Zdravím, rád bych se s Vámi podělil se svými zkušenostmi, jak instaluji trochu paranoidní web – někdy to je hold nezbytné.
V první řadě používám šablonu DIVI, pomocí které se dá stavět na zelené louce – i když existují přednastavené šablony, ale i když jsem jich pár vyzkoušel, stejně jsem je překopal k obrazu zákazníkovu – ovšem nepopírám, že to je výborný výukový materiál.
Dále se zmíním o bezpečnostních pluginech a pár tricích – nebudu zde rozebírat, jak se který plugin nastavuje, hodně se toho dá najít pomocí Google, případně čerpám z webu www.wplama.cz

Takže jdeme na to:

  • Nejdříve nainstaluji DIVI šablonu
  • Pak DIVI Child od WP Lama
  • Odstraním příspěvek Ahoj světe!!!
  • Přejmenuji Zkušební stránku na Domů (včetně url na domu) a nastavím ji jako domovskou stránku pomocí Nastavení >> Zobrazování

  • Nastavím Let’s Encrypt certifikát – dodá poskytovatel webhostingu
  • Nastavím Really Simple SSL, který vloží záznam do .htaccess a dělá ještě něco, co nevím, protože samotný zápis v .htaccess moc nepomáhá
  • Theme My Login 6.4.17 – kvůli češtině (není nutné)
  • Theme My Login 6.4.16 – nevyžaduje aktualizaci na v 7.x, který je už placený
  • Deaktivují a smažu Theme My Login 6.4.17
  • – Nastavím Custom Redirection, Security, Themed Profiles, User Moderation
  • – V Security (Zabezpečení) zakážu wp-login.php
  • – V Themed Profiles (Nastavení profilů … jako šablona) zakážu přístup do administrace skupinám, které se nebudou podílet na chodu webu – POZOR na jednom webu jsem odstříhl chudáka šéfredaktora.
  • – V User Moderation (Kontrola) nastavím Schválení administrátorem
  • Nastavím stránky pro tento plugin:

  • Všude se nastaví stránku po celé šířce (u DIVI není nutné) a já ještě přidávám jako pozadí obrázek a v style.css nastavím vlastní styl formuláře, ať se při přihlašování koukám na něco hezkého – viz titulní fotka
  • Navíc stránku Přihlásit se (login) ještě přejmenuji, abych ztížil případný útok a v menu na pravé straně odhlásím stránku z typu “Přihlásit se”, pouze nechám shortcode v textu.

  • Tím zabráním přihlášení pomocí www.domena.tld/wp-admin a musím použít přesně definovanou adresu k přihlašovací stránce – pokud ji zapomenu, stačí pomocí FTP přejmenovat plugin Theme My Login a přihlásit se klasicky pomocí /wp-admin.
  • Pomocí pluginu Redirection přesměruji /wp-login.php.* (regulární výraz) třeba na úvodní stránku – znalci .htaccess to mohou zakomponovat přímo tam:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^wp-login.php$ https://%{HTTP_HOST}/ [NC,L]
</IfModule>

 

  • Pro jednodušší přihlášení do patičky stránky se může vložit Login Logout Register Menu, které lze v nastaveních směřovat na různé stránky – ale nemusí tam být, pokud opravdu chcete skrýt skutečnou cestu k přihlašovací stránce

 

  • Plugin 404 to 301 odchytí všechny 404 chyby a přesměruje stránky na předem určený cíl což je dobré pro SEO a může Vám o tom odeslat email

 

  • Nainstalujeme a nastavíme pluginy Autoptimize a WP Fasest Cache
  • U Autoptimize ignoruji nastavení JS, protože pokud mám na stránce animace, tak mi přestanou fungovat. Jinak u WP Fasest Cache lze zaškrtnout všechny políčka – včetně English, jinak to na Vás začne mluvit Čínsky.
  • Pokud si nebudete vědět rady, tak pomocí Google najdete odpovědi, jak a kde co nastavit.
  • POZOR, pokud budete měnit něco přímo ve scriptech PHP, nezapomeňte vypnout cache, jinak se budete divit, proč se změny neprojevují!!!

 

  •  Před započetím vytváření stránek a příspěvku ještě nainstalujte a aktivujte All In One SEO, urychlí Vám to nastavování SEO a Facebook OpenGraph rovnou při tvorbě stránek – někdo má raději Yoast SEO

 

  • Před spuštěním webu zprozněte iThemes Security (někdo dává přednost SUCURI nebo oba kombinuje, ale já mu nepřišel na chuť) a Wordfence Security – firewall a odchytává nepovolené přihlašování, nastavení opět najdete na Google – pro iThemes je pěkný článek na wplama.cz

Jako pomocné pluginy ještě používám:

  • AddToAny Share Buttons – přidá sociální ikony pro sdílení obsahu
  • DIVI Alt Text – užitečný nástroj, vloží do kódu alt k obrázkům pomocí nastavení v médiich – není součástí distribuce a musíte si jej vygooglit
  • Duplicator – jednoduchý převod webu na jiný hosting – nefunguje převod z MySQL na MariaDB, neřešil jsem proč.
  • Hide Page and Post Title – využiji v podstatě jenom u logovacích stránek – není nutný, protože DIVI si řeší titulky stánek po svém
  • IngiteUp – velice šikovný pomocník, pokud hodláte na ostrém webu dělat rozsáhlé úpravy – nejlépe v noci o víkendu – běžnemu návštěvníkovi se zbrazí informační stránka, že se na webu pracuje
  • MainWPMainWP Child – vzdálená centrální správa více webových stránek
  • UpDraftPlus – Backup / Restore – zálohování stránek – lze nastavit zálohy na lokál i na cloud, ručně nebo automaticky nebo vzdáleně pomocí MainWP

Co tím vším získám – vysoce paranoidní stránky, do kterých se přihlásím pouze pomocí známé adresy – třeba https://domena.tld/xyz, vše ostatní bude přesměrováno na titulní stránku – například.

Pozor při nastavování u Wordfence zakázaných loginů – admin, root jsou jasné, ale třeba odvozenina vašeho skutečného loginu (stačí jenom jeho část) vás dokonale odstřihne od administrace. Doporučuji používat admin login odlišný od vašeho skutečného jména, a jména, která se budou objevovat v příspěvcích, prostě zablokovat.

A jako samozřejmost optimalizace fotografií ještě před vložením do stránek – hodně to urychlí načítání na desktopu. Pro mobilní zařízení se o miniatury stará Autoptimize, kde v sekci CSS nastavíte, aby se miniatury načetli přímo do css.

Případné reakce prosím do komentářů.

 

Děkuji, Standa Kremeň.

 

P.S. Pomocí těchto technik se mi podařilo na https://tools.pingdom.com/#599e62fee2400000 dostat i pod jednu vteřinu – někdy je potřeba vyzkoušet Londýn i Frankfurt.

4 komentáře

  1. Tomáš

    Ahoj,

    díky za pěkný článek, mám k tomu jen pár poznámek.

    @Duplicator: mě vždy fungovala migrace i z MySQL na Maria, co ti to psalo?

    @ iThemes Security + Wordfence: není to zbytečné tam mít oba? Přijde mi, že se zbytečně zdvojují funkce a zbytečně zatěžuje web.

    @přesměrování přihlašovací stránky: zkoušel jsi někdy na přesměrování použít jen iThemes Security, ten to umí taky? Případně by se dal snížit potřebný počet pluginů na webu.

    @Plugin 404 to 301: tuto funkci také obsahuje iThemes Security, zkoušel jsi?

    Odpovědět
    • Standa Kremeň

      Tomáši děkuji za poznámky, moc si toho vážím.

      @ Duplicator možná byl problém v různých verzích databázi, dělal jsem pouze dva přesuny, výsledek byl, že se WordPress začal instalovat od nuly a musel jsem pracně dělat ruční přenos.

      @ iThemes a Wordfence, taky mě to napadlo, ještě udělám průzkum

      @ Přesměrování pomocí iThemes nedávalo takové výsledky v pingdom.com jako Really Simple. Ten hodí pravidlo přímo do .htacess. ale i když jsem zkoušel pouze pravidlo v .htacess, tak mi bojovali ve výpisu na pingdom načítání http a https, Really Simple dělá zřejmě redirect jak na úrovni.htacess tak i na úrovni PHP. iThemes dělá přesun zřejmě jenom na úrovni PHP. Vyzkouším ještě nechat pravidlo v .htacess a zapojím jen redirect v iThemes, to jsem myslím nezkoušel.

      @ 404 to 301 u iThemes mám sice zapnutou, ale i tak se redirect nekonal, nevím, nestudoval jsem proč.

      Přeji pěkný den

      Odpovědět
    • Standa Kremeň

      @ přesměrovaní – zkusil jsem nechat pravidlo v .htaccess a zapnout SSL v iThemes, vypadá to, že výsledky jsou stejné – ušetřil jsem plugin
      @ Wordfence jsem vyhodil – stejně jsem s tou myšlenkou koketoval – jen si mě v tom utvrdil

      Odpovědět

Vložit komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *