Coisas que você deve fazer depois de instalar o Wordpress
Publicados: 2022-02-26Você pode instalar o WordPress em 2 etapas fáceis, mas é recomendável ajustar algumas das configurações padrão para otimizar o desempenho e também melhorar a segurança do seu site WordPress.
Otimize sua instalação do WordPress
Essas sugestões são aplicáveis apenas a sites WordPress.org auto-hospedados e não a blogs WordPress.com. Além disso, suponho que você esteja executando o WordPress no Apache no Linux. O guia agora está atualizado para o WordPress 4.2. Vamos começar:
1. Remova a pasta de upload de mídia
O WordPress armazena todas as suas imagens e arquivos enviados na pasta wp-content/uploads. No entanto, você deve mover esta pasta para fora da pasta principal do WordPress, de preferência em um subdomínio. Assim, seus backups do WordPress serão mais gerenciáveis (os arquivos e temas carregados podem ser copiados separadamente) e, o mais importante, servir imagens de um domínio diferente permitirá downloads paralelos no navegador, melhorando o tempo de carregamento da página.
Abra seu arquivo wp-config.php e adicione as seguintes linhas para alterar o local da pasta wp-content. Você também pode desmarcar a opção - "Organizar meus uploads em pastas baseadas em mês e ano".
define( 'WP_CONTENT_URL', 'http://files.domain.com/media' ); define( 'WP_CONTENT_DIR', $_SERVER['HOME'] . '/files.domain.com/media' ); 2. Remova meta tags desnecessárias do cabeçalho do WordPress
Se você observar o código-fonte HTML do seu site WordPress, encontrará algumas metatags no cabeçalho que não são realmente necessárias. Por exemplo, a versão do software WordPress em execução em seu servidor pode ser facilmente recuperada observando seu cabeçalho de origem.
<meta name="generator" content="WordPress 4.1" />Essas informações são uma boa dica para hackers do WordPress que desejam segmentar blogs que usam as versões mais antigas e menos seguras do software WordPress. Para remover completamente o número da versão e outros metadados não essenciais do cabeçalho do WordPress, adicione este trecho ao arquivo functions.php encontrado na pasta de temas do WordPress.
remove_action( 'wp_head', 'wp_generator' ) ; remove_action( 'wp_head', 'wlwmanifest_link' ) ; remove_action( 'wp_head', 'rsd_link' ) ;3. Impedir que as pessoas naveguem em suas pastas
Como você não gostaria que ninguém navegasse em seus arquivos e pastas do WordPress usando a visualização do explorer em navegadores da web, adicione a seguinte linha ao seu arquivo .htaccess que existe no diretório de instalação do WordPress.
Options All -IndexesVerifique também se há um index.php em branco na pasta wp-content/themes e wp-content/plugins do seu diretório WordPress.
4. Desative o HTML nos comentários do WordPress
A caixa de comentários no WordPress permite que os comentaristas usem tags HTML e podem até adicionar hiperlinks em seus comentários. Os comentários têm rel=nofollow, mas se você quiser proibir completamente o HTML nos comentários do WordPress, adicione este trecho ao seu arquivo functions.php.
add_filter( 'pre_comment_content', 'esc_html' );Atualização: wp_specialchars substituído por esc_html , pois o primeiro está obsoleto desde o WordPress 2.8+
5. Desative as revisões de postagem no WordPress
O WordPress inclui um recurso útil de revisão de documentos para ajudá-lo a rastrear alterações nas edições de postagens e você também pode reverter para qualquer versão anterior de suas postagens de blog. No entanto, as revisões de postagem aumentam o tamanho da sua tabela wp_posts do WordPress, pois cada revisão significa uma linha adicional.
Para desabilitar as revisões de posts no WordPress, abra o arquivo wp-config.php em seu diretório WordPress e adicione a seguinte linha:
define( 'WP_POST_REVISIONS', false);Como alternativa, se você quiser manter a funcionalidade Post Revisions, basta limitar o número de revisões de posts que o WordPress armazena no banco de dados MySQL. Adicione esta linha ao arquivo wp-config para armazenar apenas as 3 edições recentes.
define( 'WP_POST_REVISIONS', 3); 6. Altere o intervalo de pós-salvamento automático
Quando você estiver editando uma postagem de blog dentro do editor do WordPress, ele salvará automaticamente seus rascunhos conforme você digita e isso ajudará a recuperar seu trabalho caso o navegador falhe. Os rascunhos são salvos a cada minuto, mas você pode alterar a duração padrão para 120 segundos (ou 2 minutos) adicionando uma linha ao seu arquivo wp-config.php.
define( 'AUTOSAVE_INTERVAL', 120 ); 7. Oculte os feeds RSS não essenciais do WordPress
Sua instalação do WordPress gera vários RSS Feeds - o feed do blog, feeds de artigos, feeds de comentários, feeds de categorias, <link> de arquivo, etc. metatag. Se você quiser apenas divulgar seu feed RSS principal e remover os outros feeds do , adicione uma linha ao seu arquivo functions.php:
remove_action( 'wp_head', 'feed_links', 2 ); remove_action( 'wp_head', 'feed_links_extra', 3 ); 8. Mantenha um único feed RSS, redirecione outros
Na etapa anterior, simplesmente removemos os feeds RSS da impressão dentro do cabeçalho do site, mas os feeds RSS ainda existem. Se você gostaria de ter apenas um feed RSS servido através do FeedBurner e desabilitar todos os outros feeds, adicione-o ao seu arquivo .htaccess. Lembre-se de substituir o URL do feed pelo seu.
<IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTP_USER_AGENT} !^.*(FeedBurner|FeedValidator) [NC] RewriteRule ^feed/?.*$ http://feeds.labnol.org/labnol [L,NC,R=301] </IfModule> 9. Desative as dicas de login do WordPress
Quando você digita um nome de usuário inexistente ou uma senha incorreta ao fazer login no WordPress, ele fornecerá uma mensagem de erro muito detalhada informando exatamente se seu nome de usuário está errado ou a senha não corresponde. Isso pode oferecer uma dica para as pessoas que estão tentando invadir seu blog WordPress, mas, felizmente, podemos desativar os avisos de login.
function no_wordpress_errors(){ return 'GET OFF MY LAWN !! RIGHT NOW !!'; } add_filter( 'login_errors', 'no_wordpress_errors' ); 10. Ative a autenticação de 2 fatores
Isso é altamente recomendado. Se alguém obtiver suas credenciais do WordPress, ainda precisará do seu telefone celular para acessar o painel do WordPress.
Ao contrário do Dropbox ou do Google, a autenticação em duas etapas não faz parte do WordPress, mas você sempre pode usar o plug-in Authy para habilitar a autenticação de dois fatores.
11. Altere a estrutura do link permanente
Não use a estrutura Permalink padrão do WordPress, pois é ruim para SEO. Vá para Opções -> Permalinks dentro do painel do WordPress e altere a estrutura do WordPress Permalink para algo como:
Option 1. /%post_id%/%postname% Option 2. /%category%/%postname%/%post_id%/ 12. Adicione ícones de favicon e toque
Seu tema do WordPress pode nem incluir referências ao favicon (favicon.ico) ou aos ícones de toque da Apple, mas os navegadores da web e os leitores de feed ainda podem solicitá-los ao seu servidor. É sempre melhor servir um arquivo do que retornar um 404.
Primeiro, crie um arquivo favicon.ico de 16x16 e um arquivo apple-touch.png de 144x144 e carregue-os no diretório inicial do seu blog. Em seguida, adicione esta linha ao seu .htaccess para redirecionar todas as solicitações de ícones de toque da Apple para esse arquivo específico.
RedirectMatch 301 /apple-touch-icon(.*)?.png http://example.com/apple-touch.png 13. Não permitir indexação de scripts do WordPress
Você deseja que o Google e outros mecanismos de pesquisa rastreiem e indexem suas páginas de blog, mas não os vários arquivos PHP de sua instalação do WordPress. Abra o arquivo robots.txt no diretório inicial do WordPress e adicione essas linhas para impedir que os bots indexem o material de back-end do WordPress.
User-agent: * Disallow: /wp-admin/ Disallow: /wp-includes/ Disallow: /wp-content/plugins/ Disallow: /wp-content/themes/ Disallow: /feed/ Disallow: */feed/ 14. Torne o Administrador um Assinante
Se o seu nome de usuário do WordPress for “admin”, crie um novo usuário e conceda a ele privilégios de administrador. Agora saia do WordPress, faça login como o novo usuário e altere o privilégio do usuário “admin” de Administrador para Assinante.
Você pode até considerar excluir o usuário “admin” e transferir quaisquer postagens/páginas existentes para o novo usuário. Isso é importante por motivos de segurança, porque você não quer que ninguém adivinhe o nome de usuário que possui privilégios de administrador para sua instalação do WordPress.
15. Ocultar Sitemaps XML dos motores de busca
Os Sitemaps XML ajudarão os mecanismos de pesquisa a rastrear melhor seu site, mas você não deseja que os mecanismos de pesquisa realmente mostrem seu sitemap nas páginas de resultados de pesquisa. Adicione isso ao seu .htaccess para evitar a indexação de sitemaps XML.
<IfModule mod_rewrite.c> <Files sitemap.xml> Header set X-Robots-Tag "noindex" </Files> </IfModule> 16. Não use a pesquisa do WordPress
Certifique-se de que a pesquisa do seu site seja alimentada pela Pesquisa personalizada do Google e não use o recurso de pesquisa integrado do WordPress. A pesquisa do WordPress retorna resultados menos relevantes e a outra vantagem é que reduzirá a pressão no servidor / banco de dados do WordPress, pois as consultas de pesquisa serão tratadas pelo Google.
Como alternativa, se você planeja continuar com a pesquisa interna do WordPress, use o plug-in Nice Search. Ele cria links permanentes melhores para suas páginas de pesquisa do WordPress (/search/tutorials vs /?s=tutorials).
17. Proteja com senha o diretório wp-admin
Você pode facilmente adicionar outra camada de segurança à sua instalação do WordPress protegendo com senha o diretório wp-admin. No entanto, você terá que lembrar de dois conjuntos de credenciais para fazer login no WordPress - sua senha do WordPress e a senha que está protegendo o diretório wp-admin.
18. Registrar erros 404 no Google Analytics
Os erros 404 são uma oportunidade perdida. Você pode usar eventos no Google Analytics para registrar seus erros 404, incluindo detalhes sobre o site de referência que está apontando para essa página 404 do seu site. Adicione este trecho em seu arquivo 404.php.
<? if (is_404()) { ?> _gaq.push(['_trackEvent', '404', document.location.pathname + document.location.search, document.referrer, 0, true]); <? } ?> 19. Excluir temas não usados e plugins do WordPress
Os plugins e temas não utilizados não afetarão o desempenho do seu site WordPress, mas o objetivo deve ser ter o mínimo de código executável possível em nosso servidor. Assim, desative e exclua as coisas que você não precisa mais.
20. Pare o WordPress de adivinhar URLs
O WordPress tem o estranho hábito de adivinhar URLs e comete erros na maioria dos casos. Deixe-me explicar. Se um usuário solicitar a URL labnol.org/hello, mas se essa página não existir, o WordPress pode redirecionar esse usuário para labnol.org/hello-world apenas porque as URLs têm algumas palavras comuns.
Se você deseja que o WordPress pare de adivinhar URLs e, em vez disso, emita um erro 404 Not Found para páginas ausentes, coloque este trecho no arquivo functions.php:
add_filter('redirect_canonical', 'stop_guessing'); function stop_guessing($url) { if (is_404()) { return false; } return $url; } 21. Definir cabeçalhos de expiração para conteúdo estático
Os arquivos estáticos hospedados em seu site WordPress - como imagens, CSS e JavaScript - não serão alterados com frequência e, portanto, você pode definir cabeçalhos de expiração para eles para que os arquivos sejam armazenados em cache no navegador do usuário. Assim, em visitas subsequentes, seu site carregará relativamente mais rápido, pois os arquivos JS e CSS seriam buscados no cache local.
Consulte o HTML5 Boilerplate para obter detalhes sobre como configurar cabeçalhos de expiração e compactação para desempenho. Se você estiver usando um plug-in de cache como o W3 Total Cache, o controle de cache é gerenciado pelo próprio plug-in.
ExpiresActive On ExpiresByType image/gif "access plus 30 days" ExpiresByType image/jpeg "access plus 30 days" ExpiresByType image/png "access plus 30 days" ExpiresByType text/css "access plus 1 week" ExpiresByType text/javascript "access plus 1 week" 23. Melhore a segurança do WordPress
Eu discuti a segurança do WordPress em detalhes anteriormente. A essência é que você deve adicionar chaves secretas ao seu arquivo wp_config.php, instalar um plugin de monitoramento de arquivos (como Sucuri ou WordFence), alterar o prefixo da tabela do WordPress e também limitar as tentativas de login para evitar ataques de força bruta.
24. Desative a edição de arquivos dentro do WordPress
Quando você estiver conectado ao seu painel do WordPress como administrador, poderá editar facilmente qualquer um dos arquivos PHP associados aos seus plugins e temas do WordPress. Se você deseja remover a funcionalidade de edição de arquivos (um ponto e vírgula ausente pode derrubar seu site WordPress), adicione esta linha ao seu arquivo wp-config.php:
define( 'DISALLOW_FILE_EDIT', true ); 25. Remova parâmetros de consulta extras de URLs
Se o endereço da web do seu site WordPress for abc.com, as pessoas ainda poderão acessar seu site se adicionarem alguns parâmetros de consulta ao URL. Por exemplo, abc.com/?utm=ga ou abc.com/?ref=feedly são, tecnicamente falando, URLs completamente diferentes, mas funcionarão bem.
Isso é ruim porque dilui o valor do seu link (SEO) e, em uma situação ideal, você gostaria que todas as URLs apontassem para a versão canônica. Adicione este pequeno trecho ao seu arquivo .htaccess e ele removerá os parâmetros de consulta desnecessários de todas as solicitações recebidas.
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{QUERY_STRING} !="" RewriteCond %{QUERY_STRING} !^p=.* RewriteCond %{QUERY_STRING} !^s=.* RewriteCond %{REQUEST_URI} !^/wp-admin.* RewriteRule ^(.*)$ /$1? [R=301,L] </IfModule> 26. Remova a barra de administração
Esse é um recurso irritante do WordPress - ele adiciona uma barra de administração no topo de todas as páginas e fica visível para todos os usuários que estão logados em suas contas do WordPress.com. No entanto, isso pode ser removido adicionando uma linha ao seu arquivo functions.php.
add_filter('show_admin_bar', '__return_false'); 27. Lide com bloqueadores de anúncios
Alguns dos leitores do seu blog podem estar usando um software de bloqueio de anúncios para bloquear a veiculação de anúncios em seu site. Você pode veicular conteúdo alternativo como uma lista de suas postagens populares do WordPress ou incorporar um vídeo do YouTube.
28. Insira a marca em seu feed RSS
Você pode facilmente adicionar o logotipo da sua marca a todos os artigos no feed RSS. E como eles são veiculados em seu servidor, você pode veicular uma imagem diferente para sites que plagiam seu conteúdo republicando seu feed. Adicione isso ao seu arquivo functions.php.
function add_rss_logo($content) { if(is_feed()) { $content .= "<hr><a href='blog_url'><img src='logo_url'/></a>"; } return $content; } add_filter('the_content', 'add_rss_logo'); add_filter('the_excerpt_rss', 'add_rss_logo'); 29. Instale os plugins essenciais
Aqui está uma lista abrangente de plugins do WordPress que eu uso e recomendo.
30. Fique conectado por mais tempo
Se você marcar a opção “Lembrar-me”, o WordPress manterá você conectado por 2 semanas. Se você estiver fazendo login no WordPress apenas a partir de um computador pessoal, poderá estender facilmente a data de expiração do cookie de login de autorização adicionando-o ao seu arquivo functions.php.
add_filter( 'auth_cookie_expiration', 'stay_logged_in_for_1_year' ); function stay_logged_in_for_1_year( $expire ) { return 31556926; // 1 year in seconds } 31. Remova os emojis do WordPress
A partir da v4.2, o WordPress agora insere arquivos relacionados ao Emoji no cabeçalho do seu site. Se você não planeja usar os emoticons e emojis em seu blog, você pode facilmente se livrar desses arquivos extras adicionando as seguintes linhas ao seu arquivo functions.php:
remove_action( 'wp_head', 'print_emoji_detection_script', 7 ); remove_action( 'admin_print_scripts', 'print_emoji_detection_script' ); 32. Acompanhe suas páginas impressas
Você pode usar o Google Analytics para rastrear o uso de impressão do seu site. Quando um visitante imprime qualquer página em seu site, um evento será registrado no Analytics e você saberá que tipo de conteúdo está sendo enviado para a impressora. Da mesma forma, você também pode adicionar um QR Code às páginas impressas e as pessoas podem encontrar facilmente o URL de origem digitalizando o código com o celular.
Veja também: Comandos Linux para WordPress