Zdravím, rád bych se s Vámi podělil se svými zkušenostmi, jak instaluji trochu paranoidní web – někdy to je hold nezbytné.
V první řadě používám šablonu DIVI, pomocí které se dá stavět na zelené louce – i když existují přednastavené šablony, ale i když jsem jich pár vyzkoušel, stejně jsem je překopal k obrazu zákazníkovu – ovšem nepopírám, že to je výborný výukový materiál.
Dále se zmíním o bezpečnostních pluginech a pár tricích – nebudu zde rozebírat, jak se který plugin nastavuje, hodně se toho dá najít pomocí Google, případně čerpám z webu www.wplama.cz

Takže jdeme na to:

• Nejdříve nainstaluji DIVI šablonu
• Pak DIVI Child od WP Lama
• Odstraním příspěvek Ahoj světe!!!
• Přejmenuji Zkušební stránku na Domů (včetně url na domu) a nastavím ji jako domovskou stránku pomocí Nastavení >> Zobrazování

• Nastavím Let’s Encrypt certifikát – dodá poskytovatel webhostingu
• Nastavím Really Simple SSL, který vloží záznam do .htaccess a dělá ještě něco, co nevím, protože samotný zápis v .htaccess moc nepomáhá

• Theme My Login 6.4.17 – kvůli češtině (není nutné)
• Theme My Login 6.4.16 – nevyžaduje aktualizaci na v 7.x, který je už placený
• Deaktivují a smažu Theme My Login 6.4.17
• – Nastavím Custom Redirection, Security, Themed Profiles, User Moderation
• – V Security (Zabezpečení) zakážu wp-login.php
• – V Themed Profiles (Nastavení profilů … jako šablona) zakážu přístup do administrace skupinám, které se nebudou podílet na chodu webu – POZOR na jednom webu jsem odstříhl chudáka šéfredaktora.
• – V User Moderation (Kontrola) nastavím Schválení administrátorem
• Nastavím stránky pro tento plugin:

• Všude se nastaví stránku po celé šířce (u DIVI není nutné) a já ještě přidávám jako pozadí obrázek a v style.css nastavím vlastní styl formuláře, ať se při přihlašování koukám na něco hezkého – viz titulní fotka
• Navíc stránku Přihlásit se (login) ještě přejmenuji, abych ztížil případný útok a v menu na pravé straně odhlásím stránku z typu “Přihlásit se”, pouze nechám shortcode v textu.

• Tím zabráním přihlášení pomocí www.domena.tld/wp-admin a musím použít přesně definovanou adresu k přihlašovací stránce – pokud ji zapomenu, stačí pomocí FTP přejmenovat plugin Theme My Login a přihlásit se klasicky pomocí /wp-admin.
• Pomocí pluginu Redirection přesměruji /wp-login.php.* (regulární výraz) třeba na úvodní stránku – znalci .htaccess to mohou zakomponovat přímo tam:

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^wp-login.php$ https://%{HTTP_HOST}/ [NC,L]
</IfModule>

• Pro jednodušší přihlášení do patičky stránky se může vložit Login Logout Register Menu, které lze v nastaveních směřovat na různé stránky – ale nemusí tam být, pokud opravdu chcete skrýt skutečnou cestu k přihlašovací stránce

• Plugin 404 to 301 odchytí všechny 404 chyby a přesměruje stránky na předem určený cíl což je dobré pro SEO a může Vám o tom odeslat email

• Nainstalujeme a nastavíme pluginy Autoptimize a WP Fasest Cache
• U Autoptimize ignoruji nastavení JS, protože pokud mám na stránce animace, tak mi přestanou fungovat. Jinak u WP Fasest Cache lze zaškrtnout všechny políčka – včetně English, jinak to na Vás začne mluvit Čínsky.
• Pokud si nebudete vědět rady, tak pomocí Google najdete odpovědi, jak a kde co nastavit.
• POZOR, pokud budete měnit něco přímo ve scriptech PHP, nezapomeňte vypnout cache, jinak se budete divit, proč se změny neprojevují!!!

•  Před započetím vytváření stránek a příspěvku ještě nainstalujte a aktivujte All In One SEO, urychlí Vám to nastavování SEO a Facebook OpenGraph rovnou při tvorbě stránek – někdo má raději Yoast SEO

• Před spuštěním webu zprozněte iThemes Security (někdo dává přednost SUCURI nebo oba kombinuje, ale já mu nepřišel na chuť) a Wordfence Security – firewall a odchytává nepovolené přihlašování, nastavení opět najdete na Google – pro iThemes je pěkný článek na wplama.cz

Jako pomocné pluginy ještě používám:

• AddToAny Share Buttons – přidá sociální ikony pro sdílení obsahu
• DIVI Alt Text – užitečný nástroj, vloží do kódu alt k obrázkům pomocí nastavení v médiich – není součástí distribuce a musíte si jej vygooglit
• Duplicator – jednoduchý převod webu na jiný hosting – nefunguje převod z MySQL na MariaDB, neřešil jsem proč.
• Hide Page and Post Title – využiji v podstatě jenom u logovacích stránek – není nutný, protože DIVI si řeší titulky stánek po svém
• IngiteUp – velice šikovný pomocník, pokud hodláte na ostrém webu dělat rozsáhlé úpravy – nejlépe v noci o víkendu – běžnemu návštěvníkovi se zbrazí informační stránka, že se na webu pracuje
• MainWP – MainWP Child – vzdálená centrální správa více webových stránek
• UpDraftPlus – Backup / Restore – zálohování stránek – lze nastavit zálohy na lokál i na cloud, ručně nebo automaticky nebo vzdáleně pomocí MainWP

Co tím vším získám – vysoce paranoidní stránky, do kterých se přihlásím pouze pomocí známé adresy – třeba https://domena.tld/xyz, vše ostatní bude přesměrováno na titulní stránku – například.

Pozor při nastavování u Wordfence zakázaných loginů – admin, root jsou jasné, ale třeba odvozenina vašeho skutečného loginu (stačí jenom jeho část) vás dokonale odstřihne od administrace. Doporučuji používat admin login odlišný od vašeho skutečného jména, a jména, která se budou objevovat v příspěvcích, prostě zablokovat.

A jako samozřejmost optimalizace fotografií ještě před vložením do stránek – hodně to urychlí načítání na desktopu. Pro mobilní zařízení se o miniatury stará Autoptimize, kde v sekci CSS nastavíte, aby se miniatury načetli přímo do css.

Případné reakce prosím do komentářů.

Děkuji, Standa Kremeň.

P.S. Pomocí těchto technik se mi podařilo na https://tools.pingdom.com/#599e62fee2400000 dostat i pod jednu vteřinu – někdy je potřeba vyzkoušet Londýn i Frankfurt.