W tym poradniku przedstawię kilka sposobów na sprawną optymalizację WordPressa. Większość tych działań wykorzystuje głównie na stronach zapleczowych, ale poza kilkoma wyjątkami można je spokojnie zastosować na stronach prywatnych lub stronach klientów 🙂
A teraz do dzieła!
- Logujemy się do wp-admina
- Przechodzimy do zakładki “Wtyczki” i usuwamy wszystko co niepotrzebne (Akismet, Hello Dolly etc.):
Nieaktywne wtyczki po jakimś czasie będą nieaktualne, a jeśli nie będziemy ich na bieżąco aktualizować to mogą się przyczynić do włamu na WordPressa. Lepiej dla bezpieczeństwa ograniczyć ryzyko do minimum. - Utrudniamy opcję komentowania wpisów:
- Instalujemy i włączamy wtyczkę iThemes Security (dawne WP Better Security).
- Uzyskujemy klucz API klikając w przycisk ‘Get Free API Key’:
- Konfigurujemy wtyczkę:
- Włączamy wykrywanie błędów 404:
- Włączamy automatyczne blokowanie kont spamerskich:
- Włączamy wykrywanie zmiany plików (jeśli ktoś wykorzystując dziury wrzuci dodatkowy, złośliwy kod – my będziemy powiadomieni o zmianach kodu):
- Konfigurujemy i uruchamiamy ochronę przed malware:
Edit: W nowej wersji wtyczki – nie ma tej opcji 🙁 - Włączamy ochronę przed atakami typu “brutal force”:
- Zaznaczamy “fajkę” przy poniższych opcjach (ukrywamy wersję WordPresa, w miejscach gdzie musi się ona wyświetlać wyświetlany będzie losowy numer, redukujemy spam w komentarzach):
(GENERATOR META TAG nie ma go w najnowszej wersji wtyczki. –
zamiast tego instalujemy wtyczkę Remove Version Info [autor = ShinoRex] ) - Wyłączamy XML-RPC, komunikaty błędów oraz strony autorów bez żadnego artykułu na koncie:
- Pozbywamy się użytkownika z ID = 1. Zmieniamy ID Administratora (po tym kroku naszym loginem będzie imię – w naszym przypadku wygenerowany losowo ciąg znaków, a nie “Admin”):
- Ukrywamy nasz “backend” zmieniając domyślną wordpresową ścieżkę “wp-admin” na “logowanie” – od teraz panel będzie dostępny pod tym adresem. Większość botów chce się włamać do panelu wp-admin, dlatego dobrze jest go po prostu ukryć 🙂
- Uruchamiamy ochronę plików i zabezpieczamy się przed typowym ‘wstrzykiwaniem’ kodu, zaznaczając opcję tak jak na poniższym zrzucie ekranu:
Koniec konfiguracji wtyczki 😉
- Włączamy automatyczne poprawianie kodu XHTML:
- Korzystając z wyszukiwarki znajdujemy darmowy szablon, który następnie “odchudzimy” ze zbędnych rzeczy:
- Usuwamy wszystkie domyślne motywy, których nie używamy – są zbędne, a dodatkowo nie będziemy musieli pamiętać o ich ciągłej aktualizacji:
- Usuwamy wszystkie włączone widgety ze stopki i z prawego sidebara (przeciągając je z prawej strony w lewą):
tak, aby kontenery wtyczek były puste:
- Przechodzimy do edycji szablonu i kasujemy kod odpowiedzialny za wyświetlanie linków w stopce:
strona z linkami w stopce (przed modyfikacją):
strona bez linków w stopce (po modyfikacji):
- Przechodzimy do edycji szablonu kolumny bocznej i usuwamy fragment kodu odpowiedzialny za wyświetlanie bloków META, ARCHIVE, WP-LOGIN/REGISTER:
W ten sposób uzyskamy “czysty” szablon strony, bez niepotrzebnych linków wychodzących:
- Teraz możemy rozpocząć “blogowanie” zamieszczając artykuły na stronie.