Van de auteur: Over het algemeen is WordPress een relatief eenvoudig te installeren systeem waarin het kan worden geïmplementeerd korte termijnen. Het is echter mogelijk dat u onbedoeld kwetsbaarheden openlaat voor hackers. Het bestand "wp-config.php" slaat de belangrijkste instellingen voor uw WP-site op, en het is erg belangrijk om dit bestand zoveel mogelijk te beschermen tegen onbevoegde personen. In deze video van de cursus WordPress Secure Setup Guide leert u hoe u uw wp-config.php-bestand zo veilig mogelijk kunt maken.

Wat wordt opgeslagen in het wp-config.php-bestand

Als u wp-config.php opent, zult u merken dat daar behoorlijk belangrijke informatie is opgeslagen. Ten eerste bevat het alle informatie die u tijdens de installatie invoert en die u toegang geeft tot de database.

Hier vindt u de databasenaam, gebruikersnaam en wachtwoord - alles wat u nodig heeft om in te loggen op de database. Zoals u zich kunt voorstellen, is het uiterst belangrijk om dit bestand te beschermen, want als iemand het kan lezen, heeft hij toegang tot de database en kan hij daar doen wat hij wil.

Deze sleutels zijn nodig om uw site te beschermen. Nog lager is het tabelvoorvoegsel, dat ook uw site beschermt.

Hoe wp-config.php te beschermen

Er zijn verschillende stappen die moeten worden gevolgd om dit bestand te beveiligen.

1. Genereer nieuwe geheime sleutels

Allereerst zullen we nieuwe geheime sleutels genereren. Hiervoor kunt u naar de geheime sleutelgenerator van WP gaan. Je moet deze link volgen en de pagina vernieuwen, je zult compleet nieuwe sleutels zien. Ze kunnen naar wp-config.php worden gekopieerd en de oude vervangen.

2. Verplaats wp-config.php

Nu gaan we ons bestand verplaatsen. Standaard bevindt deze zich in de hoofdmap van de site. Als uw site op het hoofddomein is opgeslagen, wordt de map 'openbare HTML' of iets anders genoemd. Het hangt allemaal af van hoe u de site heeft geschreven. Met WP kunt u uw configuratiebestand één niveau omhoog verplaatsen, zodat het niet in een openbare map wordt opgeslagen.

Als u offline werkt, kunt u het bestand eenvoudig met uw muis slepen en neerzetten. Als de site al online is, kunt u de verplaatstool in Bestandsbeheer gebruiken. Selecteer het bestand wp-config.php, klik op verplaatsen en selecteer nieuwe map.

Als het de eerste keer niet werkt, kunt u contact opnemen met uw hostingprovider en vragen of de serverinstellingen toestaan ​​dat u het bestand naar een hoger niveau verplaatst.

3. Weiger toegang tot wp-config.php

Er is nog één stap over om wp-config.php te beschermen. We moeten een htaccess-bestand maken in dezelfde map waar het configuratiebestand zich bevindt om iedereen de toegang tot wp-config.php te ontzeggen.

Maak een htaccess-bestand in dezelfde map waar het wp-config-bestand zich bevindt. Je kunt niet zomaar een bestand zonder extensie maken, dus je kunt vals spelen.

Als je een Mac gebruikt, maak dan een tekstbestand met de naam htaccess.txt. Hernoem het bestand vervolgens door de extensie te verwijderen en een punt voor de naam te plaatsen, zodat het .htaccess wordt.

We zijn nog niet klaar. Nu moet u met de rechtermuisknop op het bestand in Finder klikken, Info ophalen selecteren en de .txt-extensie in het veld Naam en extensie inkorten.

Open nu het bestand in een editor en kopieer de volgende code daarin:

order toestaan, weigeren ontkennen van iedereen

AANDACHT: Lees dit voordat u deze pagina bewerkt.

Geef in dit artikel niet de parameters van uw eigen site op, omdat hierdoor uw databasewachtwoord aan de hele wereld bekend wordt gemaakt, maar de site niet wordt gestart. Bedankt.

Een van de stappen bij het installeren van WordPress is het invoeren van de parameters die nodig zijn om toegang te krijgen tot de database in het bestand wp-config.php MySQL-gegevens.

Dit bestand, wp-config.php, is niet opgenomen in de WordPress-download; je zult er een moeten maken. Als voorbeeld kunt u het bestand wp-config-sample.php gebruiken. Hieronder vindt u geavanceerde instellingen en voorbeelden.

Om het wp-config.php-bestand te wijzigen heeft u de volgende informatie nodig:

Databasenaam Databasenaam voor WordPress Database-gebruikersnaam Gebruikersnaam voor toegang tot de database Databasewachtwoord Gebruikerswachtwoord voor toegang tot de database Databaseserver Naam databaseserver

Als WordPress door uw hostingprovider is geïnstalleerd, neem dan contact op met de ondersteuning voor deze informatie. Als u een eigen of hosting heeft, ontvangt u deze informatie als resultaat.

Database-instelling

Belangrijk: nooit niet gebruiken teksteditors leuk vinden Microsoft Word om WordPress-bestanden te wijzigen!

Zoek het bestand in uw WordPress-hoofdmap en open het in .

Bron wp-config-sample.php

OPMERKING: Het zal de databasewaarde echter niet veranderen, en de url zal terugkeren naar de oude databasewaarde als deze regel wordt verwijderd uit wp-config.

Als WordPress is geïnstalleerd in een map met de naam "wordpress" voor het domein example.com, definieer dan WP_SITEURL als volgt:

Define("WP_SITEURL", "http://example.com/wordpress");

WP_SITEURL dynamisch instellen op basis van $_SERVER["HTTP_HOST"]

Define("WP_SITEURL", "http://" . $_SERVER["HTTP_HOST"] . "/pad/naar/wordpressp");

OPMERKING: Een veiliger alternatief voor sommige installaties zou zijn om de door de server gegenereerde SERVER_NAME te gebruiken in plaats van de php/user-generated HTTP_HOST die dynamisch door php wordt aangemaakt op basis van de waarde van de HTTP HOST Header in het verzoek, waardoor mogelijk voor bestand kwetsbaarheden op het gebied van inclusie. SERVER_NAME wordt ingesteld door de serverconfiguratie en is statisch.

WP_SITEURL dynamisch instellen op basis van $_SERVER["SERVER_NAME"]

Define("WP_SITEURL", "http://" . $_SERVER["SERVER_NAME"] . "/pad/naar/wordpressp");

Blogadres (URL)

WP_HOME is een andere wp-config.php-optie toegevoegd in WordPress. Vergelijkbaar met WP_SITEURL, WP_HOME overschrijft de waarde voor thuis maar verandert het niet permanent. thuis is het adres dat u wilt dat mensen in hun browser typen om uw WordPress-blog te bereiken. Het moet het http://-gedeelte bevatten en mag geen schuine streep bevatten " / "aan het einde.

Define("WP_HOME", "http://example.com/wordpress");

In WordPress versie 2.5 verhoogt het instellen van WP_DEBUG op true ook het foutberichtniveau naar E_ALL en worden waarschuwingen ingeschakeld wanneer verouderde functies of bestanden worden gebruikt; anders stelt WordPress het niveau van de foutmelding in op E_ALL ^ ​​​​E_NOTICE ^ E_USER_NOTICE .

Schakel JavaScript-bijlage uit

Om ervoor te zorgen dat de resultaten in een sneller administratief gebied terechtkomen, zijn alle JavaScript-bestanden aan één enkele URL gekoppeld. Als Javascript niet werkt in uw beheerdersgedeelte, kunt u proberen deze functie uit te schakelen:

Define("CONCATENATE_SCRIPTS", false);

Opzetten van een foutenlogboek

Omdat wp-config.php wordt geladen voor elke paginaweergave die niet vanuit een cachebestand wordt geladen, is het een uitstekende locatie om in te stellen php ini instellingen die uw php-installatie beheren. Dit is handig als u geen toegang heeft tot een php.ini-bestand, of als u gewoon enkele instellingen direct wilt wijzigen.

Hier is een voorbeeld dat php error_logging inschakelt en deze in een specifiek bestand logt. Als WP_DEBUG is gedefinieerd als waar, worden de fouten ook in dit bestand opgeslagen. Plaats dit gewoon boven elk vereisen_eenmaal of erbij betrekken opdrachten.

@ini_set("log_errors","Aan"); @ini_set("display_errors","Uit"); @ini_set("error_log","/home/example.com/logs/php_error.log"); /* Dat is alles, stop met bewerken!

Nog een voorbeeld van logfouten, zoals voorgesteld door Mike Little op de e-maillijst van wp-hackers:

/** * Hiermee worden alle foutmeldingen en waarschuwingen geregistreerd in een bestand met de naam debug.log in * wp-content (als Apache geen schrijfrechten heeft, moet u mogelijk eerst * het bestand maken en de juiste rechten instellen (d.w.z. gebruik 666)) */ definiëren("WP_DEBUG", waar); definieer("WP_DEBUG_LOG", waar); definieer("WP_DEBUG_DISPLAY", false); @ini_set("display_errors",0);

Vergroot het geheugen voor PHP

definieer("FS_CHMOD_DIR", (0755 & ~ umask())); definieer("FS_CHMOD_FILE", (0644 & ~ umask()));

WordPress-updateconstanten

U moet slechts enkele van de onderstaande constanten definiëren nodig om uw updateproblemen op te lossen.

De meest voorkomende oorzaken van de noodzaak om deze te definiëren zijn:

• Als de host wordt uitgevoerd met een speciale installatie-instelling met Symlinks, moet u mogelijk de padgerelateerde constanten definiëren (FTP_BASE, FTP_CONTENT_DIR en FTP_PLUGIN_DIR). Vaak is het eenvoudigweg definiëren van de basis voldoende.
• Bepaalde PHP-installaties worden geleverd met een PHP FTP-extensie die niet compatibel is met bepaalde FTP-servers. In deze zeldzame situaties moet u mogelijk FTP_METHOD definiëren als "ftpsockets"

Het volgende zijn geldige constanten voor WordPress-updates:

• FS_METHODE forceert de bestandssysteemmethode. Het mag alleen "direct", "ssh", "ftpext" of "ftpsockets" zijn. Over het algemeen moet u dit alleen wijzigen als u updateproblemen ondervindt, als u dit wijzigt en het niet helpt verander het terug/verwijder het,Onder de meeste omstandigheden zal het instellen op "ftpsockets" werken als de automatisch gekozen methode dat niet doet.
  • (Primaire voorkeur) "Direct" dwingt het om Direct File I/O-verzoeken vanuit PHP te gebruiken, dit brengt beveiligingsproblemen met zich mee op slecht geconfigureerde hosts. Dit wordt automatisch gekozen wanneer dat nodig is.
  • (Secundaire voorkeur) "ssh" is om het gebruik van de SSH PHP-extensie te forceren.
  • (3e voorkeur) "ftpext" is om het gebruik van de FTP PHP-extensie voor FTP-toegang te forceren, en tot slot
  • (4e voorkeur) "ftpsockets" maakt gebruik van de PHP Sockets Class voor FTP-toegang.
• FTP_BASE is het volledige pad naar de map "base" (ABSPATH) van de WordPress-installatie.
• FTP_CONTENT_DIR is het volledige pad naar de map wp-content van de WordPress-installatie.
• FTP_PLUGIN_DIR is het volledige pad naar de map met plug-ins van de WordPress-installatie.
• FTP_PUBKEY is het volledige pad naar uw openbare SSH-sleutel.
• FTP_PRIKEY is het volledige pad naar uw SSH-privésleutel.
• FTP_USER is een FTP- of SSH-gebruikersnaam van de gebruiker. Hoogstwaarschijnlijk zijn deze hetzelfde, maar gebruik de juiste versie voor het type update dat u wilt uitvoeren.
• FTP_PASS is het wachtwoord voor de gebruikersnaam die is ingevoerd FTP_USER. Als u SSH-authenticatie met openbare sleutels gebruikt, kunt u dit weglaten.
• FTP_HOST is de hostnaam:poortcombinatie voor uw SSH/FTP-server. De standaard FTP-poort is 21 en de standaard SSH-poort is 22. Deze hoeven niet te worden vermeld.
• FTP_SSL TRUE voor SSL-verbinding indien ondersteund door het onderliggende transport, Niet op alle servers beschikbaar. Dit is voor "Secure FTP" en niet voor SSH SFTP.

definieer("FS_METHOD", "ftpext"); definiëren("FTP_BASE", "/pad/naar/wordpress/"); definiëren("FTP_CONTENT_DIR", "/pad/naar/wordpress/wp-content/"); definiëren("FTP_PLUGIN_DIR ", "/pad/naar/wordpress/wp-content/plugins/"); definiëren("FTP_PUBKEY", "/home/gebruikersnaam/.ssh/id_rsa.pub"); definiëren("FTP_PRIKEY", "/home/gebruikersnaam/.ssh/id_rsa"); definieer("FTP_USER", "gebruikersnaam"); definieer("FTP_PASS", "wachtwoord"); definiëren("FTP_HOST", "ftp.voorbeeld.org"); definieer("FTP_SSL", false);

Toegang tot SSH-updates inschakelen

Om SSH2 als upgrade-optie in te schakelen, moet u de pecl SSH2-extensie installeren. Om deze bibliotheek te installeren, moet u een opdracht geven die lijkt op de volgende, of contact opnemen met uw webhostingprovider om deze te laten installeren:

Pecl installeert ssh2

Na het installeren van de pecl ssh2-extensie moet u uw php-configuratie aanpassen om deze extensie automatisch te laden.

pecl wordt in de meeste Linux-distributies geleverd door het peerpakket. Om pecl te installeren in Redhat/Fedora/CentOS:

Yum -y installeer php-pear

Pecl installeren in Debian/Ubuntu:

Apt-get installeer php-pear

Het wordt aanbevolen om een ​​privésleutel te gebruiken die niet is beveiligd met een wachtwoord. Er zijn talloze meldingen geweest dat met wachtwoordzin beveiligde privésleutels niet goed werken. Als u besluit een met een wachtwoordzin beveiligde privésleutel te proberen, moet u de wachtwoordzin voor de privésleutel invoeren als FTP_PASS, of deze invoeren in het veld "Wachtwoord" in het weergegeven inlogveld wanneer u updates installeert.

Als het je nog steeds niet duidelijk is hoe je SSH moet gebruiken voor het upgraden of installeren van WordPress/plug-ins, lees dan deze tutorial.

Alternatief voor Cron

Gebruik dit bijvoorbeeld als geplande berichten niet worden gepubliceerd. Volgens de forumuitleg van Otto "maakt deze alternatieve methode gebruik van een omleidingsaanpak, waardoor de browser van de gebruiker een omleiding krijgt wanneer de cron moet worden uitgevoerd, zodat ze onmiddellijk terugkeren naar de site terwijl cron blijft draaien in de verbinding die ze zojuist hebben verbroken . Deze methode is soms een beetje twijfelachtig en daarom is het niet de standaardmethode.

Define("ALTERNATE_WP_CRON", waar);

Extra instelbare constanten

Hier zijn aanvullende constanten die kunnen worden gedefinieerd, maar dat zouden ze waarschijnlijk niet moeten zijn. De cookie-definities zijn vooral handig als u een ongebruikelijke domeinconfiguratie heeft.

Define("COOKIEPATH", preg_replace("|https?://[^/]+|i", "", get_option("home") . "/")); definiëren("SITECOOKIEPATH", preg_replace("|https?://[^/]+|i", "", get_option("siteurl") . "/")); definiëren("ADMIN_COOKIE_PATH", SITECOOKIEPATH. "wp-admin"); definiëren("PLUGINS_COOKIE_PATH", preg_replace("|https?://[^/]+|i", "", WP_PLUGIN_URL)); definieer("TEMPLATEPATH", get_template_directory()); definieer("STYLESHEETPATH", get_stylesheet_directory()); definieer("DISABLE_WP_CRON", waar);

02.11.2016 Romchik

Goededag. Stel je deze situatie voor. Wij hebben een website met WordPress. Alles is in orde, de site werkt. Maar op een gegeven moment verandert het wachtwoord voor toegang tot de database. Wat te doen? De site werkt niet. Paniek begint. EN…

WordPress heeft een bestand met de naam wp-config-bestand dat de initiële configuratie van WordPress bevat. Vervolgens zullen we het hebben over het WordPress-configuratiebestand. Laten we eens kijken naar wat er kan worden geconfigureerd met wp-config.php

Het configuratiebestand wp-config.php wordt aangemaakt bij het installeren van WordPress en bevindt zich in de root van onze site.

Wat is een WordPress-configuratiebestand

Een WordPress-configuratiebestand is een eenvoudig PHP-bestand dat de basisinstellingen van WordPress bevat. Zoals login en wachtwoord voor de database. Wees daarom bijzonder voorzichtig bij het werken met dit bestand; een fout in de configuratie zal leiden tot volledige (of gedeeltelijke) onbruikbaarheid van WordPress.

Database-instellingen

Database-instellingen zijn de enige vereiste instellingen. Met behulp van de volgende constanten kunnen we de toegang tot de database configureren:

• DB_NAME – databasenaam
• DB_USER – gebruikersnaam voor MySQL
• DB_PASSWORD – MySQL-gebruikerswachtwoord
• DB_HOST – MySQL-servernaam
• DB_CHARSET – databasecodering
• DB_COLLATE – sorteerschema

We kunnen ook een voorvoegsel voor tabellen instellen met behulp van de variabele $table_prefix. Als we meerdere sites willen hebben die dezelfde database gebruiken, kan het instellen van een voorvoegsel ons helpen conflicten te voorkomen.

Sleutels en zouten

Voor sterkere encryptie gebruikt WordPress sleutels en salts. Waarden vervat in 8 constanten:

• AUTH_KEY
• SECURE_AUTH_KEY
• LOGGED_IN_KEY
• NONCE_KEY
• AUTH_SALT
• SECURE_AUTH_SALT
• GELOGD_IN_SALT
• NONCE_SALT

WordPress-lokalisatie

De WPLANG-constante stelt de lokalisatie in. Als u bijvoorbeeld de Russische lokalisatie wilt opnemen, moet u de waarde “ru_RU” in de constante plaatsen. Maar onthoud dat voor de geselecteerde taal het bijbehorende MO-bestand moet worden geïnstalleerd in wp-content/taal.

Foutopsporing

Debug-modus is een zeer nuttige functie voor een ontwikkelaar. In de debug-modus toont WordPress fouten en waarschuwingen. Standaard deze modus uitgeschakeld definiëren('WP_DEBUG', false); Om de foutopsporingsmodus in te schakelen, herdefinieert u eenvoudigweg de waarde van de constante in waar. Bovendien kunnen we de foutopsporingsmodus voor ingebedde JS-scripts inschakelen door het toevoegen van definition('SCRIPT_DEBUG', true);

WordPress-update

Om automatische updates in WordPress uit te schakelen. Voeg gewoon toe:

Define("AUTOMATIC_UPDATER_DISABLED", waar);

Maar als we het automatisch updaten van belangrijke (kritieke) updates willen laten staan, voeg dan een constante toe:

Define("WP_AUTO_UPDATE_CORE", waar);

Adres van WordPress-site

Met de constante WP_SITEURL kunt u het siteadres overschrijven, dat we hebben ingesteld via het beheerderspaneel in de algemene instellingen. Voorbeeld:

Define("WP_SITEURL", "http://example.com/");

Aandacht! Als de constante is ingesteldWP_SITEURL, de waarde ervan wordt gebruikt.

De map WP-CONTENT verplaatsen

We kunnen de map wp-content verplaatsen. Om dit te doen, hoeft u alleen maar de constante WP_CONTENT_DIR te definiëren

Define("WP_CONTENT_DIR", $_SERVER["DOCUMENT_ROOT"] . "/test/wp-content");

Of we kunnen het zo instellen:

Define("WP_CONTENT_URL", "http://localhost.loc/test/wp-content");

Aandacht! Houd er rekening mee dat er bij het opgeven van een pad geen schuine streep aan het einde staat.

Het opslaginterval wijzigen

Wanneer we een artikel bewerken, slaan we deze automatisch op. Standaard vindt automatisch opslaan plaats na 60 seconden. We kunnen het interval wijzigen. Om dit te doen, definiëren we de constante AUTOSAVE_INTERVAL

Define("AUTOSAVE_INTERVAL", t);

Waarbij t de parameter in seconden is

Vergroot het geheugen voor PHP

Om het PHP-geheugen te vergroten, moet je de constante WP_MEMORY_LIMIT instellen

Define("WP_MEMORY_LIMIT", "64M");

In het bestand wp-config.php kunnen we dus de basisinstellingen van WordPress overschrijven. Maar wees voorzichtig, wijzigingen in wp-config.php kunnen ervoor zorgen dat de site niet werkt. Voordat u de WordPress-instellingen wijzigt, maakt u een back-up van het wp-config.php-bestand

Om WordPress te installeren, moet u de standaardstappen uitvoeren voordat u alle zoekmachines installeert, zoals WordPress, Joomla, Drupal, enz. Voordat u WordPress installeert, moet u namelijk:

1. Registreer het DNS-domein van uw hosting in het domeincontrolepaneel (wijzigingen worden pas over enkele uren van kracht);
2. Maak dit aan in uw hostingcontrolepaneel extra domein(of dit kan het hoofddomein zijn dat wordt aangemaakt bij de aankoop van hosting);
3. Maak een MySQL-database aan, een databasegebruiker en geef deze gebruiker alle rechten om met de database te werken;
4. Download de nieuwste Russische versie van WordPress op uw thuiscomputer;
5. Upload het archief van WordPress naar de hoofdmap van de site en pak het uit. Of u kunt het archief op uw thuis-pc uitpakken en vervolgens alle bestanden naar de hoofdmap van de site uploaden. Maar het zal langer duren.

Daarom worden de standaardstappen voor het installeren van motoren hierboven beschreven. Laten we nu beginnen met het installeren van de WordPress-engine.

We typen het adres van uw site in de adresbalk van de browser en gaan naar de WordPress-installatiepagina. Maar pech, we zien een bericht met de tekst: “Het wp-config.php-bestand lijkt te ontbreken. Voordat u begint, moet u het maken. Hulp nodig? Alsjeblieft. Het is mogelijk om via de webinterface een wp-config.php-bestand aan te maken, maar dit werkt niet op alle servers. De meest betrouwbare manier is om het bestand handmatig aan te maken."

Fout bij het installeren van WordPress. Bericht over ontbrekend configuratiebestand wp-config.php

We kunnen een nieuw wp-config.php-bestand aanmaken en proberen door te gaan met de installatie, maar dan krijgen we de volgende melding: « Fatale fout: Aanroep van de ongedefinieerde functie wp() in /home/leclan/public_html/sites/nastroyke/wp-blog-header.php online 14 « . De reden is dat het configuratiebestand dat we hebben gemaakt leeg is en dat het al ingevuld zou moeten zijn voordat WordPress wordt geïnstalleerd. Dit is het verschil tussen het installeren van WordPress en Joomla-installaties, waar u vóór de installatie een leeg configuratiebestand kon maken en dit zou worden ingevuld tijdens het Joomla-installatieproces.

Daarom doen wij de dingen anders. We vinden het bestand wp-config-sample.php in de lijst (dit is een voorbeeldbestand dat als sjabloon dient bij het maken van het bestand wp-config.php), hernoem het naar wp-config.php en breng wijzigingen aan (ik raad aan dat beginnende gebruikers een kopie maken van wp-config-sample.php en deze hernoemen naar wp-config.php, in welk geval u ter verzekering een voorbeeldconfiguratiebestand zult hebben). De figuur markeert de lijnen waar wijzigingen moeten worden aangebracht.

Die. in het configuratiebestand moet u schrijven:

1. DB_NAME - de naam van de database die u hebt gemaakt;
2. DB_USER - gebruikersnaam die toegang heeft tot de database;
3. DB_PASSWORD — wachtwoord voor databasetoegang.

We brengen wijzigingen aan in het wp-config.php-bestand en slaan het op. Laten we nu proberen de pagina van onze website bij te werken. Oeps la! Alles werkte en het WordPress-installatievenster verscheen waarin we alle benodigde instellingen invoeren.

Inscriptie “WordPress geïnstalleerd. Had je meer stappen verwacht? Sorry dat ik je moet teleurstellen :)" persoonlijk deed me glimlachen :)

Nadat u op de login-knop heeft geklikt, wordt u naar de inlogpagina van uw WordPress-dashboard geleid.

De volgende stappen liggen voor de hand: WordPress opzetten en posts schrijven.

Eigenlijk kun je direct na het installeren van WordPress naar de site gaan door deze te typen domeinnaam in de browserregel.

Ik wens alle aspirant-webmasters veel succes.

Jevgeni Mukhutdinov

Wordt geleverd met WordPress (v3.4.1) 981 bestand en 95 mappen. Geen van deze bestanden vereist handmatige wijzigingen, behalve het bestand wp-config.php. Natuurlijk hoeven we het bestand niet te bewerken als we tevreden zijn met de standaard WordPress-configuratie, maar het is heel belangrijk om te leren werken met dit bestand om beveiligingsmaatregelen toe te passen, trucs voor het versnellen van websites en andere dingen die we zullen het in dit artikel leren.

Ten eerste: back-up!

God beschermt de kluis: maak nu meteen een reservekopie! Gebruik de ingebouwde pagina-export of gebruik een plug-in, of maak een back-up via phpMijnAdmin, maar geef uzelf altijd de mogelijkheid om ongedaan te maken wat u heeft gedaan bij het opzetten van uw site.

Uw manipulaties kunnen de database beïnvloeden, maar ze zullen niets doen met andere bestanden dan het bestand waarmee u gaat werken, dus maak een back-up wp-config.php, maar als u al meer dan een maand geen back-up van uw bestanden heeft gemaakt, raad ik u aan dat ook te doen. Regelmatige back-ups zijn altijd goed.

Ben je klaar? Laten we gaan!

Snelheid: Schakel opgeslagen versies uit... Nu!

De functie voor recordversiebeheer is standaard ingeschakeld, maar kan leiden tot een aanzienlijke database-ophoping. Er bestaan ​​opgeslagen versies waar u naar terug kunt keren vorige versie opnames als je dat nodig hebt. Als u niet van plan bent versiebeheer te gebruiken om te controleren " vroege versies" van je berichten moet je deze functie zeker uitschakelen door deze code toe te voegen wp-config.php:

definieer("WP_POST_REVISIONS", false);

Als u echter tevreden bent met de versies, maar geen eindeloze kopieën van uw gewijzigde gegevens nodig heeft, kunt u dat doen beperken aantal opgeslagen versies voor elk bericht met deze coderegel:

Define("WP_POST_REVISIONS", 2);

Snelheid: Cookiedomein instellen

Als u statische inhoud (zoals mediadownloads) verwerkt met een subdomein, is het een goed idee om ' cookie-domein". Als u dit doet, worden er niet elke keer dat er om statische inhoud wordt gevraagd cookies verzonden.

Define("COOKIE_DOMAIN", "www.uwwebsite.com");

Advies: Om media-uploads van subdomeinen af ​​te handelen, specificeert u gewoon de laatste twee tekstvelden op de pagina Mediaopties pad(Bijvoorbeeld, /home/mijnblog/public_html/mijnsubdomein) En URL(Bijvoorbeeld http://mijnsubdomein.mijnblog.com/) van uw subdomein.

Snelheid: Wijzig de bestandssysteemmethode

Als u uw plug-ins en thema's regelmatig installeert, bijwerkt of verwijdert, is de kans groot dat u er een hekel aan heeft om uw FTP-wachtwoord elke keer dat je iets doet. De onderstaande code vereenvoudigt dit voor u door te beschikken over: bestandssysteem gebruik direct verzoek via PHP- met andere woorden: u hoeft niet meer naar binnen FTP-gegevens autorisatie.

Define("FS_METHOD", "direct");

Houd er rekening mee dat dit mogelijk niet bij alle hostingproviders werkt, en zelfs als het wel werkt, kan dit beveiligingsproblemen veroorzaken bij slecht geconfigureerde hosting. Zorg er dus voor dat je het op een goede server gebruikt.

Beveiliging: Toegang weigeren tot het wp-config.php-bestand

Deze truc vereist het bewerken van een niet-bestand wp-config.php en het bestand .htaccess in uw hoofdmap. In feite voorkomt het dat aanvallers yourblog.com/wp-config.php via de browser laden:

# bescherm wpconfig.php order toestaan, weigeren ontkennen van iedereen

Voeg dit gewoon toe aan uw .htaccess bestand en je bent klaar!

Beveiliging: SSL in het beheerderspaneel

Is SSL ingeschakeld op uw server? Geweldig! Je kunt WordPress dwingen om het te gebruiken beveiligde verbinding wanneer u inlogt met deze regel code:

Define("FORCE_SSL_LOGIN", waar);

En als u zeer veiligheidsbewust bent (wat eigenlijk een goede zaak is), kunt u WordPress dwingen SSL te gebruiken op elke beheerderspagina, zodat alles wat u daar doet via een gecodeerde verbinding gebeurt:

Define("FORCE_SSL_ADMIN", waar);

Meer informatie over het instellen van SSL vindt u in de WordPress Codex op Beheer via SSL.

Beveiliging: het databasevoorvoegsel wijzigen

Als WordPress een beveiligingslek heeft waardoor aanvallers een hacktechniek kunnen gebruiken die bekend staat als ' SQL-injectie ", kunnen ze eenvoudig standaard tabelvoorvoegsels in uw database gebruiken WordPress-gegevens om ze te verwijderen. Maar als u andere tabelvoorvoegsels dan standaard ( wp_), zullen ze ze toch niet kunnen raden?

Wijzig dus bij het installeren van een nieuwe WordPress-site de standaardwaarde op de installatiepagina of wijzig deze volgende regel in het bestand wp-config.php:

$table_prefix = "wooh00ja_";

Aandacht: Als u dit op een bestaande site wilt laten werken, kunt u niet zomaar het voorvoegsel in het bestand wp-config.php wijzigen - u krijgt dan databaseverbindingsfouten. U moet een plug-in gebruiken die het wp-config.php-bestand en de databasetabellen en enkele waarden in de tabellen zal wijzigen. Ik raad de plug-in aan DB-voorvoegsel wijzigen.

Beveiliging: voeg beveiligingssleutels toe... Nu!

Laten we gewoon lees het in de WordPress Codex:

In eenvoudige woorden, geheime sleutel- dit is een wachtwoord met elementen die het lastig maken om voldoende hackopties te selecteren. Een wachtwoord zoals "wachtwoord" of "test" is eenvoudig en kan gemakkelijk worden gekraakt. Om een ​​willekeurig, onvoorspelbaar wachtwoord te vinden, zoals ' 88a7da62429ba6ad3cb3c76a09641fc‘Het zal jaren duren.

Dit is een van de meest noodzakelijke maatregelen beveiliging voor WordPress - en het is gewoon per ongeluk kopiëren en plakken op deze pagina gegenereerd inhoud aan uw bestand wp-config.php. Het moeilijkste is het invoegen van standaard, lege waarde deze constanten en verwijder ze!

Overige: Autosave-interval wijzigen

Als je soms 4 uur aan je bericht werkt, kan het zijn dat je je ergert aan het feit dat WordPress het bericht automatisch opslaat elke 60 seconden. Ik vind het niet het ergste, maar soms is het wel heel erg vervelend. Als u het autosave-interval op een grotere waarde wilt instellen, kunt u dit in ieder geval doen door de waarde in het bestand in te stellen wp-config.php zoals dit:

Define("AUTOSAVE_INTERVAL", 240); // de waarde moet in seconden zijn!

Overig: Migreer uw WordPress-site eenvoudig

WordPress zit vol verrassingen en dit is er één van. Als u uw site ooit naar een ander domein (of een nieuw subdomein of een nieuwe map) moet verplaatsen, definieert u deze constante in uw bestand wp-config.php Voordat u uw bestanden en database migreert:

Define("VERPLAATSEN",waar); // We zijn nog niet klaar!

Nadat u deze waarde heeft ingesteld en uw bestanden en database heeft overgedragen, logt u in met uw WP-gegevens op yournewwebsite.com/login.php en controleert u vervolgens of de startpagina is gewijzigd URL op de pagina Algemene instellingen. Nadat u de wijzigingen heeft doorgevoerd, verwijdert u deze constante uit uw bestand wp-config.php. Met deze eenvoudige WordPress-truc hoeft u uw database niet handmatig te bewerken.

Advies: Hoewel dit uw site letterlijk "migreert", heeft dit geen invloed op hardgecodeerde links in uw inhoud. Om ze te wijzigen, moet je een plug-in gebruiken zoals Zoek Regex en vervang oude koppelingen door nieuwe.

Overige: schakel het bewerken van plug-in- en themabestanden uit

Als u een webontwerper bent die WordPress gebruikt voor de sites van uw klanten, wilt u wellicht het bewerken van thema- en plug-inbestanden uitschakelen door de volgende constante toe te voegen:

Define("DISALLOW_FILE_EDIT",waar);

Bovendien kunt u ook de installatie van nieuwe thema's en plug-ins en het bijwerken ervan uitschakelen:

Define("DISALLOW_FILE_MODS",true);

Houd er rekening mee dat updates van thema's en plug-ins vaak erg belangrijk zijn als ze beveiligingslekken repareren. Dus als je het updaten en installeren van nieuwe plug-ins/thema’s gaat uitschakelen, moet je de updates op een andere manier bijhouden.

Overige: WP_DEBUG inschakelen tijdens ontwikkeling

Het is simpel: als je een plug-in of thema ontwikkelt, is het een goed idee om de foutopsporingsfunctie in WordPress in te schakelen om te zien welke meldingen en waarschuwingen je krijgt:

Define("WP_DEBUG",true);

Soms is het verbazingwekkend om te zien welke simpele fouten je kunt maken tijdens het ontwerpen!