Установка WordPress. Инструкция для начинающих. Как настроить WordPress, используя файл конфигурации wp-config

От автора: в общем-то, WordPress – относительно простая в установке система, которую можно развернуть в короткие сроки. Однако вы можете непреднамеренно оставить уязвимости для хакеров. В файле «wp-config.php» хранятся ключевые настройки вашего сайта на WP, и очень важно как можно сильнее защитить этот файл от посторонних лиц. В этом видео из курса WordPress Secure Setup Guide вы узнаете, как максимально обезопасить файл wp-config.php.

Что хранится в файле wp-config.php

Если открыть wp-config.php, можно заметить, что там хранится достаточно важная информация. Во-первых, в нем содержится вся вводимая вами информация во время установки, которая дает доступ к базе данных.

Здесь можно найти название базы данных, имя пользователя, пароль – все, что необходимо для входа в базу данных. Как вы понимаете, крайне важно защитить этот файл, потому что если кто-то сможет прочитать его, то он получит доступ к базе данных и сможет вытворять там все, что душе угодно.

Эти ключи нужны для защиты вашего сайта. Еще ниже записан префикс таблиц, который также защищает ваш сайт.

Как защитить wp-config.php

Существует несколько шагов, которые необходимо выполнить, чтобы обезопасить этот файл.

1. Генерируем новые секретные ключи

Первым делом мы сгенерируем новые секретные ключи. Для этого можно зайти на secret key generator от WP. Вам нужно перейти по этой ссылке и обновить страницу, перед вами будут абсолютно новые ключи. Их можно скопировать в wp-config.php и заменить старые.

2. Перемещаем wp-config.php

Теперь мы переместим наш файл. По умолчанию он находится в корневой папке сайта. Если ваш сайт хранится на основном домене, папка будет называться «public HTML» или как-то по-другому, все зависит от того, как вы писали сайт. WP позволяет переместить файл конфигураций на один уровень выше, чтобы он не хранился в публичной папке.

Если вы работаете офлайн, можете просто перетащить файл мышкой. Если же сайт уже работает в сети, можете воспользоваться инструментом перемещения в файловом менеджере. Выберите файл wp-config.php, нажмите переместить и выберите новую папку.

Если с первого раза не получилось, можете поговорить с хостинг-провайдером и узнать у него, позволяют ли настройки сервера перемещать файл на уровень выше.

3. Запрещаем доступ к wp-config.php

Осталось сделать еще один шаг для защиты wp-config.php. Нам нужно создать файл htaccess в той же папке, где находится файл конфигураций, чтобы запретить всем доступ в wp-config.php.

Создайте файл htaccess в той же папке, где лежит файл wp-config. Просто так создать файл без расширения не получится, поэтому можно схитрить.

Если вы на Mac, создайте текстовый файл с именем htaccess.txt. Затем переименуйте файл, удалив расширение и поставив точку перед названием так, чтобы получилось.htaccess.

Мы еще не закончили, теперь необходимо кликнуть правой кнопкой мыши на файле в Finder’е, выбрать Get Info и обрезать расширение.txt в поле Name & Extension.

Теперь откройте файл в редакторе и скопируйте в него следующий код:

order allow,deny deny from all

В пакете с WordPress (v3.4.1) поставляется 981 файл и 95 папок. Ни один из этих файлов не требует изменений вручную, кроме файла wp-config.php . Конечно, нам не нужно редактировать файл, если нас устраивает стандартная конфигурация WordPress, но весьма важно научиться работать с этим файлом, чтобы применить меры безопасности, трюки по ускорению работы сайта и другие штуки, которые мы изучим в этой статье.

Первое: бэкап!

Береженого бог бережет: сделайте резервную копию, прямо сейчас! Используйте встроенный экспорт страницы или используйте плагин, или сделайте бэкап через phpMyAdmin , но всегда оставляйте себе возможность отменить сделанное при настройке вашего сайта.

Ваши манипуляции могут повлиять на базу данных, но они не сделают ничего с какими-либо файлами кроме файла, с которым вы будете работать, так что сделайте бэкап wp-config.php , но если вы не делали копию ваших файлов больше, чем месяц, я бы посоветовал сделать это тоже. Частые бэкапы - это всегда хорошо.

Готовы? Поехали!

Скорость: Отключите сохраненные версии... Сейчас!

Функция сохранения версий записей включена по умолчанию, но может привести к значительному "раздуванию" базы данных. Сохраненные версии существуют для того, чтобы вы могли откатиться к предыдущей версии записи, если вам нужно. Если вы не планируете использовать сохранение версий чтобы проверять "ранние версии " ваших записей, вам точно следует отключить эту возможность, добавив этот код в wp-config.php :

define("WP_POST_REVISIONS", false);

Тем не менее, если вас устраивают версии, но вам не нужно бесконечное количество копий ваших измененных записей, вы можете ограничить количество сохраненных версий для каждого поста с помощью этой строки кода:

Define("WP_POST_REVISIONS", 2);

Скорость: Установите домен Cookie

Если вы обрабатываете статический контент (например, загрузки медиа) поддоменом, хорошей идеей будет установить "cookie domain ". Если вы сделаете это, cookies не будут отправляться каждый раз, когда запрашивается статический контент.

Define("COOKIE_DOMAIN", "www.yourwebsite.com");

Совет : чтобы обрабатывать медиа загрузки поддомена, просто укажите в последних двух текстовых полях на странице Media Options путь (например, /home/myblog/public_html/mysubdomain ) и URL (например http://mysubdomain.myblog.com/ ) вашего поддомена.

Скорость: Измените метод файловой системы

Если вы часто устанавливаете, обновляете или удаляете ваши плагины и темы, очень вероятно, что вы ненавидите ввод вашего FTP пароля каждый раз, когда вы что-то делаете. Приведенный ниже код упрощает это для вас, заставляя файловую систему использовать прямой запрос через PHP - другими словами, вам больше не нужно будет вводить FTP данные авторизации.

Define("FS_METHOD", "direct");

Пожалуйста, обратите внимание, что это может работать не со всеми хостинг-провайдерами, и даже если сработает, может вызвать проблемы с безопасностью на плохо настроенном хостинге. Так что убедитесь, что вы используете его на хорошем сервере.

Безопасность: Запрет доступа к файлу wp-config.php

Этот трюк требует редактирования не файла wp-config.php , а файла .htaccess в вашей корневой папке. Фактически он запрещает злоумышленникам загружать yourblog.com/wp-config.php через браузер:

# protect wpconfig.php order allow,deny deny from all

Просто добавьте это в ваш .htaccess файл и все готово!

Безопасность: SSL в панели администратора

SSL на вашем сервере включен? Отлично! Вы можете заставить WordPress использовать безопасное соединение при авторизации с помощью этой строки кода:

Define("FORCE_SSL_LOGIN", true);

И если вы очень подозрительны в плане безопасности (что на самом деле хорошо), вы можете заставить WordPress использовать SSL на каждой странице администратора, чтобы все, что вы делаете там, делалось через шифрованное соединение:

Define("FORCE_SSL_ADMIN", true);

Дополнительную информацию о том, как настроить SSL, вы можете найти в WordPress Codex на странице Administration Over SSL .

Безопасность: Изменение префикса базы данных

Если у WordPress есть дыра в безопасности, которая позволяет злоумышленникам использовать метод взлома, известный как "SQL инъекция ", они могут легко использовать стандартные префиксы таблиц вашей базы данных WordPress чтобы удалить их. Но если у вас префиксы таблиц отличные от стандартных (wp_ ), они не смогут их угадать, не так ли?

Так что, устанавливая новый сайт WordPress, смените значение по умолчанию на странице установки или смените следующую строку в файле wp-config.php :

$table_prefix = "wooh00yeah_";

Внимание : Если вы хотите заставить это работать на существующем сайте, вы не можете просто изменить префикс в файле wp-config.php - вы получите ошибки соединения с базой данных. Вам нужно использовать плагин, который изменит файл wp-config.php и таблицы базы данных, и некоторые значения внутри таблиц. Я рекомендую плагин DB Prefix Change .

Безопасность: Добавьте ключи безопасности… Сейчас!

Давайте просто прочтем в WordPress Codex :

Простыми словами, секретный ключ - это пароль с элементами, которые усложняют подбор достаточного количества вариантов для взлома. Пароль типа "пароль" или "тест" простой и может быть легко взломан. Чтобы подобрать случайный, непредсказуемый пароль типа "88a7da62429ba6ad3cb3c76a09641fc " потребуются годы.

Это одна из самых необходимых мер безопасности для WordPress - и это просто копирование и вставка случайно сгенерированного на этой странице контента в ваш файл wp-config.php . Самая сложная часть - это вставка стандартных, пустых значение этих констант и удаление их!

Другое: Изменение интервала автосохранения

Если вы иногда работаете над вашей записью 4 часа, вас может раздражать, что WordPress автоматически сохраняет запись каждые 60 секунд . Думаю, это не самая плохая штука, но иногда это очень, очень раздражает. В любом случае, если вы хотите установить для интервала автосохранения большее значение, вы можете сделать это, установив значение в файле wp-config.php вот так:

Define("AUTOSAVE_INTERVAL", 240); // the value should be in seconds!

Другое: Перенесите свой WordPress сайт легко

WordPress полон сюрпризов и это один из них. Если вам когда-то нужно будет перенести свой сайт на другой домен (или новый поддомен, или новую папку), определите эту константу в вашем файле wp-config.php перед переносом ваших файлов и базы данных:

Define("RELOCATE",true); // We"re not done yet!

После установки этой величины и переноса ваших файлов и базы данных, авторизуйтесь с вашими данными WP на yournewwebsite.com/login.php и после этого проверьте, изменился ли домашний URL на странице Общих настроек. После подтверждения изменений, удалите эту константу из вашего файла wp-config.php . Этот простой трюк в WordPress убережет вас от редактирования базы данных вручную.

Совет : хотя это буквально "переносит" ваш сайт, оно не влияет на жестко закодированные ссылки в вашем контенте. Чтобы изменить их, вы должны использовать плагин типа Search Regex и заменить старые ссылки новыми.

Другое: Отключите редактирование файлов плагина и темы

Если вы веб-дизайнер и используете WordPress для сайтов ваших клиентов, возможно, вы захотите отключить редактирование файлов тем и плагинов, добавив следующую константу:

Define("DISALLOW_FILE_EDIT",true);

Более того, вы можете также отключить установку новых тем и плагинов, и их обновление:

Define("DISALLOW_FILE_MODS",true);

Просто помните, что обновление темы и плагина часто очень важны, когда они исправляют дыры в безопасности. Так что если вы собираетесь отключить обновление и установку новых плагинов / тем, вам нужно следить за обновлениями другим способом.

Другое: Включение WP_DEBUG при разработке

Это просто: если вы разрабатываете плагин или тему, хорошо будет включить возможность отладки в WordPress чтобы видеть, какие уведомления и предупреждения вы получаете:

Define("WP_DEBUG",true);

Иногда это просто замечательно, видеть, какие простые ошибки вы можете сделать при разработке!

Первое: бэкап!

Готовы? Поехали!

Скорость: Отключите сохраненные версии… Сейчас!

Функция сохранения версий записей включена по умолчанию, но может привести к значительному «раздуванию» базы данных. Сохраненные версии существуют для того, чтобы вы могли откатиться к предыдущей версии записи, если вам нужно. Если вы не планируете использовать сохранение версий чтобы проверять «ранние версии» ваших записей, вам точно следует отключить эту возможность, добавив этот код в wp-config.php :

Define("WP_POST_REVISIONS", false);

Define("WP_POST_REVISIONS", 2);

Скорость: Установите домен Cookie

Если вы обрабатываете статический контент (например, загрузки медиа) поддоменом, хорошей идеей будет установить «cookie domain» . Если вы сделаете это, cookies не будут отправляться каждый раз, когда запрашивается статический контент.

Define("COOKIE_DOMAIN", "www.yourwebsite.com");

Скорость: Измените метод файловой системы

Define("FS_METHOD", "direct");

Безопасность: Запрет доступа к файлу wp-config.php

# protect wpconfig.php order allow,deny deny from all

Просто добавьте это в ваш .htaccess файл и все готово!

Безопасность: SSL в панели администратора

Define("FORCE_SSL_LOGIN", true);

Define("FORCE_SSL_ADMIN", true);

Дополнительную информацию о том, как настроить SSL, вы можете найти в WordPress Codex на странице Administration Over SSL .

Безопасность: Изменение префикса базы данных

Если у WordPress есть дыра в безопасности, которая позволяет злоумышленникам использовать метод взлома, известный как «SQL инъекция» , они могут легко использовать стандартные префиксы таблиц вашей базы данных WordPress чтобы удалить их. Но если у вас префиксы таблиц отличные от стандартных (wp_ ), они не смогут их угадать, не так ли?

$table_prefix = "wooh00yeah_";

Безопасность: Добавьте ключи безопасности… Сейчас!

Простыми словами, секретный ключ - это пароль с элементами, которые усложняют подбор достаточного количества вариантов для взлома. Пароль типа «пароль» или «тест» простой и может быть легко взломан. Чтобы подобрать случайный, непредсказуемый пароль типа «88a7da62429ba6ad3cb3c76a09641fc» потребуются годы.

Другое: Изменение интервала автосохранения

Define("AUTOSAVE_INTERVAL", 240); // the value should be in seconds!

Другое: Перенесите свой WordPress сайт легко

Define("RELOCATE",true); // We"re not done yet!

Совет : хотя это буквально «переносит» ваш сайт, оно не влияет на жестко закодированные ссылки в вашем контенте. Чтобы изменить их, вы должны использовать плагин типа

02.11.2016 Ромчик

Доброго времени суток. Представьте такую ситуацию. У нас есть сайт под управлением WordPress. Все хорошо, сайт работает. Но в один прекрасный момент меняется пароль доступа к базе данных. Что делать? Сайт не работает. Начинается паника. И…

В WordPress есть такой файл, как файл конфигурации wp-config, который содержит первоначальную конфигурацию WordPress. Вот дальше мы и поговорим о файле конфигурации WordPress. Рассмотрим, что можно настроить при помощи wp-config.php

Файл конфигурации wp-config.php создается при установке WordPress и расположен в корне нашего сайта.

Что такое файл конфигурации WordPress

Файл конфигурации WordPress – это простой php-файл, который содержит основные настройки WordPress. Такие, как логин и пароль к базе данных. Поэтому при работе с данным файлом будьте особенно осторожны, ошибка в конфигурации приведет к полной (или частичной) неработоспособности WordPress.

Настройки базы данных

Параметры базы данных являются единственными обязательными настройками. С помощью следующих констант мы можем настроить доступ к базе данных:

DB_NAME – имя базы данных
DB_USER – имя пользователя для MySQL
DB_PASSWORD – пароль пользователя MySQL
DB_HOST – имя сервера MySQL
DB_CHARSET – кодировка базы данных
DB_COLLATE – схема сопоставления

Также мы можем задать префикс для таблиц с помощью переменной $table_prefix. Если мы хотим использовать несколько сайтов, использующих одну базу данных, то задание префикса поможет нам избежать конфликтов.

Ключи и соли

Для более надежного шифрования в WordPress используется ключи и соли. Значения, которых содержаться в 8 константах:

AUTH_KEY
SECURE_AUTH_KEY
LOGGED_IN_KEY
NONCE_KEY
AUTH_SALT
SECURE_AUTH_SALT
LOGGED_IN_SALT
NONCE_SALT

Локализация WordPress

В константе WPLANG устанавливается локализация. Например, для включения русской локализации в константу необходимо поместить значение «ru_RU». Но помните, что для выбранного языка в wp-content/language должен быть установлен соответствующий MO-файл.

Отладка

Режим отладки очень полезная функция для разработчика. В режиме отладке WordPress показывает ошибки и предупреждения. По умолчанию данный режим отключен define(‘WP_DEBUG’, false); Для включения режима отладки просто переопределяем значение константы на true. Кроме того мы можем включить режим отладки для встроенных JS-скриптов, добавив define(‘SCRIPT_DEBUG’, true);

Обновление WordPress

Для того, чтобы отключить автоматические обновления в WordPress. Просто добавьте:

Define("AUTOMATIC_UPDATER_DISABLED", true);

Но, если мы хотим оставить автоматическое обновление важных (критических) обновлений, то добавьте константу:

Define("WP_AUTO_UPDATE_CORE", true);

Адрес сайта WordPress

Константа WP_SITEURL позволяет переопределить адрес сайта, который установлен мы устанавливаем через админку в общих настройках. Пример:

Define("WP_SITEURL", "http://example.com/");

Внимание! Если будет установлена константа WP_ SITEURL, то будет использоваться ее значение.

Перемещение папки WP-CONTENT

Мы можем перенести папку wp-content. Для этого необходимо просто определить константу WP_CONTENT_DIR

Define("WP_CONTENT_DIR", $_SERVER["DOCUMENT_ROOT"] . "/test/wp-content");

Или можем задать, следующим образом:

Define("WP_CONTENT_URL", "http://localhost.loc/test/wp-content");

Внимание! Обратите внимание, что при указании пути нет в конце слеша.

Изменение интервала сохранения

При редактировании статьи у нас происходит автосохранение. По умолчанию, автосохранение происходит через 60 сек. Мы может изменить интервал. Для этого определяем константу AUTOSAVE_INTERVAL

Define("AUTOSAVE_INTERVAL", t);

Где t – параметр в секундах

Увеличение памяти для PHP

Для того, чтобы увеличить память PHP необходимо задать константу WP_MEMORY_LIMIT

Define("WP_MEMORY_LIMIT", "64M");

Таким образом в файле wp-config.php мы можем переопределять основные настройки WordPress. Но будьте осторожны, изменения в wp-config.php могут привести к неработоспособности сайта. Перед изменением настроек WordPress сделайте бекап файла wp-config.php

Когда вы устанавливаете WordPress с помощью мастера установки, то вам будет необходимо выбрать префикс таблицы. Что хранится в wp-config.php файл как:

DEFINE ("WPLANG",""); DEFINE ("LANGDIR","");

Языковой файл перевода (.мо) должен быть помещён по умолчанию в папку, которая должна быть по адресу wp-content/language, а затем wp-include/language. Но исходя из функции выше вы можете определить свой собственный каталог.

Отладка wordpress

WordPress имеет удивительную особенность отладки, которая позволяет находить ошибки и устаревшие функции. По умолчанию эта функция отключена, но её можно активизировать.

define(‘WP_DEBUG’, false); // отключить режим отладки по умолчанию define(‘WP_DEBUG’, true); // включить режим отладки

Адрес сайта

Добавив следующие строки в свой wp-config вы уменьшите количество запросов к базе данных, за счёт того что склеите адрес главной страницы и url сайта и таким образом увеличите скорость загрузки вашего блога.

DEFINE ("FS_CHMOD_FILE", 0755); DEFINE ("FS_CHMOD_DIR", 0644);

Сообщение Пересмотры В последних версиях wordpress появилась удивительная функция auto-save. Она автоматически сохраняет ваш пост если вы его ещё не закончили писать, к примеру у вас завис браузер или вы случайно закрыли его или вырубили свет. Так же она позволяет восстанавливать предыдущие версии постов, мало ли что вы в них писали. Многие из нас обожают эту функцию, но некоторые просто ненавидят её. Функция auto-save имеет множество конфигурации, так что вы можете натсроить е под себя. Auto-Save Configuration

По умолчанию WordPress сохраняет сообщения каждые 60 секунд, но если вы думаете, что это слишком много, то вы можете изменить его, по вашему желанию:

DEFINE ("WP_POST_REVISIONS, false);

Корзина в WordPress (Trash)

Начиная с версии 2.9 в ядро была добавлена новая функция Корзина “Trash”. Она предназначена для того чтобы не удалять навсегда не дописанные или случайно удалённые посты. Плохая сторона этой функции заключается в том что мы должны чистить корзину регулярно так как мусор восстанавливается из корзины каждые 30 дней. Вы можете изменить это значения используя следующую функцию:

DEFINE ("EMPTY_TRASH_DAYS", 7); / / целое количество дней Если вам не нравится эта функция, то ее можно отключить: DEFINE ("EMPTY_TRASH_DAYS", 0);

Но помните, если вы держите значение 0, то WordPress не будет запрашивать подтверждение при нажатии на кнопку “Удалить навсегда”. Любой случайное нажатие может стоить вам поста.

Авто оптимизация базы данных

В WordPress 2.9, была добавлена функция, которая называется Automatic Database Optimization. Чтобы включить эту функцию, вы должны вставить следующий код в wp-config.php:

http://www.yoursite.com/wp-admin/maint/repair.php

Вход в админку не обязателен для того чтобы получить доступ к этой страницы, когда установлена эта функция. Потому что её основной целью являеться восстановление поврежденной базы данных. Поэтому как только вы закончите оптимизацию своей базы данных, удалите эту функцию в своём wp-config.php

WordPress Error Log

Блогеру полезно иметь журнал ошибок. Так вы сможете узнавать причину поломки или глюка блога. Сначала создайте файл с названием “php_error.log” и поместить его в каталог по выбору. Затем изменить путь в третьей строке следующего кода:

DEFINE ("CUSTOM_USER_TABLE", $ table_prefix "my_users.); DEFINE ("CUSTOM_USER_META_TABLE", $ table_prefix "my_usermeta.);

Включить WPMU

WPMU вошла в ядро wordpress. Для включения многопользовательского режима wordpress, вам необходимо вставить следующий код:

DEFINE ("WP_ALLOW_MULTISITE, true);

После добавления этого кода у вас появиться новая страницы в вашем wp-admin которая называется “Сеть” (network) расположенная в инструментах.

Обеспечение безопасности файлу WP-config.php Как вы видите файл WP-config.php очень важный и поэтому он нуждается в дополнительно безопасности. По умолчанию он находиться в корневой папке WordPress, но вы можете его переместить. Он может быть перемещён за пределы public_html каталога, поэтому пользователи не смогут получить к нему доступ. WordPress умеет по умолчанию искать этот файл в других каталогах, если файлы не найдены в корневой папке wordpress. Вы так же можете использовать.Htacces файл, чтобы ограничить доступ к этому файлу

Добавьте следующий код:

# protect wpconfig.php order allow,deny deny from all

P.S.
Ну вот и всё дорогой друг. Если вдруг у тебя есть свои советы, фишки или трюки с файлом wp-config.php, то рассказывай их в комментариях и я добавлю их в пост с ссылкой на твой блог в знак благодарности;)

Не забудь подписаться на мою Rss-ку , а то пропустите следующую мою статью “Как вывести популярные статьи с миниатюрой “, а так же продолжить настройку блога и начать с настройки .

Установка WordPress. Инструкция для начинающих. Как настроить WordPress, используя файл конфигурации wp-config

Еще на эту тему:

Другие статьи: