Какой файл удалить после установки вордпресс
После установки WordPress рекомендуем Вам сделать несколько не сложных действий которые защитят и оптимизируют Ваш сайт.
1. Запретите людям просматривать содержимое ваших папок
Наверное, вам попадались сайты, зайдя на которые вместо стандартной html-страницы, вы видели некое подобие проводника со списком файлов и папок. Эти странички генерятся самим сервером, если он не находит индексный файл (index.php/index.html и т.п.). Чтобы такого не было (а ведь это тоже подсказка хакерам, если узнать, например, набор ваших плагинов, то можно спокойно попытаться провести XSS или SQL-инъекцию), достаточно в корне блога, в файле .htaccess добавить строку
Options All -Indexes
2. Отключаем контроль версий в WordPress 2.6+
В новой версии WordPress появился wiki-style контроль версий, позволяющий отслеживать все изменения поста/страницы за всём времени его существования. Так вот, полезность подобной "фичи" для сайтов с одним автором довольно сомнительна, зато появляются дополнительные строки в таблице wp_posts при каждой попытке изменить/добавить текст, что существенно увиличивает базу данных и отражается на скорости работы Вашего сайта.
Лечится это либо плагином No Revisions, либо одной строкой в wp-config.php:
define('WP_POST_REVISIONS', false);
Также Вы можете отключить или увеличить время автосохранения (по умолчанию оно происходит каждые 60 секунд при добовлении или редактировании новой записи). Для этого надо добавить одну строчку в wp-config.php:
define('AUTOSAVE_INTERVAL', время); - вместо слова "время" впишите нужное значение в секундах, например 600, запись будет сохранятся раз в 10 минут.
3. Удалите лишний код из шапки темы
WordPress в шапке (header.php) сайта указывает номер своей версии, что является буквально вызовом хакерам - вот я такой весь не обновлённый и дырявый, ломайте меня сколько влезет.
Чтобы удалить строку: , добавьте в файл functions.php, своей темы, следующее:
4. Удаление readme.html
Удалите readme.html из корня Вашего сайта, в нем также содержится о версии WordPress. Также жедательно удалять readme.html и readme.txt из все плагинов, это не позволит злоумышлинникам узнать версию установленного у Вас плагина.
Вордпресс
Если Вы давно работаете с движком Вордпресс, то вы всё это вероятно знаете, статья рассчитана на новичков. После установки CMS на сайт, особенно если вы пользовались автоматической установкой, следует предпринять некоторые обязательные действия.
Итак вы установили ВП. Что дальше?
Общеизвестные моменты, которые нужно сделать после установки вордпресс
- Настроить постоянные ссылки. Рекомендую изменить структуру постоянных ссылок на Произвольно, и пропишите /%postname%/ в поле ввода. Если вы хотите добавить категории, нужно указать /%category%/%postname%/. Я привожу вид пермалинков на основных сайтах к виду /%category%/%postname%.html — это придает вид статичных страниц и вроде как влияет на ранжирование (мелкий фактор).
- Установить необходимые плагины. У каждого вебмастера есть свой базовый набор, в сети поищете — есть множество рекомендаций. Главное что необходимо, если вы делаете постоянные ссылки как указано выше — это плагин, превращающий кириллицу в латиницу: rus-to-lat, cyr-to-lat и аналогичные, а также плагины для создания карты сайта, как xml (для роботов), так и html (для людей).
- Удалить ненужные темы оформления и плагины, если автоустановщик их добавил. Часто это мотиватор hello, dolly — хотя могут быть и другие.
- Удалить страницы и посты по-умолчанию или отредактировать их. Обычно при автоустановки на сайт добавляется пример страницы и пост «Привет, мир»
- Настроить отображаемое название сайта. Следуя лучшим практикам, вы должны поддерживать заголовок сайта не более 55 знаков в длину.
- Настроить раздел «чтение» как на картинке:
- Установить фавикон (favicon). Это – мелкий логотип или графический элемент, который выводится во вкладке браузера и позволяет вашему сайту хорошо выглядеть. Некоторые темы (шаблоны) позволяют загружать .jpg-файл в качестве иконки, в то время как другие ограничиваются использованием .ico-файлов. Я рекомендую загрузить файл .ico в корень сайта.
- Залить в корень сайта файл robot.txt — как его создать, что включить и как настроить поищите в сети, информации просто море.
Кроме указанных действий, кто-то возможно, еще что-то делает, есть варианты продвинутой настройки вордпресс. Если что-пропустил — пишите в комментариях.
Есть моменты продвинутой насройки движка вордпресс, но в статье хотелось бы указать именно первоочередные необходимые настройки после установки.
Удаляем админа — защищаем админку wordpress
После установки стоит поменять администратора сайта, установщики часто предлагают по умолчанию «admin», что еще полбеды. Всякие нeхорошие люди знают, что запись админа создается под а эта информация уже дает шанс взломать блог. Просто создаем нового администратора, подробно заполняем профиль, перезаходим под новым логином. А пользователя admin — удаляем.
И наконец, поставьте какой-нибудь плагин безопасности, например Lockdown WP Admin (плагин меняет url админ панели блога), Limit Login Attempts (ограничивает количество неудачных попыток логина с одного IP), Better WP Security (многофункциональный, защитит в любой ситуации) или другой из их числа.
Облегчаем нагрузку вордпресса на хостинг
Поэтому в самом начале создания сайта на вордпресс делаем всё, чтобы нагрузка была меньше. На первом этапе можно положится на автоматизацию, поставив некоторые плагины:
Hyper Cache для кэширования (страницы WordPress не будут каждый раз формироваться при обращении к ним, они будут показываться пользователю из сохраненного ранее HTML файла).
WP Minify (оптимизирует файлы комбинирует их для быстрой загрузки).
Или WP Fastest Cache — позволяет и уменьшить размер html, JS и CSS файлов, а также картинок (в премиум версии).
Скрываем версию WordPress
В целях безопасности, крайне рекомендуется скрыть на сайте следы используемой версии WordPress. Делается это не столько от людей, как от роботов. По умолчанию, Wordpress вставляет мета-тег в код сайта типа этого:
Удаляем ненужные файлы с хостинга
В корне сайта также будут лежать два файла (смело удаляем их с хостинга):
Посмотрите — может там еще что лишнее есть? 🙂
Меняем атрибуты ссылок
Когда кто-то читает Ваш пост и видит там ссылку для уточнения/дополнения материала — наверняка переходит.
В вордпрессе по умолчанию ссылка открывается в том же окне. А при создании ссылки в тексте, многие не догадываются поставить галочку: Открывать в новом окне/вкладке.
Крайне полезно, когда все ссылки (как внешние, так и внутренние) имеют атрибут target=_blank. По клику на такую ссылку браузер открывает страничку в новом окне, что очень удобно и полезно.
Можно сразу сделать такой атрибут для всех ссылок на автомате. В файл functions.php вашей темы добавляем:
Удаляем ненужный значок вордпрессв админке
После авторизации на сайте, вне зависимости от установленных для вас прав (админ вы или простой пользователь), в верхней панельке (левый верхний угол) появляется пункт меню с логотипом от WordPress с перечнем ссылок на справочную документацию Wordpress.
Я сомневаюсь, что пользователям этот пункт меню пригодится, поэтому идем в файл functions.php вашей темы и корректируем его:
Отключаем полнотекстовую RSS
По умолчанию на сайте WordPress активируется полнотекстовая RSS лента ваших записей. Не совсем ясно, для чего это задумано, но многие ее так и не выключают. А ведь полнотекстовая RSS способствует автоматизации кражи контента с вашего сайта (в WordPress даже существует возможность получить RSS поток отдельной рубрики, для этого к адресу рубрики нужно лишь добавить /feed). Да и принято везде отдавать в RSS ленте лишь анонсы новостей. Как в WordPress отключить эту способность?
В админпанели — Параметры — Чтение — Настройки чтения — Для каждой статьи в ленте отображать — Анонс
Смотрите картинку выше — при настроийке раздела «чтение».
Добавляем МЕТА-теги для социальных сетей
Проверьте как отображается ссылка в социальных сетях. Может случиться так, что выглядеть ссылка там будет, если честно, не очень: обрежется логотип сайта, обрежется пару слов из title и т.д.
Чтобы этого избежать, нужно поставить какой нибудь плагин из функционала open-graph. Я пользуюсь стареньким плагином от Александра Курганова — Polzo ogMeta (закачал, активировал и забыл).
Open Graph — это протокол для разметки сайта для социальных сетей (Фейсбук, Твиттер, Вконтакте, LinkedIn, Google+ и другие). Он подготавливает данные, которые будут переданы в социальные сети (лайком, ссылкой и прочее).
Смотрите все плагины open-graph в репозитории вордпресс, отвечающие за красивое формирование ссылок в соц.сетях
Делаем настройки экрана
Многие пропускают это действие, а я бы рекомендовал настроить отображение экрана в консоли и при создании записи в самом начале работы над вордпресс-сайтом.
Удалите лишнее, сняв галочки с чекбоксов как на странице записи:
Так и в консоли на главной странице админки:
Пакетная очищающая настройка Clearfy
Есть такой замечательный плагин отечественных разработчиков — Clearfy. Он отключает неиспользуемые функции WordPress, повышает производительность и повышает SEO рейтинг. Плагин универсален и может заменить собой многие плагины, выполняющие только одну функцию.
Вам очень важно знать! Этот плагин не заменяет функций других плагинов в области seo оптимизации или оптимизации производительности, безопасности и т.п. Наш плагин дополняет эти функции, поэтому смело качайте бесплатный Clearfy и отключайте неиспользуемые функции WordPress.
Используя этот плагин, вы выполняете половину шагов из тех, что перечислены выше. Будьте аккуратны и внимательны с настройками.
Не буду расписывать о популярности упомянутого движка для построения блогов упомянутого в заголовке. Не буду также описывать все прелести знаменитой 5-ти минутной установки! Упомяну лишь 10 самых необходимых вещей, которые необходимо сделать сразу же после установки движка на хостинг и перед тем, как вы приступите к его наполнению.
Почему 10? Если честно, таких вещей может быть и 50 и целых 100. Но тогда заголовок будет выглядеть не красиво! Шучу. 100 описывать утомительно, давайте остановимся на 10 . 10 самых популярных исправлений, которые необходимо сделать на сайте на платформе WordPress, вне зависимости от того, для каких целей он будет использоваться в дальнейшем.
1. Скрываем следы используемой версии WordPress
В целях безопасности, крайне рекомендуется скрыть на сайте следы используемой версии WordPress. Делается это не столько от людей, как от роботов. По умолчанию, Wordpress вставляет мета-тег в код сайта типа этого:
Чтобы его удалить, поищите в своей теме (файл header.php) строчку типа этого:
В корне сайта также будут лежать два файла (смело удаляем их с хостинга):
2. Удаляем ненужный пункт меню для авторизованных
После авторизации на сайте, вне зависимости от установленных для вас прав (админ вы или простой пользователь), в верхней панельке (левый верхний угол) появляется пункт меню с логотипом от WordPress с перечнем ссылок на справочную документацию Wordpress. Я сомневаюсь, что пользователям этот пункт меню пригодится, поэтому идем в файл functions.php вашей темы и кастрируем его:
3. Меняем атрибуты ссылок
Крайне полезно, когда все ссылки (как внешние, так и внутренние) имеют атрибут target=_blank. По клику на такую ссылку браузер открывает страничку в новом окне, что очень удобно и полезно. Но при создании ссылки в тексте, многие не догадываются поставить галочку: Открывать в новом окне/вкладке. Не беда, это можно сделать для всех ссылок на автомате. Молча в файл functions.php вашей темы добавляем:
4. Меняем настройки постоянных ссылок
По умолчанию ссылки на сайте будут выглядеть примерно так:
Очень часто бывает так, что владельцы сайтов забывают сменить их на более привлекательные и seo-правильные, а когда сайт уже проиндексируется, как правило, начинается головная боль: как сделать правильно редирект, сколько ждать попадания новых страниц в индекс, как быть с ссылками на других ресурсах на уже не существующие страницы и т.д.
Поменять настройки постоянных ссылок на сайте на базе Wordpress, нужно в момент создания блога. Для этого следует по пути:
Параметры - Постоянные ссылки - Настройки постоянных ссылок
выбрать вариант из прежложенный или прописать свой.
Кстати, предварительно нужно установить плагин - Rus-To-Lat (он сделает ссылки с русским содержимым латиницей).
Какой вариант постоянных ссылок предпочтительнее? Вопрос довольно сложный, тем не менее нужно ориентироваться:
- если у вас блог или новостной сайт, на котором планируется периодическое обновление, то желательно, чтобы в урлах встречалась дата публикации. Выбираем вариант "Произвольно" и в поле ввода прописываем:
- если это сайт-визитка, энциклопедия или просто статический сайт, урл может быть лишь из названия латиницей (он будет содержать ключевые слова из названия). Выбираем вариант "Произвольно" и в поле ввода прописываем:
5. Отключаем автоформатирование текста
В Wordpress активирована такая замечательная функция как "автоматическое форматирование текста" под названием wptexturize. Проще говоря, в момент редактирования текста, при его сохранении вы можете увидеть совсем не то что ожидали. Согласен, это бесит. Вот характерные примеры работы wptexturize:
"текст в кавычках" станет “текстом в лапках”
'текст в кавычках' станет ‘текстом в лапках’
--- станет —
-- станет –
. станет …
(c) станет ©
(r) станет ®
(tm) станет ™
'' станет ”
`` станет “
president's станет president’s
presidents' станет presidents’
12' станет 12?
12" станет 12?
2x4 станет 2?4
В результате ее работы слетают примеры кодов, не работают коды (если таковые внедряются в страничку и т.д.). Чтобы отключить wptexturize, в до боли уже знакомый нам файл functions.php вашей темы добавляем строчку кода:
6. Отключаем полнотекстовую RSS
По умолчанию на сайте WordPress активируется полнотекстовая RSS лента ваших записей. Не совсем ясно, для чего это задумано, но многие ее так и не выключают. А ведь полнотекстовая RSS способствует автоматизации кражи контента с вашего сайта (в WordPress даже существует возможность получить RSS поток отдельной рубрики, для этого к адресу рубрики нужно лишь добавить /feed). Да и принято везде отдавать в RSS ленте лишь анонсы новостей. Как это выключить в WordPress?
В админпанели - Параметры - Чтение - Настройки чтения - Для каждой статьи в ленте отображать - Анонс
7. Добавляем МЕТА-теги для социальных сетей
Рано или поздно ссылкой с вашего сайта кто-нибудь и где-нибудь поделится в социальной сети. И выглядеть ваша ссылка там будет, если честно, не очень: обрежется логотип сайта, обрежется пару слов из title и т.д. Ваша презентация сайта в социальной сети закончится плачевно! Чтобы этого избежать, нужно поставить какой нибудь плагин из функционала open-graph. Лично я пользуюсь Polzo ogMeta (закачал, активировал и забыл).
Open Graph - это протокол для разметки сайта для социальных сетей (Фейсбук, Твиттер, Вконтакте, LinkedIn, Google+ и другие). Он подготавливает данные, которые будут переданы в социальные сети (лайком, ссылкой и прочее), поэтому даже если вы сами не пользуетесь социальными сетями и не знаете вообще что это такое, вы должны позаботится о заполнении протокола Open Graph для остальной аудитории интернета. Автоматически это сделает за Вас один из вышеуказанных плагинов.
8. Пишем robots.txt для WordPress
Для того, чтобы сообщить поисковым роботам, что индексировать, а что не индексировать, нужно сделать в корне сайта простой текстовый файл под названием robots.txt и прописать в нем:
Зачастую, пользователь сам решает впоследствии, что ему нужно запрещать к индексации на сайте. Например, некоторые закрывают страницы тегов и страницы категорий от индексации (для исключения дублей), другие же наоборот - открывают, поскольку им нужна рекламная площадь (скажем, для продажи ссылок). Этот выбор пусть делает сам пользователь и вносит соответствующие коррективы в файл robots.txt. В приведенном примере, как мы видим, закрыты все служебные папки и пути WordPress, они наверняка не нужны в индексе, поэтому смело можно утверждать, что стандартный robots.txt для WordPress выглядит именно таким образом.
9. Снимаем нагрузку WordPress
WordPress довольно прожорлив в плане используемых ресурсов хостинга. Также зачастую бывает, что при небрежном использовании растет число ошибок и конфликтов плагинов, что создает дополнительную нагрузку на хостинг, сайт открывается все тяжелее и все больше недоступнее. Даже если у вас не сильно посещаемый сайт, рекомендуется специальными средствами ускорять его работу (оптимизировать).
Оптимизация сайта на WordPress - довольно узнурительная процедура. Если у вас крупный портал - доверьтесь специалистам, если денег нет, можно положится на автоматизацию, поставив некоторые плагины (я советую):
Hyper Cache для кэширования (страницы WordPress не будут каждый раз формироваться при обращении к ним, они будут показываться пользователю из сохраненного ранее HTML файла).
WP Minify (оптимизирует файлы JS и CSS, комбинирует их для быстрой загрузки).
Как видим, тест загрузки сайта проводился при равных условиях из Нью-Йорка (США): уменьшилось количество обращений к сайту, уменьшился общий размер и, главное, выросла скорость загрузки: с 4.08 до 1.5 секунд.
10. Защищаем админку WordPress
Админка WordPress достаточно не защищенный элемент (не предусмотрена даже банальная сaptcha). Даже если вы используете супер пароль, то это не защитит ваш сайт от атак ботов, которые будут настырно подбирать пароль к вашей админке, тем самым создавая нагрузку на хостинг и мешая нормальной работе сайта.
Вопрос защиты админки WordPress можно обсуждать долго и нудно, но нельзя его игнорировать. Следуйте простым рекомендациям:
1. При установке блога вас попросят изменить префикс таблиц (по умолчанию он "wp_"), смените его на свой, например "74su_".
2. Не используйте логин администратора: admin и первое слово из вашего домена
в файл functions.php вашей темы.
5. И наконец, поставьте какой-нибудь плагин безопасности, например Lockdown WP Admin (плагин меняет url админ панели блога), Limit Login Attempts (ограничивает количество неудачных попыток логина с одного IP), Better WP Security (многофункциональный, защитит в любой ситуации) или другой из их числа.
Вот собственно и все чему хотел Вас научить сегодня!
Вячеслав Скоблей (ака files) - типичный интернетчик. Скитаюсь интернетом, пишу на PHP, увлекаюсь созданием веб-сайтов на Wordpress, решаю многочисленные проблемы, которые до появления интернета не существовали.
Специализируюсь на безопасности сайтов: защищаю сайты от атак и взломов, занимаюсь лечением вирусов на сайтах и профилактикой.
Наверняка у Вас есть вопросы, просьбы или пожелания. Не стесняйтесь спросить, я отвечаю всегда быстро.
После установки Вордпресса «с нуля», не забудьте сразу удалить три вещи, которые движок добавляет вам на сайт для примера.
Удалить страницу по умолчанию
Рекомендую удалить обе страницы, потому что иначе вы потом забудете это сделать. Тем временем поисковые системы зайдут на ваш сайт и проиндексируют как минимум страницу «Пример страницы«.
Посмотрите сами, сколько таких проиндексированных страниц в Гугле (более 41000). Вы же не хотите держать на своем сайте дублированный контент, который есть на тысячах других сайтах.
Удалить Запись по умолчанию
В консоли в разделе Записи / Все записи есть запись с названием «Привет, мир!» в которой прямо так и написано самими создателями Вордпресса «Отредактируйте или удалите ее, затем начинайте создавать!«
Кстати, таких проиндексированных записей в Гугле более 300 тысяч.
Удалить комментарий к записи
В том случае, если вы решили не удалять тестовую запись, то по крайней мере удалите комментарий к этой записи в консоли в разделе Комментарии.
Но раз уж мы занялись первичными настройками WordPress, то можно сделать еще одну вещь.
Изменить название рубрики
Дополнительно советую вам изменить название единственной рубрики «Без рубрики», в которой находилась тестовая запись.
Почему-то эту рубрику удалить нельзя, тогда по крайней мере лучше переименовать ее во что-то более подходящее для вашего сайта.
В этом мануале я покажу вам правильный способ удаления метатега generator, который WordPress вставляет в head часть HTML документа и в код фидов. Также тут я упомяну о других о других метатегах, которые по умолчанию вставляются в документ и которые возможно тоже нужно удалить.
Удаление версии WordPress полезно в целях безопасности, особенно, если вы пользуетесь старыми версиями движка. Потому что, хакеры могут воспользоваться этой информацией. Во многих старых версиях WP есть свои "дыры". Если вы используете последнюю версию WP, то вам пожалуй не нужно использовать этот мануал. Однако, к слову, я всегда удаляю версию WP на своих сайтах, несмотря ни на что.
"Как насчет плагина?" - спросите вы. Да, плагины которые удаляют версию WP существуют, однако это настолько простая задача, что плагин лучше не использовать.
Где отображается версия WordPress?
Откройте исходный код страницы (ctrl+u), нажмите ctrl+f (поиск) и впишите слово для поиска "generator". В части документа вы должны увидеть строку:
где вместо х.х.х ваша версия WordPress. Например, 3.1.3
Заметка: если такой строки нет в вашем коде, то тема которую вы используете уже удаляет версию.
Удаление метатега generator
C версии 2.5, WordPress автоматически отображает версию движка в head части документа. Версия выводится там, где используется функция wp_head(). Эта функция вызывается прямо перед закрывающим тегом и используется плагинами для подключения стилей и скриптов.
Я встречал в сети, где удалять версию рекомендуется через фильтр wp_head. Для этого нужно добавить такой код в functions.php вашей темы:
Чтобы полностью удалить версию WP с веб-страницы и со страниц фидов, добавьте следующий код в файл темы functions.php:
Заметка: также не забудьте удалить файл readme.html в корневом каталоге WordPress. Этот сайт легко можно открыть в браузере и в самом его начале указывается версия движка.
Удаление версий в ссылках стилей и скриптов
Кроме того, что WordPress добавляет метаттег generator, он также добавляет версию в конец ссылки на добавляемый css стиль или js скрипт, с том случае если версия скрипта или стиля не указана. В этом примере в конце можно увидеть версию WP.
Чтобы удалить версию из всех ссылок, на стили и скрипты, добавьте такой код в файл functions.php:
Однако этот вариант удалить все параметры ver без разбора, версия WP это или версия плагина.
Чтобы удалить только версию WP, используем такой скрипт:
Что можно удалить еще с wp_head
Хук-событие wp_head срабатывает внутри HTML блока . Сюда кроме метатега "generator" WordPress по умолчанию добавляем еще много чего. Чтобы узнать какая функцию отвечает за какую строку, вам нужно открыть файл wp-includes/default-filters.php и посмотреть все функции прикрепленные к событию wp_head.
В этом примере я в комментариях объясню какая функция за что отвечает:
Чтобы удалить функцию вам нужно использовать функцию remove_filter() в которой указать фильтр и название функции которую нужно удалить. Например, удалить функцию feed_links:
Если вы знаете что-то еще об удалении версии, не молчите, поделитесь в комментариях и я дополню статью.
Читайте также: