Настройка WordPress после установки

WordPress после установки вполне готов к работе без особых дополнительных настроек. По сравнению с Joomla и Drupal, WordPress из коробки просто идеален. Но некоторые манипуляции после установки (а также в ее процессе) все же не помешает сделать и в WordPress. О них и поговорим в этой статье.

Постараюсь вложить в эту заметку минимум воды и максимум полезной информации. Посему просто опубликую списки тех изменений в свежеустановленном Вордпрессе, которые я считаю полезными. Кстати, о некоторых из них будет полезно знать еще на этапе установки.

Настройки безопасности в WordPress

1. При установке создавайте уникальные имя админа и префикс БД. Это позволит в определенной мере снизить риски взлома.

2. Обезопасьте файл wp-config.php. Для этого запретите сторонний доступ к нему в .htaccess, внеся туда следующий код:

<files wp-config.php>
order allow,deny
deny from all
</files>

3. Также не помешает обезопасить базовые директории WordPress — папки типа wp-admin, подробности здесь (английский).

4. Вы часто редактируете файлы на сервере непосредственно из админки WordPress? Если нет — запретите редактирование файлов из админки. Для этого добавьте в файл wp-config.php следующие строки:

## Disable Editing in Dashboard
define('DISALLOW_FILE_EDIT', true);

5. Для большей безопасности и для вашего удобства некоторые стандартные папки можно перемещать и переименовывать. Так, вы можете, переместить папку wp-content/uploads на новое место, например в папку media (так это сделано на моих сайтах). Для этого достаточно добавить в файл wp-config.php следующие строки:

define( 'UPLOADS', 'media' );

Точно так же вы можете поменять название папки wp-content на content (или что-то другое на ваш вкус):

define( 'WP_CONTENT_DIR', dirname(__FILE__) . '/content' );

6. Удалите ненужные meta (generator и прочие). Для этого достаточно добавить в файл functions.php вашей темы следующие строки:

  remove_action( 'wp_head', 'wp_generator' ) ;
  remove_action( 'wp_head', 'wlwmanifest_link' ) ;
  remove_action( 'wp_head', 'rsd_link' ) ;

7. Запретите просмотр содержимого папок на сервере (который возможен при некоторых настройках сервера).
Для этого в корневом файле .htaccess пропишите следующую строку:

Options All -Indexes

Также не помешает создать пустые файлы index.php в директориях тем и плагинов (в дефолтном варианте это wp-content/themes и wp-content/plugins).

8. Запретите использование HTML в комментариях. Для этого в файл functions.php вашей темы добавьте строку:

add_filter( 'pre_comment_content', 'esc_html' );

9. Отключите подсказки при ошибочном логине. По умолчанию при вводе неправильного логина/пароля WordPress очень детально сообщает пользователям, что пошло не так (например, что в системе нет такого пользователя, или что пользователь есть, но пароль не подходит). Подобная «общительность» системы дает дополнительные шансы взломщикам. К счастью, мы можем это изменить, добавив в файл functions.php темы следующие строки:

function no_wordpress_errors(){
  return 'Уходите отсюда, злобные взломщики!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Прочие настройки

1. Не помешает прописать WP_HOME и WP_SITEURL в файле wp-config.php.
Например, так:

define('WP_HOME','http://devmag.ru/');
define('WP_SITEURL','http://devmag.ru/');

2. По умолчанию WordPress создает огромное количество ревизий (бекапов старых версий) постов. Не помешает их ограничить.
Вот так их количество можно ограничить до 3 (в файле wp-config.php):

define( 'WP_POST_REVISIONS', 3 );

…а вот так отключить совсем:

define( 'WP_POST_REVISIONS', false );

3. По умолчанию WordPress генерирует уйму RSS-фидов. Блог, комментарии, категории, архивы — все эти сущности имеют собственные RSS-фиды. Если вам нужен только основной фид сайта, вы можете отключить все остальные, добавив в файл functions.php темы следующие строки:

remove_action( 'wp_head', 'feed_links', 2 );
remove_action( 'wp_head', 'feed_links_extra', 3 );

4. Настройте файл robots.txt, запретив там индексацию ненужных страниц и разделов сайта.

5. Держите ваш WordPress чистым. Отключайте (а лучше удаляйте) все неиспользуемые плагины и темы.

На этом все.
Такие вот нехитрые рекомендации позволят вам содержать свой WordPress-сайт в оптимальном состоянии.
Если у вас есть свои добавления к этому списку — пожалуйста, поделитесь ними в комментариях.