От автора: в общем-то, WordPress – относительно простая в установке система, которую можно развернуть в короткие сроки. Однако вы можете непреднамеренно оставить уязвимости для хакеров. В файле «wp-config.php» хранятся ключевые настройки вашего сайта на WP, и очень важно как можно сильнее защитить этот файл от посторонних лиц. В этом видео из курса WordPress Secure Setup Guide вы узнаете, как максимально обезопасить файл wp-config.php.

Что хранится в файле wp-config.php

Если открыть wp-config.php, можно заметить, что там хранится достаточно важная информация. Во-первых, в нем содержится вся вводимая вами информация во время установки, которая дает доступ к базе данных.

Здесь можно найти название базы данных, имя пользователя, пароль – все, что необходимо для входа в базу данных. Как вы понимаете, крайне важно защитить этот файл, потому что если кто-то сможет прочитать его, то он получит доступ к базе данных и сможет вытворять там все, что душе угодно.

Эти ключи нужны для защиты вашего сайта. Еще ниже записан префикс таблиц, который также защищает ваш сайт.

Как защитить wp-config.php

Существует несколько шагов, которые необходимо выполнить, чтобы обезопасить этот файл.

1. Генерируем новые секретные ключи

Первым делом мы сгенерируем новые секретные ключи. Для этого можно зайти на secret key generator от WP. Вам нужно перейти по этой ссылке и обновить страницу, перед вами будут абсолютно новые ключи. Их можно скопировать в wp-config.php и заменить старые.

2. Перемещаем wp-config.php

Теперь мы переместим наш файл. По умолчанию он находится в корневой папке сайта. Если ваш сайт хранится на основном домене, папка будет называться «public HTML» или как-то по-другому, все зависит от того, как вы писали сайт. WP позволяет переместить файл конфигураций на один уровень выше, чтобы он не хранился в публичной папке.

Если вы работаете офлайн, можете просто перетащить файл мышкой. Если же сайт уже работает в сети, можете воспользоваться инструментом перемещения в файловом менеджере. Выберите файл wp-config.php, нажмите переместить и выберите новую папку.

Если с первого раза не получилось, можете поговорить с хостинг-провайдером и узнать у него, позволяют ли настройки сервера перемещать файл на уровень выше.

3. Запрещаем доступ к wp-config.php

Осталось сделать еще один шаг для защиты wp-config.php. Нам нужно создать файл htaccess в той же папке, где находится файл конфигураций, чтобы запретить всем доступ в wp-config.php.

Создайте файл htaccess в той же папке, где лежит файл wp-config. Просто так создать файл без расширения не получится, поэтому можно схитрить.

Если вы на Mac, создайте текстовый файл с именем htaccess.txt. Затем переименуйте файл, удалив расширение и поставив точку перед названием так, чтобы получилось.htaccess.

Мы еще не закончили, теперь необходимо кликнуть правой кнопкой мыши на файле в Finder’е, выбрать Get Info и обрезать расширение.txt в поле Name & Extension.

Теперь откройте файл в редакторе и скопируйте в него следующий код:

order allow,deny deny from all

(глава из будущей книги для новичков о создании сайта и заработке на нем)

Файл wp-config.php является очень важным для правильной работы WordPress. Я бы даже сказал – самым главным для работы блога на WordPress вообще. Я нисколько не преувеличиваю: я практически не соприкасался в работе с другими файлами, особенно в сателлитах. Поэтому название его — wp-config.php – надо выучить наизусть.

И еще один термин, с которым Вы будете постоянно соприкасаться – корневой каталог, или корень сайта . Что это? Откройте в Total Commander свой сайт. Зайдите в папку public_html и то, что Вы там видите (набор папок и файлов) это и есть корень сайта. Там же, в корне, лежит и нужный нам файл. Не видите? Правильно. Там лежит заготовка для него под названием wp-config-sample.php. Этот файл надо сначала отредактировать, а потом переименовать. Этим сейчас и займемся.

Вот корень сайта (нижняя часть):

Рис.1 (все рисунки кликабельны)

Один раз кликаем по этому файлу и нажимаем кнопку «А4 Правка». Открывается блокнот для редактирования NotePad++:

Если у Вас открывается обычный Блокнот, который входит в состав Windows, то имейте ввиду, что он совершенно не подходит для редактирования файлов. Вам нужен блокнот с функцией редактора, например, NoteRad++ или Notepad2. Они работают одинаково, но, не вдаваясь в детали, скажу: NotePad++ удобнее, поэтому мы будем пользоваться им. Сейчас Вам следует прервать работу над файлом и установить нужный блокнот. Как это сделать, читайте в статье.

Продолжим. Кликаете один раз по файлу wp-config-sample.php и нажимаете кнопку «F4 Правка». Откроется Notepad++ (см. рис. 2).

ВНИМАНИЕ! В нем надо менять только то и только так, как я скажу, иначе будет совсем плохо. Тем более, что сложного там ничего нет, надо только быть внимательным. Опускаем страницу блокнота чуть вниз:

Нам понадобится менять некоторые значения в строчках 21, 24,27 (показаны стрелками) — изменить внести (изменить) название базы данных, указать имя пользователя и пароль.

В строчке 21 нам надо вписать наименование созданной нами базы MySQL. В нашем примере это cl57942_test111. У вас, конечно, будет другое наименование.

В строке 24 – вписать пользователя, его можно взять в информационном письме хостера, у нас это — cl57942.

В строке 27 – вписать пароль базы данных.

Только, когда вписываете изменения, не удаляйте одиночные кавычки, они нужны.

В итоге должно получиться так.

Еще немного опустим страничку блокнота:

Надо изменить ключи аутентификации . Для этого кликните по этой ссылке — http://api.wordpress.org/secret-key/1.1/ . Откроется страница WordPress.org со сгенерированными ключами, которые будут изменяться при каждом обновлении страницы:

Аккуратно копируйте в каждой строчке ту часть, которая расположена между одиночными кавычками и вставляйте скопированное ранее вместо фразы «izmenite eto na unikalnuyu frazu» в соответствующей строке в файле.

Если Вы используете WordPress в официальной редакции, то у Вас картинка на мониторе будет отличаться от рис.5 – будет больше строчек с ключами и т.д. В общем-то делать надо все точно так, только ключи скачивать с другой страницы — https://api.wordpress.org/secret-key/1.1/salt/

Опускаем страницу еще ниже:

Сначала для облегчения нагрузки на сервер подключаем лайт- перевод , для этого закомментируем (заблокируем) строку 72, а потом раскомментируем (разблокируем) строку 73. Для этого в строке 72 надо поставить 2 косые черты и пробел перед началом строки, а в строке 73, наоборот, убираем косые строки и пробел. Результат виден на скриншоте ниже (см.рис.8).

Что делать тем, у кого эти строки выглядят по другому, точнее нет строки 73 (см.рис.7)? Значит, Вы скачали не WordPress в редакции Lecactus’a, в другой, скорее всего, официальный. Можете этот пассаж про комментирование – раскомментирование пропустить. Ничего страшного не случится, только Ваш WordPress будет работать медленнее. Но лучше всего скачайте WP в редакции Lecactus, пока Вы не увязли с головой в блоггинге:-), а находитесь только в начале пути. Тогда надо будет удалить старый WordPress с хостинга и закачать новый.

Теперь о строке 77. Она управляет автосохранениями , их периодичностью. WordPress, как, например, Word, включает через определенное время автосохранение сделанной Вами работы. Вообще-то это удобно, но дело в том, что Вы-то продолжаете работу, а WordPress останавливается – сохраняет ранее сделанное. А это не очень удобно. По умолчанию период автосохранения стоит 60 сек. Я ставлю период в 300 секунд. 5 минут, по моему, - нормальный период.

Теперь следующая строка – 78-ая. Она управляет количеством ревизий . Что это такое? Представьте, что пишите длинную статью прямо в блоге (это возможно) в течении нескольких дней. Написав 1 часть, Вы сохраняете сделанное (это – первая ревизия), сделали 2-ую часть – сохранили (2 ревизия) и т.д. Т.е. каждое изменение в статье, даже не такое глобальное, а просто исправление ошибок, увеличивает количество ревизий.

Все бы ничего, но это значит, что сколько было ревизий, столько вариантов статей хранит Ваш WordPress. Это касается каждой (!) статьи на сайте, а их у Вас может несколько сотен и тысяч. И во столько же раз увеличивается нагрузка на сервер (результат: хостер недоволен), WordPress становится неповоротливым и медленным (клиенты недовольны). Словом, лучше всего их отключить, поставив вместо 5 цифру 0.

В итоге у Вас должно получиться так:

БОЛЬШЕ НИЧЕГО В ЭТОМ ФАЙЛЕ НЕ ТРОГАЙТЕ!!!

Внеся изменения, сохраните их. Для этого нажмите на кнопку «Сохранить» в верхнем левом углу:

Сохранив изменения, закрывайте блокнот NotePad++. На мониторе появится Ваш Total Commander и Вы увидите окно:

Нажимаете «Да». Появится новое окно:

Нажимаете «Заменить». Измененный файл закачан на хостинг. Теперь файл wp-config-sample переименовать . Для этого щелкаете ПРАВОЙ кнопкой мыши по файлу и нажимаете «Переименовать»:

Файл приобретет вот такой вид:

Теперь аккуратненько устанавливаете курсор между последней буквой слова sample и следующей за ней точкой. Если точно на нужное место не попали, не расстраивайтесь, воспользуйтесь навигационными клавишами (со стрелочками вверх-вправо-влево-вниз, расположены обычно рядом с буквенной клавиатурой – справа от нее).С их помощью установите курсор на нужное место. После этого клавишей «Backspace» убирайте по одной буквы, пока не получится так:

Нажимаете «Enter».Total Commander автоматически исправит наименование файла на хостинге.

Все. Работа сделана. Вы даже не представляете себе, какое великое дело мы сейчас проделали. А действительно, какое? Мы связали наш WordPress с базами данных MySQL и теперь наш сайт может работать! При условии, что прописались DNS, конечно.

  • Перевод

Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress - при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.

Эта статья сфокусирована на вопросах усиления безопасности WordPress - как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin» , которое отображается только после авторизации . Мы сознательно выделили фразу "после авторизации " - вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.

Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.

1. Переименуйте папку wordpress.

Начиная с версии 2.6, стало возможным изменять путь к папке wp-content . К сожалению это до сих пор неприменимо к папке wp-admin . Думающие о безопасности блоггеры смирились с этим и стали надеяться, что это станет возможным в будущих версиях. Пока этого не случилось, предлагаем воспользоваться следующим альтернативным решением проблемы. После распаковки архива с файлами WordPress, вы увидите папку «WordPress» - переименуйте папку (в идеале во что-то непонятное вроде " wordpress_live_Ts6K" ) и после этого настройте соответственным образом файл wp-config.php , который находится в корневой директории.
Что нам даст это изменение?
  • Во-первых, все файлы WordPress не будут смешаны с другими файлами в корне сайта, таким образом мы повысим ясность корневого уровня.
  • Во-вторых, множество копий WordPress может быть установлено параллельно в папки с разными именами, исключая их взаимодействие, что делает это идеальным для тестирования
  • Третье преимущество напрямую касается безопасности: административная зона (и весь блог в целом) больше не находится в корневой папке и для проведения каких-либо действий по взлому сначала ее нужно будет найти. Это проблемно для людей, но что касается ботов - вопрос времени.

Несколько установленных версий в root-каталоге - это возможно!

Примечание: Если системные файлы WordPress больше не в корневой директории, и имя папки инсталяции изменено в соответствии с рекомендациями, описанными выше, блог будет все равно доступен по адресу wp-config.ru . Почему? Зайдите в раздел «Общие настройки (General settings)» вашего блога и введите в поле «WordPress address (URL)» реальный адрес блога на сервере, как показано в примере:

Адрес блога должен быть красивым и ненавязчивым

Это позволит блогу отображаться по красивому виртуальному адресу.

2. Усовершенствуйте файл wp-config.php

Конфигурационный файл WordPress wp-config.php содержит в себе некоторые настройки сайта и информацию для доступа к базе данных. Также там другие настройки, касающиеся безопасности (они представлены в списке ниже). Если таких значений в этом файле нет, или же имеются только установленные по умолчанию, вам необходимо, соответственно, добавить или изменить их:
  • Ключи безопасности: начиная с версии 2.7, в WordPress есть четыре ключа безопасности, которые должны быть правильно установлены. WordPress спасает вас от необходимости выдумывать эти строки самому, автоматически генерируя правильные ключи с точки зрения безопасности. Вам просто нужно вставить ключи в соответствующие строки файла wp-config.php. Эти ключи являются обязательными для обеспечения безопасности вашего блога.
  • Префикс таблицы заново установленного WordPress блога не должен быть стандартным «wp_» Чем больее сложным будет значение префикса, тем менее вероятна возможность несанкционированного доступа к таблицам вашей MySQL базы данных. Плохо: $table_prefix = "wp_"; . Намного лучше: $table_prefix = "wp4FZ52Y_"; Не стоит бояться забыть это значение - вам необходимо ввести его только один раз, больше оно вам не понадобится.
  • Если у вас на сервере доступно SSL шифрование , рекомендуется включить его для защиты административной зоны. Это можно сделать, добавив следующую команду в файл wp-config.php: define("FORCE_SSL_ADMIN", true);
Также вы можете регулировать другие системные настройки в конфигурационном файле. Четкий и исчерпывающий список доступных настроек доступен на странице Кодекса

Не пренебрегайте установкой правильных ключей безопасности!

3. Переместите файл wp-config.php

Также начиная с версии 2.6, WordPress позволяет перемещать файл wp-config.php на высший уровень. По причине того, что этот файл содержит в себе намного более важную информацию, чем какой либо другой, и потому что всегда намного сложнее получить доступ к корневой папке сервера, имеет смысл хранить его не в той же директории, где и остальные файлы. WortdPress автоматически обратится к высшей папке в поиске файла wp-config.php . Любые попытки пользователей самим настроить путь бесполезны.

4. Защитите файл wp-config.php

Не все ISP серверы позволят вам передавать данные на более высокие уровни, чем корневая директория. Другими словами, не у всех хватит прав для осуществления предыдущего шага. Или по другим причинам: например, если у вас несколько блогов, при определенной структуре папок у вас не получится положить в корень все файлы, так как их имена будут совпадать для каждого из блогов. В этом случае мы можем запретить доступ к файлу wp-config.php извне при помощи файла .htaccess . Вот код для этого:

# protect wpconfig.php
Order deny,allow deny from all

Очень важно убедиться, что файл .htaccess находится в той же директории что и файл wp-config.php .

5. Удалите учетную запись администратора.

Во время процесса установки WordPress создает учетную запись администратора с ником «admin» по умолчанию. С одной стороны это вполне логично, с другой - пользователь с известным ником, т.е. ID - 1, обладающий административными правами, является вполне предсказуемой мишенью для хакеров с их программами подбора паролей. Отсюда следует наш совет:
  • Создайте еще одного пользователя с административными правами и вашим ником.
  • Завершите сеанс работы.
  • Залогиньтесь под новым аккаунтом.
  • Удалите учетную запись "admin ".
Если у вас не новый блог и под учетной записью admin вы уже публиковали посты или комментарии, то из предложенных вариантов в момент удаления, выберите пункт «Связать все записи и ссылки с:» и выберите имя нового пользователя:

Примечание: В идеале желательно чтобы логин нового пользователя отличался от отображаемого имени пользователя в постах, чтобы никто не узнал ваш логин.

6. Выберите сильный пароль.

Вероятность и частота потенциальных атак прямо зависит от популярности блога. И желательно до этого момента быть уверенным, что в вашем сайте не осталось слабых звеньев в цепи безопасности.

Чаще всего именно пароли являются самым слабым звеном в этой цепи. Почему? Способы выбора пароля у большинства пользователей зачастую необдуманны и беспечны. Многие проведенные исследования показали, что большинство паролей - односложные существующие слова, набранные строчными буквами, которые не сложно подобрать. В программах подбора паролей существуют даже списки самых часто используемых паролей.

В WordPress реализован интуитивно понятный индикатор стойкости набираемого пароля, который показывает цветом его уровень сложности:

7. Защитите папку «wp-admin».

Следуя пословице «две головы лучше одной», существует способ вдвое усилить защиту административной зоны. Защита регулируется файлом .htaccess , который должен находится в папке «wp-admin» вместе с файлом .htpasswd , который хранит логин и пароль пользователя. После обращения к папке, вам нужно будет ввести логин и пароль, но разница в том, что в этом случае авторизация контролируется на стороне сервера, а не силами самого WordPress.

Для того чтобы просто и быстро сгенерировать файлы .htaccess и .htpasswd , воспользуйтесь этим сервисом .

8. Запретите отображение ошибок на странице авторизации.

Страница авторизации WordPress - это дверь в административную зону вашего блога, которая становится доступна после безошибочного прохождения верификации. У каждого пользователя существует бесконечное количество попыток авторизации, и каждый раз по умолчанию услужливый WordPress указывает, в чем именно была ошибка. То есть, если введенный логин окажется неверным - WordPress так и скажет. Это удобно для пользователя, но также и для хакера.

Несложно догадаться, как быстро сокращается вероятность подбора комбинации логина/пароля, когда система указывает что именно введено неверно. Простая строка кода, поможет решить эту проблему, достаточно добавить её в файл functions.php вашей темы:

Add_filter("login_errors",create_function("$a", «return null;»));

Изначальный/измененный вид страницы авторизации.

9. Ограничьте количество неудачных попыток авторизации.

WordPress не ведет статистику авторизаций, как удачных, так и нет. Это очень неудобно для администратора, так как у него нет возможности увидеть были ли попытки несанкционированного доступа, чтобы принять какие-либо меры, если они участятся. Предлагаем два решения: плагины

В пакете с WordPress (v3.4.1) поставляется 981 файл и 95 папок. Ни один из этих файлов не требует изменений вручную, кроме файла wp-config.php . Конечно, нам не нужно редактировать файл, если нас устраивает стандартная конфигурация WordPress, но весьма важно научиться работать с этим файлом, чтобы применить меры безопасности, трюки по ускорению работы сайта и другие штуки, которые мы изучим в этой статье.

Первое: бэкап!

Береженого бог бережет: сделайте резервную копию, прямо сейчас! Используйте встроенный экспорт страницы или используйте плагин, или сделайте бэкап через phpMyAdmin , но всегда оставляйте себе возможность отменить сделанное при настройке вашего сайта.

Ваши манипуляции могут повлиять на базу данных, но они не сделают ничего с какими-либо файлами кроме файла, с которым вы будете работать, так что сделайте бэкап wp-config.php , но если вы не делали копию ваших файлов больше, чем месяц, я бы посоветовал сделать это тоже. Частые бэкапы - это всегда хорошо.

Готовы? Поехали!

Скорость: Отключите сохраненные версии... Сейчас!

Функция сохранения версий записей включена по умолчанию, но может привести к значительному "раздуванию" базы данных. Сохраненные версии существуют для того, чтобы вы могли откатиться к предыдущей версии записи, если вам нужно. Если вы не планируете использовать сохранение версий чтобы проверять "ранние версии " ваших записей, вам точно следует отключить эту возможность, добавив этот код в wp-config.php :

define("WP_POST_REVISIONS", false);

Тем не менее, если вас устраивают версии, но вам не нужно бесконечное количество копий ваших измененных записей, вы можете ограничить количество сохраненных версий для каждого поста с помощью этой строки кода:

Define("WP_POST_REVISIONS", 2);

Скорость: Установите домен Cookie

Если вы обрабатываете статический контент (например, загрузки медиа) поддоменом, хорошей идеей будет установить "cookie domain ". Если вы сделаете это, cookies не будут отправляться каждый раз, когда запрашивается статический контент.

Define("COOKIE_DOMAIN", "www.yourwebsite.com");

Совет : чтобы обрабатывать медиа загрузки поддомена, просто укажите в последних двух текстовых полях на странице Media Options путь (например, /home/myblog/public_html/mysubdomain ) и URL (например http://mysubdomain.myblog.com/ ) вашего поддомена.

Скорость: Измените метод файловой системы

Если вы часто устанавливаете, обновляете или удаляете ваши плагины и темы, очень вероятно, что вы ненавидите ввод вашего FTP пароля каждый раз, когда вы что-то делаете. Приведенный ниже код упрощает это для вас, заставляя файловую систему использовать прямой запрос через PHP - другими словами, вам больше не нужно будет вводить FTP данные авторизации.

Define("FS_METHOD", "direct");

Пожалуйста, обратите внимание, что это может работать не со всеми хостинг-провайдерами, и даже если сработает, может вызвать проблемы с безопасностью на плохо настроенном хостинге. Так что убедитесь, что вы используете его на хорошем сервере.

Безопасность: Запрет доступа к файлу wp-config.php

Этот трюк требует редактирования не файла wp-config.php , а файла .htaccess в вашей корневой папке. Фактически он запрещает злоумышленникам загружать yourblog.com/wp-config.php через браузер:

# protect wpconfig.php order allow,deny deny from all

Просто добавьте это в ваш .htaccess файл и все готово!

Безопасность: SSL в панели администратора

SSL на вашем сервере включен? Отлично! Вы можете заставить WordPress использовать безопасное соединение при авторизации с помощью этой строки кода:

Define("FORCE_SSL_LOGIN", true);

И если вы очень подозрительны в плане безопасности (что на самом деле хорошо), вы можете заставить WordPress использовать SSL на каждой странице администратора, чтобы все, что вы делаете там, делалось через шифрованное соединение:

Define("FORCE_SSL_ADMIN", true);

Дополнительную информацию о том, как настроить SSL, вы можете найти в WordPress Codex на странице Administration Over SSL .

Безопасность: Изменение префикса базы данных

Если у WordPress есть дыра в безопасности, которая позволяет злоумышленникам использовать метод взлома, известный как "SQL инъекция ", они могут легко использовать стандартные префиксы таблиц вашей базы данных WordPress чтобы удалить их. Но если у вас префиксы таблиц отличные от стандартных (wp_ ), они не смогут их угадать, не так ли?

Так что, устанавливая новый сайт WordPress, смените значение по умолчанию на странице установки или смените следующую строку в файле wp-config.php :

$table_prefix = "wooh00yeah_";

Внимание : Если вы хотите заставить это работать на существующем сайте, вы не можете просто изменить префикс в файле wp-config.php - вы получите ошибки соединения с базой данных. Вам нужно использовать плагин, который изменит файл wp-config.php и таблицы базы данных, и некоторые значения внутри таблиц. Я рекомендую плагин DB Prefix Change .

Безопасность: Добавьте ключи безопасности… Сейчас!

Давайте просто прочтем в WordPress Codex :

Простыми словами, секретный ключ - это пароль с элементами, которые усложняют подбор достаточного количества вариантов для взлома. Пароль типа "пароль" или "тест" простой и может быть легко взломан. Чтобы подобрать случайный, непредсказуемый пароль типа "88a7da62429ba6ad3cb3c76a09641fc " потребуются годы.

Это одна из самых необходимых мер безопасности для WordPress - и это просто копирование и вставка случайно сгенерированного на этой странице контента в ваш файл wp-config.php . Самая сложная часть - это вставка стандартных, пустых значение этих констант и удаление их!

Другое: Изменение интервала автосохранения

Если вы иногда работаете над вашей записью 4 часа, вас может раздражать, что WordPress автоматически сохраняет запись каждые 60 секунд . Думаю, это не самая плохая штука, но иногда это очень, очень раздражает. В любом случае, если вы хотите установить для интервала автосохранения большее значение, вы можете сделать это, установив значение в файле wp-config.php вот так:

Define("AUTOSAVE_INTERVAL", 240); // the value should be in seconds!

Другое: Перенесите свой WordPress сайт легко

WordPress полон сюрпризов и это один из них. Если вам когда-то нужно будет перенести свой сайт на другой домен (или новый поддомен, или новую папку), определите эту константу в вашем файле wp-config.php перед переносом ваших файлов и базы данных:

Define("RELOCATE",true); // We"re not done yet!

После установки этой величины и переноса ваших файлов и базы данных, авторизуйтесь с вашими данными WP на yournewwebsite.com/login.php и после этого проверьте, изменился ли домашний URL на странице Общих настроек. После подтверждения изменений, удалите эту константу из вашего файла wp-config.php . Этот простой трюк в WordPress убережет вас от редактирования базы данных вручную.

Совет : хотя это буквально "переносит" ваш сайт, оно не влияет на жестко закодированные ссылки в вашем контенте. Чтобы изменить их, вы должны использовать плагин типа Search Regex и заменить старые ссылки новыми.

Другое: Отключите редактирование файлов плагина и темы

Если вы веб-дизайнер и используете WordPress для сайтов ваших клиентов, возможно, вы захотите отключить редактирование файлов тем и плагинов, добавив следующую константу:

Define("DISALLOW_FILE_EDIT",true);

Более того, вы можете также отключить установку новых тем и плагинов, и их обновление:

Define("DISALLOW_FILE_MODS",true);

Просто помните, что обновление темы и плагина часто очень важны, когда они исправляют дыры в безопасности. Так что если вы собираетесь отключить обновление и установку новых плагинов / тем, вам нужно следить за обновлениями другим способом.

Другое: Включение WP_DEBUG при разработке

Это просто: если вы разрабатываете плагин или тему, хорошо будет включить возможность отладки в WordPress чтобы видеть, какие уведомления и предупреждения вы получаете:

Define("WP_DEBUG",true);

Иногда это просто замечательно, видеть, какие простые ошибки вы можете сделать при разработке!

Содержит параметры взаимодействия сайта с базой данных и ресурсами хостинга, ключи безопасности, а также функции включения отладки. wp-config.php находится в корневой папке ресурса, размещенного на сервере. После копирования содержимого архива платформы, имеет название wp-config-sample.php. Его переименовывают по завершении редактирования – убирают последнее слово.

Основные настройки

WordPress файл конфигурации, при первичной установке системы, служит для внесения данных MySQL, секретных ключей и префикса таблиц. Первоначально заполняются поля, связывающие платформу с БД. Имя базы данных: Пароль базы данных: Кодировка MySQL: (в случае, когда кодировка базы отличается от кодировки сайта)

define (‘DB_CHARSET’ , ‘utf8’ );
На этапе создании БД следует сохранить указанные данные для дальнейшего внесения в wp-config.php. Файл может быть отредактирован на компьютере или сервере через FTP-клиент (FileZilla, Total Commander, файловый менеджер панели хостинга). Перейдя в консоль, будет продолжена установка CMS и сайт будет успешно работать.
Для продвинутых вебмастеров, которые стараются получить максимальную безопасность и скорость работы ресурса, имеется ряд дополнительных возможностей файла конфигурации WordPress.

Расширенные параметры

Прежде чем приступить к модернизации содержимого wp-config.php, необходимо создать его и файла БД резервную копию. Обеспечив защиту своего ресурса от возможных ошибок и сбоев, а затем можно приступать к обзору дополнительных функций.

Особенности команд:

Изменение префикса базы данных в файле wp-config.php

Опция актуальна при наличии ограничений хостинга по количеству используемых баз данных. Функция позволит применять одну БД для нескольких сайтов, однако рекомендуется не больше двух. Устанавливая еще одну CMS WordPress в отдельную папку, в файле конфигурации указываются параметры имеющейся базы, лишь в строке изменения префикса ($table_prefix = ‘wp_’;) следует указать новый, используя цифры и латинские буквы в нижнем регистре. После изменения wp-config.php, файлы загружаются на хостинг.

Рекомендуется изменить стандартный префикс (wp_) на начальном этапе создания проекта, для улучшения безопасности ресурса. Такая манипуляция не является обязательной и используется вебмастерами достаточно редко.

Добавление ключей безопасности

После списка параметров с основными настройками системы, имеется ряд строк с возможностью внесения уникальных ключей для аутентификации. Подбирается случайным образом на специальной странице. В файл конфигурации WordPress данные пароли вносят один раз, тем самым убирая значительную уязвимость безопасности.

Работа с автоматическим сохранением записей

Система использует несколько функций для автоматического сохранения изменений в статье и ее копиях при повторном редактировании. Применяя следующие коды в wp-config.php, можно настроить автосохранение. Отключение сохранения записей: Включение интервала автосохранения статьи (в секундах): Для включения безопасного соединения на всех страницах администратора, вносят строку: Стандартное значение равно 32 Мб, можно установить любое допустимое хостингом. При подобных манипуляциях следует проконсультироваться с администрацией провайдера.

Небольшие доработки

Настройку файла конфигурации можно дополнить несколькими незначительными функциями, которые будут полезны для отдельных проектов.