Всем привет, дорогие друзья, читатели in4wp.ru — на связи опять Денис Тумилович и в этой статье мы разберем 10 секретов wp-config о которых вы еще, возможно, не знали!! Я вас уверяю, что эти секреты помогут как ускорить так и защитить ваш блог — это реально важно!!!
Итак, я представляю эти самые заветные 10 советов как настроить файл wp-config.php.
Итак, в существующем пакете WordPress версии v3.4.1 всего существует аж 981 файл, а также 95 папок (это я из вики узнал). Все файлы изменять вручную, конечно, не требуется, однако с файлом wp-config.php необходимо научиться работать, поскольку он позволяет разработать и внедрить секретные способы, которые улучшили бы безопасность, а также использовать некоторые трюки, которые помогут ускорить работу самого сайта. В этой статье вы найдете много нового для вас. Кстати, я уже писал кое что про ускорение блога — рекомендую ознакомиться. А также ознакомьтесь с базовой защитой блога.
- Первое и основное: создайте копию
- 1. Необходимо выключить сохраненные версии (ревизии)
- 2. Необходимо установить домен Cookie
- 3. Изменяем метод файловой системы
- 4. Запрещаем доступ к файлу wp-config.php в принципе
- 5. Используем безопасное соединение SSL в панели администратора
- 6. Измененяем префикс базы данных блога
- 7. Добавляем ключи безопасности
- 8. Измененяем интервал автосохранения
- 9. Включаем WP_DEBUG при разработке
- 10. Ну и последнее: Отключаем редактирование файлов плагина и темы
Первое и основное: создайте копию
Перед началом работы сразу же создайте резервную сайта. Помните, перед любыми изменениями сайта — лучше пробовать на копии. Я часто использую denwer хотя всё чаще просто использую поддомены или тестовые домены на своем хостинге.
Итак, если копию мы сделали — идем дальше смело.
1. Необходимо выключить сохраненные версии (ревизии)
Версии постов (или их еще называют ревизиями) сохраняются автоматически, однако это может стать причиной проблем в базе данных. Создание ранних версий предусмотрено на тот случай, если вы вдруг захотели вернуться назад. Мне этого не нужно, я пост написал и опубликовал его сразу. Думаю, вам засирание базы данных тоже ни к чему. Поэтому рекомендую добавить следующее в wp-config.php:
define('WP_POST_REVISIONS', false );
Можно просто уменьшить количество сохраняемых версий (ревизий) если вы все-таки хотите сохранять предыдущие копии постов. Для этого вам понадобится следующий код:
define('WP_POST_REVISIONS', 2 );
Приемы с ревизиями (сохраненными копиями — помогут вам в ускорении блога!
2. Необходимо установить домен Cookie
Если вашим постоянным контентом является, например, видео, и при этом используете поддомен, установите для вашего удобства cookie domain. Если вы сделаете это, cookies не будут отправляться каждый раз, когда запрашивается статический контент.
define('COOKIE_DOMAIN', 'www.yourwebsite.com');
[tip]Важный совет: при обработке медиа, вы можете воспользоваться указанием пути, указав их в самых последних двух полях для текста на вкладке Media Options и URL вашего поддомена.[/tip]
Приемы с куками — помогут вам в ускорении блога!
3. Изменяем метод файловой системы
Я думаю многие из вас уже сталкивались с тем что приходится при установке плагинов или шаблонов, постоянно вводить логин и пароль для FTP. Это так задалбывает если честно.
Так вот, кому это надоело или кто хочет частенько устанавливать что-то новенькое — рекомендую следующий код.
define('FS_METHOD', 'direct');
После него не нужно будет постоянно авторизовываться.
Правда, это может сработать не на всех хостингах,уж простите :) А даже если сработает — может возникнуть проблема с безопасностью если ваш хостинг плохо настроен.
Поэтому чтобы таких вопросов вообще не возникало — я рекомендую этот хостинг — пользуйтесь и не парьтесь.!!
Приемы с файловой системой — помогут вам в ускорении блога!
4. Запрещаем доступ к файлу wp-config.php в принципе
Чтобы провернуть этот трюк нужно даже трогать не сам wp-config а файл .htaccess (он, кстати, находится в корне вашего сайта). Этот прием просто запрещает плохим дядькам загружать свой wp-config вместо вашего.
# protect wpconfig.php
order allow,deny
deny from all
Не забываем — это мы редактируем ваш .htaccess. Как только отредактировали — считайте дело сделано! :)
Приемы с доступом к wp-config — помогут вам в безопасности!
5. Используем безопасное соединение SSL в панели администратора
Здорово, когда SLL у вас на серваке включен, ведь Вы можете попросить WordPress использовать безопасное соединение при авторизации. Чтобы это сделать достаточно использовать этот код:
define('FORCE_SSL_LOGIN', true);
Допусти вы по-хорошему подозрительны в плане вашей же безопасности — вы можете попросить WP использовать SLL на каждой странице админки :). И тогда все что бы вы ни делали — все будет проходить через шифрованное соединение. Чтобы это сделать — используйте этот код:
define('FORCE_SSL_ADMIN', true);
Приемы с SSL — помогут вам в безопасности!
6. Измененяем префикс базы данных блога
Злые дядьки часто используют метод взлома, известный как «SQL инъекция«, с его помощью они могут достаточно просто использовать стандартные префиксы вашей базы данных. Если у вас стандартные префиксы «wp_» — у этих злых дядек будет простая задача.
Но если у вас префиксы таблиц будут отличаться от стандартных (wp_), им будет сложно угадывать, не так ли?
Так что, устанавливая новый сайт WordPress, смените значение по умолчанию на странице установки или смените следующую строку в файле wp-config.php:
$table_prefix = 'wooh00yeah_';
[tip]Внимание: Если вы хотите заставить это работать на существующем сайте, вы не cможете просто изменить префикс в файле wp-config.php. Вам нужно будет использовать плагин, который изменит файл wp-config.php и таблицы базы данных, и некоторые значения внутри таблиц. Я рекомендую плагин DB Prefix Change.[/tip]
Прием с префиксами к БД — помогут вам в безопасности!
7. Добавляем ключи безопасности
Для чего это нужно? Давайте я просто отправлю вас в WordPress Codex:
[note] Простыми словами, секретный ключ — это пароль с элементами, которые усложняют подбор достаточного количества вариантов для взлома. Пароль типа «пароль» или «тест» простой и может быть легко взломан. Чтобы подобрать случайный, непредсказуемый пароль типа «88a7da62429ba6ad3cb3c76a09641fc» потребуются годы.[/note]
Вообще-то это первое, что необходимо сделать в целях безопасности!!! — и это простое копирование и вставка случайно сгенерированного контента в ваш файл wp-config.php. Сгенерировать все ключи вы сможете тут.
Прием с ключами безопасности — помогут вам в безопасности!. Прошу прощения за тавтологию.
8. Измененяем интервал автосохранения
Если вы иногда работаете над вашей записью 4 часа (а это у меня бывает частенько), вас может раздражать, что WordPress автоматически сохраняет запись каждые 60 секунд.
Думаю, это не самая плохая штука, но иногда это очень, очень раздражает (еще как). В любом случае, если вы хотите установить слегка больший интервал — вам понадобится вот этот код, который нужно прописать в wp-config.php:
define('AUTOSAVE_INTERVAL', 240 ); // значение в секундах!
9. Включаем WP_DEBUG при разработке
Если вы делаете какие-то изменения в шаблоне — хорошо будет включить возможность отладки в WordPress чтобы видеть, какие уведомления и предупреждения вы получаете:
define('WP_DEBUG',true);
Иногда это просто замечательно, видеть, какие простые ошибки вы можете сделать при разработке!
10. Ну и последнее: Отключаем редактирование файлов плагина и темы
Если вы используете WordPress для сайтов ваших клиентов, возможно, вы захотите отключить редактирование файлов тем и плагинов, добавив следующую константу:
define('DISALLOW_FILE_EDIT',true);
Более того, вы можете также отключить установку новых тем и плагинов, и их обновление:
define('DISALLOW_FILE_MODS',true);
Вот в принципе и всё что я знаю про фишки с wp-config.php. На этом у меня всё.
Пользуясь случаем, хочу объявить о том, что у меня есть БЕСПЛАТНЫЙ курс по созданию блога с нуля — ПОЛУЧИТЬ КУРС. Помогаю новичкам в развитии.
С уважением, Денис Тумилович.
ЗЫ: встретил вот такого вот пушистика — классный такой :) Мне срочно нужен такой кот.
Думаю, реальную ценность имеют лишь первый и последний пункты. Остальное, если кто и использует — их единицы. Кстати, поправьте: SSL и SLL — по 2 раза в тексте встречаются.
Хорошая статья , внедрил аж целых 4 пункта из нее. Вроде бы все работает нормально, потестирую еще на всякий случай, не будет ли каких-то косяков.
Котик из видео понравился — мышка моя и нечего ее лапать:). Ребенок в восторге!!!
если делаю сайт то в wp_config.php только конфижу базу и дебаг, а про остальное даже и не думал, но инфа. полезная, спасибо автору
Из всего перечисленного пользуюсь только первым пунктом. Пункт 6 и 7 мне кажутся наиболее интересными. Я вообще на безопасности помешана, после того как кто то на мой сайт стал инфу качать и даже хостинг не понимал что происходит. Да и сейчас частенько кто-то пытается в админку зайти, сообщения идут.
Первый раз вижу чтобы с этим файлом какие-то ухищрения делались. По-моему рядовому блоггеру это не нужно знать :)
Зря вы так думаете, рядовому блоггеру как раз и нужно знать это, плохих людей много.
А если запреть доступ к файлу wp-config.php, то самому то хоть возможно будет его менять? Или надо будет убирать в .htaccess этот код, что бы изменить?