Zdravím, rád bych se s Vámi podělil se svými zkušenostmi, jak instaluji trochu paranoidní web – někdy to je hold nezbytné.
V první řadě používám šablonu DIVI, pomocí které se dá stavět na zelené louce – i když existují přednastavené šablony, ale i když jsem jich pár vyzkoušel, stejně jsem je překopal k obrazu zákazníkovu – ovšem nepopírám, že to je výborný výukový materiál.
Dále se zmíním o bezpečnostních pluginech a pár tricích – nebudu zde rozebírat, jak se který plugin nastavuje, hodně se toho dá najít pomocí Google, případně čerpám z webu www.wplama.cz
Takže jdeme na to:
- Nejdříve nainstaluji DIVI šablonu
- Pak DIVI Child od WP Lama
- Odstraním příspěvek Ahoj světe!!!
- Přejmenuji Zkušební stránku na Domů (včetně url na domu) a nastavím ji jako domovskou stránku pomocí Nastavení >> Zobrazování
- Nastavím Let’s Encrypt certifikát – dodá poskytovatel webhostingu
- Nastavím Really Simple SSL, který vloží záznam do .htaccess a dělá ještě něco, co nevím, protože samotný zápis v .htaccess moc nepomáhá
- Theme My Login 6.4.17 – kvůli češtině (není nutné)
- Theme My Login 6.4.16 – nevyžaduje aktualizaci na v 7.x, který je už placený
- Deaktivují a smažu Theme My Login 6.4.17
- – Nastavím Custom Redirection, Security, Themed Profiles, User Moderation
- – V Security (Zabezpečení) zakážu wp-login.php
- – V Themed Profiles (Nastavení profilů … jako šablona) zakážu přístup do administrace skupinám, které se nebudou podílet na chodu webu – POZOR na jednom webu jsem odstříhl chudáka šéfredaktora.
- – V User Moderation (Kontrola) nastavím Schválení administrátorem
- Nastavím stránky pro tento plugin:
- Všude se nastaví stránku po celé šířce (u DIVI není nutné) a já ještě přidávám jako pozadí obrázek a v style.css nastavím vlastní styl formuláře, ať se při přihlašování koukám na něco hezkého – viz titulní fotka
- Navíc stránku Přihlásit se (login) ještě přejmenuji, abych ztížil případný útok a v menu na pravé straně odhlásím stránku z typu “Přihlásit se”, pouze nechám shortcode v textu.
- Tím zabráním přihlášení pomocí www.domena.tld/wp-admin a musím použít přesně definovanou adresu k přihlašovací stránce – pokud ji zapomenu, stačí pomocí FTP přejmenovat plugin Theme My Login a přihlásit se klasicky pomocí /wp-admin.
- Pomocí pluginu Redirection přesměruji /wp-login.php.* (regulární výraz) třeba na úvodní stránku – znalci .htaccess to mohou zakomponovat přímo tam:
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^wp-login.php$ https://%{HTTP_HOST}/ [NC,L]
</IfModule>
- Pro jednodušší přihlášení do patičky stránky se může vložit Login Logout Register Menu, které lze v nastaveních směřovat na různé stránky – ale nemusí tam být, pokud opravdu chcete skrýt skutečnou cestu k přihlašovací stránce
- Plugin 404 to 301 odchytí všechny 404 chyby a přesměruje stránky na předem určený cíl což je dobré pro SEO a může Vám o tom odeslat email
- Nainstalujeme a nastavíme pluginy Autoptimize a WP Fasest Cache
- U Autoptimize ignoruji nastavení JS, protože pokud mám na stránce animace, tak mi přestanou fungovat. Jinak u WP Fasest Cache lze zaškrtnout všechny políčka – včetně English, jinak to na Vás začne mluvit Čínsky.
- Pokud si nebudete vědět rady, tak pomocí Google najdete odpovědi, jak a kde co nastavit.
- POZOR, pokud budete měnit něco přímo ve scriptech PHP, nezapomeňte vypnout cache, jinak se budete divit, proč se změny neprojevují!!!
- Před započetím vytváření stránek a příspěvku ještě nainstalujte a aktivujte All In One SEO, urychlí Vám to nastavování SEO a Facebook OpenGraph rovnou při tvorbě stránek – někdo má raději Yoast SEO
- Před spuštěním webu zprozněte iThemes Security (někdo dává přednost SUCURI nebo oba kombinuje, ale já mu nepřišel na chuť) a Wordfence Security – firewall a odchytává nepovolené přihlašování, nastavení opět najdete na Google – pro iThemes je pěkný článek na wplama.cz
Jako pomocné pluginy ještě používám:
- AddToAny Share Buttons – přidá sociální ikony pro sdílení obsahu
- DIVI Alt Text – užitečný nástroj, vloží do kódu alt k obrázkům pomocí nastavení v médiich – není součástí distribuce a musíte si jej vygooglit
- Duplicator – jednoduchý převod webu na jiný hosting – nefunguje převod z MySQL na MariaDB, neřešil jsem proč.
- Hide Page and Post Title – využiji v podstatě jenom u logovacích stránek – není nutný, protože DIVI si řeší titulky stánek po svém
- IngiteUp – velice šikovný pomocník, pokud hodláte na ostrém webu dělat rozsáhlé úpravy – nejlépe v noci o víkendu – běžnemu návštěvníkovi se zbrazí informační stránka, že se na webu pracuje
- MainWP – MainWP Child – vzdálená centrální správa více webových stránek
- UpDraftPlus – Backup / Restore – zálohování stránek – lze nastavit zálohy na lokál i na cloud, ručně nebo automaticky nebo vzdáleně pomocí MainWP
Co tím vším získám – vysoce paranoidní stránky, do kterých se přihlásím pouze pomocí známé adresy – třeba https://domena.tld/xyz, vše ostatní bude přesměrováno na titulní stránku – například.
Pozor při nastavování u Wordfence zakázaných loginů – admin, root jsou jasné, ale třeba odvozenina vašeho skutečného loginu (stačí jenom jeho část) vás dokonale odstřihne od administrace. Doporučuji používat admin login odlišný od vašeho skutečného jména, a jména, která se budou objevovat v příspěvcích, prostě zablokovat.
A jako samozřejmost optimalizace fotografií ještě před vložením do stránek – hodně to urychlí načítání na desktopu. Pro mobilní zařízení se o miniatury stará Autoptimize, kde v sekci CSS nastavíte, aby se miniatury načetli přímo do css.
Případné reakce prosím do komentářů.
Děkuji, Standa Kremeň.
P.S. Pomocí těchto technik se mi podařilo na https://tools.pingdom.com/#599e62fee2400000 dostat i pod jednu vteřinu – někdy je potřeba vyzkoušet Londýn i Frankfurt.
Ahoj,
díky za pěkný článek, mám k tomu jen pár poznámek.
@Duplicator: mě vždy fungovala migrace i z MySQL na Maria, co ti to psalo?
@ iThemes Security + Wordfence: není to zbytečné tam mít oba? Přijde mi, že se zbytečně zdvojují funkce a zbytečně zatěžuje web.
@přesměrování přihlašovací stránky: zkoušel jsi někdy na přesměrování použít jen iThemes Security, ten to umí taky? Případně by se dal snížit potřebný počet pluginů na webu.
@Plugin 404 to 301: tuto funkci také obsahuje iThemes Security, zkoušel jsi?
Tomáši děkuji za poznámky, moc si toho vážím.
@ Duplicator možná byl problém v různých verzích databázi, dělal jsem pouze dva přesuny, výsledek byl, že se WordPress začal instalovat od nuly a musel jsem pracně dělat ruční přenos.
@ iThemes a Wordfence, taky mě to napadlo, ještě udělám průzkum
@ Přesměrování pomocí iThemes nedávalo takové výsledky v pingdom.com jako Really Simple. Ten hodí pravidlo přímo do .htacess. ale i když jsem zkoušel pouze pravidlo v .htacess, tak mi bojovali ve výpisu na pingdom načítání http a https, Really Simple dělá zřejmě redirect jak na úrovni.htacess tak i na úrovni PHP. iThemes dělá přesun zřejmě jenom na úrovni PHP. Vyzkouším ještě nechat pravidlo v .htacess a zapojím jen redirect v iThemes, to jsem myslím nezkoušel.
@ 404 to 301 u iThemes mám sice zapnutou, ale i tak se redirect nekonal, nevím, nestudoval jsem proč.
Přeji pěkný den
@ přesměrovaní – zkusil jsem nechat pravidlo v .htaccess a zapnout SSL v iThemes, vypadá to, že výsledky jsou stejné – ušetřil jsem plugin
@ Wordfence jsem vyhodil – stejně jsem s tou myšlenkou koketoval – jen si mě v tom utvrdil