

Pole komentarza w WordPressie pozwala komentującym używać tagów HTML, a nawet dodawać hiperłącza w swoich komentarzach. Komentarze mają rel=nofollow, ale jeśli chcesz całkowicie wyłączyć HTML w komentarzach WordPress, dodaj ten fragment do pliku functions.php.

 add_filter( 'pre_comment_content', 'esc_html' );

Aktualizacja: Zamieniono wp_specialchars na esc_html , ponieważ ten pierwszy jest przestarzały od WordPress 2.8+

5. Wyłącz aktualizacje postów w WordPressie

WordPress zawiera przydatną funkcję poprawek dokumentów, która pomaga śledzić zmiany w publikowaniu edycji, a także możesz przywrócić dowolną poprzednią wersję swoich postów na blogu. Wersje postów zwiększają jednak rozmiar tabeli wp_posts WordPress, ponieważ każda wersja oznacza dodatkowy wiersz.

Aby wyłączyć publikowanie wersji w WordPress, otwórz plik wp-config.php w katalogu WordPress i dodaj następujący wiersz:

 define( 'WP_POST_REVISIONS', false);

Alternatywnie, jeśli chcesz zachować funkcjonalność Post Revisions, możesz po prostu ograniczyć liczbę wersji postów, które WordPress przechowuje w bazie danych MySQL. Dodaj ten wiersz do pliku wp-config, aby przechowywać tylko ostatnie 3 zmiany.

 define( 'WP_POST_REVISIONS', 3);

6. Zmień interwał po automatycznym zapisie

Kiedy edytujesz post na blogu w edytorze WordPress, automatycznie zapisze on twoje wersje robocze podczas pisania, co pomoże w odzyskaniu pracy w przypadku awarii przeglądarki. Szkice są zapisywane co minutę, ale możesz zmienić domyślny czas trwania, powiedzmy, 120 sekund (lub 2 minuty), dodając linię do pliku wp-config.php.

 define( 'AUTOSAVE_INTERVAL', 120 );

7. Ukryj niepotrzebne kanały RSS WordPress

Twoja instalacja WordPressa generuje wiele kanałów RSS — kanał bloga, kanały artykułów, kanał komentarzy, kanały kategorii, kanały archiwalne itp. — i są one automatycznie wykrywane, ponieważ są zawarte w nagłówku HTML stron bloga za pomocą <link> metatag. Jeśli chcesz tylko opublikować swój główny kanał RSS i usunąć inne kanały z , dodaj linię do pliku functions.php:

 remove_action( 'wp_head', 'feed_links', 2 ); remove_action( 'wp_head', 'feed_links_extra', 3 );

8. Utrzymuj pojedynczy kanał RSS, przekierowuj innych

W poprzednim kroku po prostu usunęliśmy kanały RSS z drukowania w nagłówku witryny, ale kanały RSS nadal istnieją. Jeśli chcesz mieć tylko jeden kanał RSS obsługiwany przez FeedBurner i wyłączyć wszystkie inne, dodaj go do swojego pliku .htaccess. Pamiętaj, aby zastąpić adres URL kanału własnym.

 <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTP_USER_AGENT} !^.*(FeedBurner|FeedValidator) [NC] RewriteRule ^feed/?.*$ http://feeds.labnol.org/labnol [L,NC,R=301] </IfModule>

9. Wyłącz wskazówki dotyczące logowania WordPress

Gdy wpiszesz nieistniejącą nazwę użytkownika lub nieprawidłowe hasło podczas logowania do WordPressa, wyświetli się bardzo szczegółowy komunikat o błędzie z informacją, czy nazwa użytkownika jest błędna lub czy hasło nie pasuje. To może być wskazówką dla osób, które próbują włamać się do Twojego bloga WordPress, ale na szczęście możemy wyłączyć ostrzeżenia logowania.

 function no_wordpress_errors(){ return 'GET OFF MY LAWN !! RIGHT NOW !!'; } add_filter( 'login_errors', 'no_wordpress_errors' );

10. Włącz uwierzytelnianie dwuskładnikowe

Jest to wysoce zalecane. Jeśli ktoś zdobędzie Twoje dane uwierzytelniające WordPress, nadal będzie potrzebował Twojego telefonu komórkowego, aby uzyskać dostęp do pulpitu nawigacyjnego WordPress.

W przeciwieństwie do Dropbox czy Google, uwierzytelnianie dwuetapowe nie jest częścią WordPressa, ale zawsze możesz użyć wtyczki Authy, aby włączyć uwierzytelnianie dwuetapowe.

11. Zmień strukturę permalinka

Nie używaj domyślnej struktury Permalink WordPressa, ponieważ jest to złe dla SEO. Przejdź do Opcje -> Permalinki w panelu WordPress i zmień strukturę Permalink WordPress na coś takiego:

 Option 1. /%post_id%/%postname% Option 2. /%category%/%postname%/%post_id%/

12. Dodaj ikony favicon i dotykowe

Twój motyw WordPress może nawet nie zawierać odniesień do favicon (favicon.ico) lub ikon dotykowych Apple, ale przeglądarki internetowe i czytniki kanałów mogą nadal żądać ich z Twojego serwera. Zawsze lepiej jest udostępnić plik niż zwrócić błąd 404.

Najpierw utwórz plik favicon.ico 16x16 i apple-touch.png 144x144 i prześlij je do katalogu domowego swojego bloga. Następnie dodaj tę linię do pliku .htaccess, aby przekierować wszystkie żądania ikony Apple Touch do tego konkretnego pliku.

 RedirectMatch 301 /apple-touch-icon(.*)?.png http://example.com/apple-touch.png

13. Nie zezwalaj na indeksowanie skryptów WordPress

Chcesz, aby Google i inne wyszukiwarki indeksowały i indeksowały strony Twojego bloga, ale nie różne pliki PHP instalacji WordPress. Otwórz plik robots.txt w katalogu domowym WordPressa i dodaj te wiersze, aby zablokować botom indeksowanie backendu WordPressa.

 User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/plugins/ Disallow: /wp-content/themes/ Disallow: /feed/ Disallow: */feed/

14. Uczyń administratora subskrybentem

Jeśli Twoja nazwa użytkownika WordPress to „admin”, utwórz nowego użytkownika i nadaj mu uprawnienia administratora. Teraz wyloguj się z WordPressa, zaloguj jako nowy użytkownik i zmień uprawnienia użytkownika „admin” z Administratora na Subskrybenta.

Możesz nawet rozważyć usunięcie użytkownika „admin” i przeniesienie istniejących postów/stron do nowego użytkownika. Jest to ważne ze względów bezpieczeństwa, ponieważ nie chcesz, aby ktokolwiek odgadł nazwę użytkownika, który ma uprawnienia administratora do Twojej instalacji WordPressa.

15. Ukryj mapy witryn XML z wyszukiwarek

Mapy witryn XML pomogą wyszukiwarkom w lepszym indeksowaniu Twojej witryny, ale nie chcesz, aby wyszukiwarki faktycznie wyświetlały Twoją mapę witryny na stronach wyników wyszukiwania. Dodaj to do swojego .htaccess, aby zapobiec indeksowaniu map witryn XML.

 <IfModule mod_rewrite.c> <Files sitemap.xml> Header set X-Robots-Tag "noindex" </Files> </IfModule>

16. Nie używaj wyszukiwania WordPress

Upewnij się, że wyszukiwanie w witrynie jest obsługiwane przez wyszukiwarkę niestandardową Google i nie korzystaj z wbudowanej funkcji wyszukiwania WordPress. Wyszukiwanie WordPress zwraca mniej trafne wyniki, a inną zaletą jest to, że zmniejszy obciążenie serwera / bazy danych WordPress, ponieważ zapytania wyszukiwania będą obsługiwane przez Google.

Alternatywnie, jeśli planujesz kontynuować wyszukiwanie wbudowane w WordPress, użyj wtyczki Nice Search. Tworzy lepsze permalinki do stron wyszukiwania WordPress (/search/tutorials vs /?s=tutorials).

17. Ochrona hasłem katalogu wp-admin

Możesz łatwo dodać kolejną warstwę bezpieczeństwa do swojej instalacji WordPressa, chroniąc hasłem katalog wp-admin. Będziesz jednak musiał zapamiętać dwa zestawy danych uwierzytelniających do logowania się do WordPressa - hasło do WordPressa i hasło chroniące katalog wp-admin.

18. Zaloguj błędy 404 w Google Analytics

Błędy 404 to stracona okazja. Możesz użyć zdarzeń w Google Analytics, aby rejestrować błędy 404, w tym szczegóły dotyczące witryny odsyłającej, która wskazuje na tę stronę 404 w Twojej witrynie. Dodaj ten fragment do pliku 404.php.

 <? if (is_404()) { ?> _gaq.push(['_trackEvent', '404', document.location.pathname + document.location.search, document.referrer, 0, true]); <? } ?>

19. Usuń nieużywane motywy i wtyczki WordPress

Nieużywane wtyczki i motywy nie wpłyną na wydajność Twojej witryny WordPress, ale celem powinno być posiadanie jak najmniejszego kodu wykonywalnego na naszym serwerze. W ten sposób dezaktywuj i usuń rzeczy, których już nie potrzebujesz.

20. Zatrzymaj WordPressa przed zgadywaniem adresów URL

WordPress ma dziwny zwyczaj zgadywania adresów URL i w większości przypadków popełnia błędy. Pozwól mi wyjaśnić. Jeśli użytkownik zażąda adresu URL labnol.org/hello, ale jeśli ta strona nie istnieje, WordPress może przekierować tego użytkownika do labnol.org/hello-world tylko dlatego, że adresy URL mają kilka wspólnych słów.

Jeśli chcesz, aby WordPress przestał zgadywać adresy URL i zamiast tego wyświetlał błąd 404 Not Found dla brakujących stron, umieść ten fragment w pliku functions.php:

 add_filter('redirect_canonical', 'stop_guessing'); function stop_guessing($url) { if (is_404()) { return false; } return $url; }

21. Ustaw nagłówki wygaśnięcia dla treści statycznej

Pliki statyczne hostowane w witrynie WordPress – takie jak obrazy, CSS i JavaScript – nie będą się często zmieniać, dlatego możesz ustawić dla nich nagłówki wygaśnięcia, aby pliki były buforowane w przeglądarce użytkownika. W ten sposób przy kolejnych wizytach Twoja witryna będzie ładować się stosunkowo szybciej, ponieważ pliki JS i CSS byłyby pobierane z lokalnej pamięci podręcznej.

Szczegółowe informacje o konfigurowaniu nagłówków wygaśnięcia i kompresji pod kątem wydajności można znaleźć w zestawieniu HTML5 Boilerplate. Jeśli używasz wtyczki buforującej, takiej jak W3 Total Cache, kontrola pamięci podręcznej jest zarządzana przez samą wtyczkę.

 ExpiresActive On ExpiresByType image/gif "access plus 30 days" ExpiresByType image/jpeg "access plus 30 days" ExpiresByType image/png "access plus 30 days" ExpiresByType text/css "access plus 1 week" ExpiresByType text/javascript "access plus 1 week"

23. Popraw bezpieczeństwo WordPress

Bezpieczeństwo WordPressa omówiłem szczegółowo wcześniej. Istotą jest to, że powinieneś dodać tajne klucze do pliku wp_config.php, zainstalować wtyczkę do monitorowania plików (taką jak Sucuri lub WordFence), zmienić prefiks tabeli WordPress, a także ograniczyć próby logowania, aby zapobiec atakom typu brute force.

24. Wyłącz edycję plików w WordPressie

Po zalogowaniu się do pulpitu WordPress jako administrator możesz łatwo edytować dowolne pliki PHP powiązane z wtyczkami i motywami WordPress. Jeśli chcesz usunąć funkcję edycji plików (jeden brakujący średnik może spowodować usunięcie witryny WordPress), dodaj ten wiersz do pliku wp-config.php:

 define( 'DISALLOW_FILE_EDIT', true );

25. Usuń dodatkowe parametry zapytania z adresów URL

Jeśli adres internetowy Twojej witryny WordPress to abc.com, użytkownicy nadal będą mogli dotrzeć do Twojej witryny, jeśli dodadzą kilka parametrów zapytania do adresu URL. Na przykład abc.com/?utm=ga lub abc.com/?ref=feedly są, technicznie rzecz biorąc, zupełnie różnymi adresami URL, ale będą działać dobrze.

Jest to złe, ponieważ osłabia twój link equity (SEO) i, w idealnej sytuacji, chciałbyś, aby wszystkie adresy URL wskazywały na wersję kanoniczną. Dodaj ten mały fragment do swojego pliku .htaccess, a usunie niepotrzebne parametry zapytania ze wszystkich przychodzących żądań.

 <IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{QUERY_STRING} !="" RewriteCond %{QUERY_STRING} !^p=.* RewriteCond %{QUERY_STRING} !^s=.* RewriteCond %{REQUEST_URI} !^/wp-admin.* RewriteRule ^(.*)$ /$1? [R=301,L] </IfModule>

26. Usuń pasek administratora

Jest to irytująca funkcja WordPressa - dodaje pasek administratora na górze wszystkich stron i jest widoczny dla wszystkich użytkowników zalogowanych na swoich kontach WordPress.com. Można to jednak usunąć, dodając linię do pliku functions.php.

 add_filter('show_admin_bar', '__return_false');

27. Rozpraw się z blokerami reklam

Niektórzy czytelnicy Twojego bloga mogą używać oprogramowania do blokowania reklam do blokowania wyświetlania reklam z Twojej witryny. Możesz wyświetlać alternatywne treści, takie jak lista popularnych postów WordPress, lub zamiast tego osadzić wideo z YouTube.

28. Wstaw branding do swojego kanału RSS

Możesz łatwo dodać logo swojej marki do wszystkich artykułów w kanale RSS. A ponieważ są one dostarczane z Twojego serwera, możesz wyświetlać inny obraz witrynom, które plagiatują Twoje treści, ponownie publikując swój kanał. Dodaj to do pliku functions.php.

 function add_rss_logo($content) { if(is_feed()) { $content .= "<hr><a href='blog_url'><img src='logo_url'/></a>"; } return $content; } add_filter('the_content', 'add_rss_logo'); add_filter('the_excerpt_rss', 'add_rss_logo');

29. Zainstaluj niezbędne wtyczki

Oto pełna lista wtyczek WordPress, których używam i polecam.

30. Pozostań zalogowany przez dłuższy czas

Jeśli zaznaczysz opcję „Zapamiętaj mnie”, WordPress pozostanie zalogowany przez 2 tygodnie. Jeśli logujesz się do WordPressa tylko z komputera osobistego, możesz łatwo przedłużyć datę wygaśnięcia pliku cookie logowania autoryzacyjnego, dodając go do pliku functions.php.

 add_filter( 'auth_cookie_expiration', 'stay_logged_in_for_1_year' ); function stay_logged_in_for_1_year( $expire ) { return 31556926; // 1 year in seconds }

31. Usuń emotikony WordPress

Począwszy od wersji 4.2, WordPress wstawia teraz pliki związane z emotikonami w nagłówku Twojej witryny. Jeśli nie planujesz używać emotikonów i emotikonów na swoim blogu, możesz łatwo pozbyć się tych dodatkowych plików, dodając następujące wiersze do pliku functions.php:

 remove_action( 'wp_head', 'print_emoji_detection_script', 7 ); remove_action( 'admin_print_scripts', 'print_emoji_detection_script' );

32. Śledź swoje drukowane strony

Możesz użyć Google Analytics do śledzenia wykorzystania druku w swojej witrynie. Gdy odwiedzający wydrukuje dowolną stronę w Twojej witrynie, zdarzenie zostanie zarejestrowane w Analytics i będziesz wiedział, jaki rodzaj treści jest wysyłany do drukarki. Podobnie możesz dodać kod QR do drukowanych stron, a użytkownicy mogą łatwo znaleźć źródłowy adres URL, skanując kod telefonem komórkowym.

Zobacz także: Polecenia Linuksa dla WordPress