10 rzeczy, które musisz zrobić przed, w trakcie i po instalacji WordPressa

Bez zbędnych wstępów – omówię dziś 10 rzeczy, które musisz zmienić, sprawdzić lub skonfigurować w WordPress, aby Twoja strona już na starcie była odpowiednio przygotowana do wyzwań, jakie przed nią postawisz. Większość zmian to konfiguracja, która zwiększa bezpieczeństwo, ale nie tylko.

Nie używaj Autoinstalatora

Jest to jedna z najgorszych możliwych opcji instalowania WordPressa – Powody takiego stanu rzeczy poznasz w artykule – Dlaczego nie warto używać autoinstalatorów, aby zainstalować WordPressa?

Pamiętaj, że im więcej rzeczy będziesz w WordPress robić samodzielnie tym lepiej go poznasz, będziesz w stanie się więcej nauczyć i będziesz mógł samodzielnie rozwiązywać większość problemów… lub jak ja staniesz się specjalistą od WordPressa :)

Zmień domyślny prefix tabeli baz danych

Jest to jedno z najważniejszych ustawień, które należy odpowiednio skonfigurować, aby uchronić się od części ataków, a przy okazji problemów. Domyślnie nadawany prefix WP_ jest bardzo niebezpieczny.

Przykładowo – Jeżeli ktoś znajduje lub wykorzystuje lukę pozwalającą wykonywać zapytania do bazy danych to musi znać prefix, aby wykonać w niej operacje np. dodać nowego użytkownika, masowe strony i wpisy promujące viagrę.

Polecam ustawienia niestandardowe np. 1D56_W34_, ale nic nie stoi na przeszkodzie, aby było to po prostu PL837F.

Jak zmienić prefix bazy danych opisałem a innym artykule:

Możesz też zrobić to z pomocą wtyczki (uprzednio wykonując backup) i pokazuje to w tym filmie:

Sprawdź klucze bezpieczeństwa (Secret Key) w WP-CONFIG

W pliku WP-CONFIG wygląda to mniej więcej tak:

define('AUTH_KEY',         '6*+#fr)7$l|8Deup 2a96`1jI$v-Cqp+XqNQB$/xO:&JH_sYTqOO$gQ1#ENj_o>c');
define('SECURE_AUTH_KEY',  '<<#+[C?|A+|:W ,m]=za?W7q?[c9;U[/e{[email protected]$r1]=~8>}cz6>&2mb1nk$+)M;; ');
define('LOGGED_IN_KEY',    'bq<,MObC8F`?qRLXvQ=&^szo5xJZk-?rYF;[email protected]}P-Zev-+<)i}p?68~QPAn');
define('NONCE_KEY',        'xXF:tKNUx{Vk%IP!RTSkH6B``,BQ-q|j1?V6,E8&7+VyC#hUW-y3w~pX0l6:=t^T');
define('AUTH_SALT',        'sh n5F5u~`uB*Bgaq:_O/d*YUFFCb4S8~n`te{QyNRjyV10rB:W3w|g|Py..3u^9');
define('SECURE_AUTH_SALT', '^qi/;5R)<j_wnQbD`R6HL/)<LERl3Msc^g/A4gXcA8l|4CgB+*g]([email protected](]cfx');
define('LOGGED_IN_SALT',   'W91&|mVvGc)p8<[H~B{v1sgLw}-Xr`.[.nVE*+0hkvRm5D=:upT^tJ=-zUsd4PcN');
define('NONCE_SALT',       'i>]f~4]_<u:br; U6Xn,-}S1N]cc;X(Bj5P_0%vGj#xry})/L|Q J~zxsuY}S|Hp');

Aby je wygenerować w celu zmiany lub dodania wychodzimy pod ten link, a następnie kopiujemy i zmieniamy istniejące linijki na nowo wygenerowane.

Wyłącz Debugowanie

Jeżeli instalowałeś WordPress przez autoinstalator może się zdarzyć, że domyślnie pozostawił on aktywną opcję pokazywania błędów naszego WordPressa – aby wyłączyć wystarczy znaleźć zmienną WP_DEBUG i zmienić ’true’ na ’false

Zmień format bezpośrednich odnośników 

Tutaj są dwie drogi – jedni ustawiają standardowo strona.pl/nazwa-wpisu lub podobne, jednak można zabezpieczyć się dodatkowo (tak wiem, że powstrzymam tylko ułamek ataków) ustawiając niestandardowe bezpośrednie odnośniki – zwróć uwagę, że każdy z moich wpisów zawiera jego ID oraz rozszerzenie PHP.

ID ustawiłem w celu późniejszego zgłoszenia bloga do Google News, a PHP właśnie jako niestandardowe i nietypowe dla WordPressa ustawienie. Tutaj masz pewną dowolność, ponieważ odnośnik może przybrać dowolną formę.

Zmień uprawnienia plików WP-CONFIG oraz .HTACCESS na 440 lub 400

Te dwa krytyczne pliki nie powinny już być zmieniane (zbyt często), więc możemy spokojnie pozostawić je tylko do odczytu dla właściciela i grupy (chmod 440) lub tylko dla właściciela (chmod 400).

Jest jednak pewna niedogodność – niektóre zmiany będą wymagały zapisu do tych plików informacji – wtedy wystarczy nadać uprawnienia umożliwiające zapis, wykonać zaplanowaną operację i przywrócić ponownie bezpieczne uprawnienia dla tych plików.

Usuń WP-CONFIG-SAMPLE.php, plik README oraz LICENSE

Każdy z nich jest po prostu zbędny – dodatkowo plik Readme zawiera informacje o używanej wersji WordPress – niby wykonanie tego wg niektórych jest bez sensu, ale właściwie po co nam ten plik ?

Zmień opis witryny

Domyślnie „Kolejna witryna oparta o WordPress” jest dość często niezmieniana – W ustawieniach ogólnych zmień to na dowolny – własny opis.

To też jedna z tych opcji, która jest istotna do ustawienia, jeżeli będziesz chciał rozpocząć pozycjonowanie swojej strony internetowej.

Usuń Hello Dolly oraz Akismet i niepotrzebne motywy domyślne

Dlaczego warto usunąć Akismeta pisałem tutaj, hello dolly to „pusta wtyczka”, a domyślne motywy usuń jeżeli już zainstalowałeś motyw, na którym będziesz pracować.

Upewni się, że katalogi wp-content, upload, themes, i plugins zawierają pusty plik index.php

W 99,9% przypadków te pliki istnieją, jednak nie zaszkodzi upewnić się, że nikt nie zobaczy zawartości tych katalogów.

Zobacz Również: Kurs WordPress: Ochrona przed Spamem i hakerami

Ilustracja: ShutterStock – Poznaj darmowe źródła zdjęć na bloga i stronę.

Oceń ten artykuł jako pierwszy
Powiązane tematy: WordPress

Na stronie mogą znajdować się linki polecające (affiliacyjne), które pozwalają utrzymać bloga. Zakup z mojego polecenia nie generuje dla Ciebie dodatkowych kosztów, a ja otrzymam prowizje od kwoty zapłaconej.

Przyłącz się do dyskusji