Dlaczego lepiej kupić legalnie, niż ściągnąć za darmo motywy i Wtyczki WordPress?
13 lutego 2016
Dlaczego nie warto używać autoinstalatorów, aby zainstalować WordPressa?
15 lutego 2016

10 rzeczy, które musisz zrobić przed, w trakcie i po instalacji WordPressa

Bez zbędnych wstępów – omówię dziś 10 rzeczy, które musisz zmienić, sprawdzić lub skonfigurować, aby Twoja strona już na starcie nie była przegrana.

Nie używaj Autoinstalatora 

Jest to jedna z najgorszych możliwych opcji instalowania WordPressa – Powody takiego stanu rzeczy poznasz w artykule – Dlaczego nie warto używać autoinstalatorów, aby zainstalować WordPressa?

Zmień domyślny prefix tabeli baz danych

Jest to jedno z najważniejszych ustawień, które należy odpowiednio skonfigurować, aby uchronić się od części ataków, a przy okazji problemów. Domyślnie nadawany prefix WP_ jest bardzo niebezpieczny.

Przykładowo – Jeżeli ktoś znajduje lub wykorzystuje lukę pozwalającą wykonywać zapytania do bazy danych to musi znać prefix, aby wykonać w niej operacje np. dodać nowego użytkownika, masowe strony i wpisy promujące viagrę.

Polecam ustawienia niestandardowe np. 1D56_W34_, ale nic nie stoi na przeszkodzie, aby było to po prostu PL837F.

Sprawdź klucze bezpieczeństwa (Secret Key) w WP-CONFIG

W pliku WP-CONFIG wygląda to mniej więcej tak:

define('AUTH_KEY',         '6*+#fr)7$l|8Deup 2a96`1jI$v-Cqp+XqNQB$/xO:&JH_sYTqOO$gQ1#ENj_o>c');
define('SECURE_AUTH_KEY',  '<<#+[C?|A+|:W ,m]=za?W7q?[c9;U[/e{[email protected]$r1]=~8>}cz6>&2mb1nk$+)M;; ');
define('LOGGED_IN_KEY',    'bq<,MObC8F`?qRLXvQ=&^szo5xJZk-?rYF;[email protected]}P-Zev-+<)i}p?68~QPAn');
define('NONCE_KEY',        'xXF:tKNUx{Vk%IP!RTSkH6B``,BQ-q|j1?V6,E8&7+VyC#hUW-y3w~pX0l6:=t^T');
define('AUTH_SALT',        'sh n5F5u~`uB*Bgaq:_O/d*YUFFCb4S8~n`te{QyNRjyV10rB:W3w|g|Py..3u^9');
define('SECURE_AUTH_SALT', '^qi/;5R)<j_wnQbD`R6HL/)<LERl3Msc^g/A4gXcA8l|4CgB+*g]([email protected](]cfx');
define('LOGGED_IN_SALT',   'W91&|mVvGc)p8<[H~B{v1sgLw}-Xr`.[.nVE*+0hkvRm5D=:upT^tJ=-zUsd4PcN');
define('NONCE_SALT',       'i>]f~4]_<u:br; U6Xn,-}S1N]cc;X(Bj5P_0%vGj#xry})/L|Q J~zxsuY}S|Hp');

Aby je wygenerować w celu zmiany lub dodania wychodzimy pod ten link, a następnie kopiujemy i zmieniamy istniejące linijki na nowo wygenerowane.

Wyłącz Debugowanie

Jeżeli instalowałeś WordPress przez autoinstalator może się zdarzyć, że domyślnie pozostawił on aktywną opcję pokazywania błędów naszego WordPressa – aby wyłączyć wystarczy znaleźć zmienną WP_DEBUG i zmienić ‚true‚ na ‚false

Zmień format bezpośrednich odnośników 

Tutaj są dwie drogi – jedni ustawiają standardowo strona.pl/nazwa-wpisu lub podobne, jednak można zabezpieczyć się dodatkowo (tak wiem, że powstrzymam tylko ułamek ataków) ustawiając niestandardowe bezpośrednie odnośniki – zwróć uwagę, że każdy z moich wpisów zawiera jego ID oraz rozszerzenie PHP.

ID ustawiłem w celu późniejszego zgłoszenia bloga do Google News, a PHP właśnie jako niestandardowe i nietypowe dla WordPressa ustawienie. Tutaj masz pewną dowolność, ponieważ odnośnik może przybrać dowolną formę.

Zmień uprawnienia plików WP-CONFIG oraz .HTACCESS na 440 lub 400

Te dwa krytyczne pliki nie powinny już być zmieniane (zbyt często), więc możemy spokojnie pozostawić je tylko do odczytu dla właściciela i grupy (chmod 440) lub tylko dla właściciela (chmod 400).

Jest jednak pewna niedogodność – niektóre zmiany będą wymagały zapisu do tych plików informacji – wtedy wystarczy nadać uprawnienia umożliwiające zapis, wykonać zaplanowaną operację i przywrócić ponownie bezpieczne uprawnienia dla tych plików.

Usuń WP-CONFIG-SAMPLE.php, plik README oraz LICENSE

Każdy z nich jest po prostu zbędny – dodatkowo plik Readme zawiera informacje o używanej wersji WordPress – niby wykonanie tego wg niektórych jest bez sensu, ale właściwie po co nam ten plik ?

Zmień opis witryny

Domyślnie „Kolejna witryna oparta o WordPress” jest dość często niezmieniana – W ustawieniach ogólnych zmień to na dowolny – własny opis.

Usuń Hello Dolly oraz Akismet i niepotrzebne motywy domyślne

Dlaczego warto usunąć Akismeta pisałem tutaj, hello dolly to „pusta wtyczka”, a domyślne motywy usuń jeżeli już zainstalowałeś motyw, na którym będziesz pracować.

Upewni się, że katalogi wp-content, upload, themes, i plugins zawierają pusty plik index.php

W 99,9% przypadków te pliki istnieją, jednak nie zaszkodzi upewnić się, że nikt nie zobaczy zawartości tych katalogów.

Zobacz Również: Kurs WordPress: Ochrona przed Spamem i hakerami

Ilustracja: ShutterStock – Poznaj darmowe źródła zdjęć na bloga i stronę.

Jakub Jaworowicz
Jakub Jaworowicz
Marketingiem zajmuję się od 15 roku życia, zacząłem od brzydkich stron w kreatorze stron usługi Republika serwisu Onet - obecnie obsługuje ponad 200 klientów i 450 serwisów WWW rocznie, które tworzyłem lub mam je pod swoją opieką (w zakresie wsparcia i utrzymania). Ostatnio etatowo pracowałem jako Specjalista ds Marketingu w największym ogrodniczym sklepie internetowym (SADOWNICZY.PL) oraz jako kierownik działu wsparcia sprzedaży dla tego sklepu.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Powiązane tematy: Wordpress, Kurs Wordpress

Szczegóły wpisu: Opublikowano - przez