Файл wp-config.php представляет собой конфигурационный файл, который позволяет определять все важные параметры для WordPress. При первой установке WordPress вы загружаете стандартный файл wp-config-sample.php, который затем вам понадобится изменить и переименовать в wp-config.php. Начиная с этого момента, вы можете вносить в него любые изменения.
Заботимся о безопасности
Есть два способа защитить свой файл wp-config.php от посторонних вмешательств. С одной стороны, вы можете просто переместить файл wp-config.php за пределы папки public_html, в главный корневой каталог вашего хостинга. Таким образом, этот файл становится вне досягаемости для посетителей. С другой стороны, вы можете использовать.htaccess, чтобы оградить доступ к wp-config.php. Для этого необходимо вставить в него следующий код:
Персональные настройки
Устанавливаем свою домашнюю страницу
Вы можете перезаписать значения, установленные в General Settings, указав Site URL и Blog URL в wp-config.php. Для этого можно использовать следующие определения:
Define("WP_SITEURL", "http://example.com/"); define("WP_HOME", "http://example.com/wordpress");
Изменение интервала автосохранения
По умолчанию WordPress производит автосохранение нового текста каждые 60 секунд, но вы всегда можете изменить этот интервал с помощью следующего определения (значение задается в секундах):
Define("AUTOSAVE_INTERVAL", 240);
Настройка ревизий для записей
WordPress позволяет сохранять несколько последних копий всех записей, чтобы в том случае, если вы сделали какую-нибудь ошибку, вы могли быстро вернуться к более старой версии. Вы можете либо отключить эту опцию (что позволяет уменьшить размер базы данных), либо установить максимальное количество версий, которое должен хранить WordPress:
Define("WP_POST_REVISIONS", 3); define("WP_POST_REVISIONS", false);
Режим отладки
Если вы столкнулись с некоторыми проблемами, связанными с сайтом, или вы разрабатываете какой-либо плагин или тему, вы можете включить режим отладки, который выдаст на экран сообщения об ошибках. По умолчанию режим отладки выключен, таким образом, вы можете легко включить его при желании:
Define("WP_DEBUG", true);
Увеличиваем лимит памяти PHP .
Довольно частая проблема, с которой сталкиваются пользователи WordPress, связана с исчерпанием PHP памяти, что происходит при интенсивном выполнении задач. Вы можете установить лимит памяти для WordPress с помощью следующего определения (в нем можно менять значение):
Define("WP_MEMORY_LIMIT", "128M");
Изменение языка WordPress
Если английский не является вашим основным языком, вы можете изменить его в WordPress. Для этого необходимо использовать один из языковых кодов:
Define("WPLANG", "de_DE");
Перезапись стандартных прав доступа
Если ваш хост устанавливает слишком жесткие права доступа к файлам, или вы просто хотите изменить их в стандартном WordPress, вы можете задать их с помощью следующих определений:
Define("FS_CHMOD_DIR", (0755 & ~ umask())); define("FS_CHMOD_FILE", (0644 & ~ umask()));
Очищаем корзину
По умолчанию WordPress автоматически удаляет любые записи, помеченные как мусор, после тридцати дней, однако вы можете определить число дней, сколько запись будет валяться в коризне до ее удаления. Либо вы можете вообще отключить корзину, если установите значение 0.
Define("EMPTY_TRASH_DAYS", 60);
Автоматическое восстановление базы данных
WordPress обладает встроенной возможностью, которая позволяет производить автоматическое восстановление в том случае, если база данных была повреждена. Если вы столкнулись с проблемами со своей базой данной, вы можете установить следующее определение:
Define("WP_ALLOW_REPAIR", true);
Ограничение по редактированию и установке плагинов/тем
Если вы хотите отключить возможность устанавливать и удалять темы или плагины, вы можете использовать следующие определения. Первое из них отключит редактирование, но позволит установку и обновление тем/плагинов, а второе отключит все эти функции:
Define("DISALLOW_FILE_EDIT",true); define("DISALLOW_FILE_MODS",true);
По материалам www.doitwithwp.com.
(глава из будущей книги для новичков о создании сайта и заработке на нем)
Файл wp-config.php является очень важным для правильной работы WordPress. Я бы даже сказал – самым главным для работы блога на WordPress вообще. Я нисколько не преувеличиваю: я практически не соприкасался в работе с другими файлами, особенно в сателлитах. Поэтому название его — wp-config.php – надо выучить наизусть.
И еще один термин, с которым Вы будете постоянно соприкасаться – корневой каталог, или корень сайта . Что это? Откройте в Total Commander свой сайт. Зайдите в папку public_html и то, что Вы там видите (набор папок и файлов) это и есть корень сайта. Там же, в корне, лежит и нужный нам файл. Не видите? Правильно. Там лежит заготовка для него под названием wp-config-sample.php. Этот файл надо сначала отредактировать, а потом переименовать. Этим сейчас и займемся.
Вот корень сайта (нижняя часть):
Рис.1 (все рисунки кликабельны)
Один раз кликаем по этому файлу и нажимаем кнопку «А4 Правка». Открывается блокнот для редактирования NotePad++:
Если у Вас открывается обычный Блокнот, который входит в состав Windows, то имейте ввиду, что он совершенно не подходит для редактирования файлов. Вам нужен блокнот с функцией редактора, например, NoteRad++ или Notepad2. Они работают одинаково, но, не вдаваясь в детали, скажу: NotePad++ удобнее, поэтому мы будем пользоваться им. Сейчас Вам следует прервать работу над файлом и установить нужный блокнот. Как это сделать, читайте в статье.
Продолжим. Кликаете один раз по файлу wp-config-sample.php и нажимаете кнопку «F4 Правка». Откроется Notepad++ (см. рис. 2).
ВНИМАНИЕ! В нем надо менять только то и только так, как я скажу, иначе будет совсем плохо. Тем более, что сложного там ничего нет, надо только быть внимательным. Опускаем страницу блокнота чуть вниз:
Нам понадобится менять некоторые значения в строчках 21, 24,27 (показаны стрелками) — изменить внести (изменить) название базы данных, указать имя пользователя и пароль.
В строчке 21 нам надо вписать наименование созданной нами базы MySQL. В нашем примере это cl57942_test111. У вас, конечно, будет другое наименование.
В строке 24 – вписать пользователя, его можно взять в информационном письме хостера, у нас это — cl57942.
В строке 27 – вписать пароль базы данных.
Только, когда вписываете изменения, не удаляйте одиночные кавычки, они нужны.
В итоге должно получиться так.
Еще немного опустим страничку блокнота:
Надо изменить ключи аутентификации . Для этого кликните по этой ссылке — http://api.wordpress.org/secret-key/1.1/ . Откроется страница WordPress.org со сгенерированными ключами, которые будут изменяться при каждом обновлении страницы:
Аккуратно копируйте в каждой строчке ту часть, которая расположена между одиночными кавычками и вставляйте скопированное ранее вместо фразы «izmenite eto na unikalnuyu frazu» в соответствующей строке в файле.
Если Вы используете WordPress в официальной редакции, то у Вас картинка на мониторе будет отличаться от рис.5 – будет больше строчек с ключами и т.д. В общем-то делать надо все точно так, только ключи скачивать с другой страницы — https://api.wordpress.org/secret-key/1.1/salt/
Опускаем страницу еще ниже:
Сначала для облегчения нагрузки на сервер подключаем лайт- перевод , для этого закомментируем (заблокируем) строку 72, а потом раскомментируем (разблокируем) строку 73. Для этого в строке 72 надо поставить 2 косые черты и пробел перед началом строки, а в строке 73, наоборот, убираем косые строки и пробел. Результат виден на скриншоте ниже (см.рис.8).
Что делать тем, у кого эти строки выглядят по другому, точнее нет строки 73 (см.рис.7)? Значит, Вы скачали не WordPress в редакции Lecactus’a, в другой, скорее всего, официальный. Можете этот пассаж про комментирование – раскомментирование пропустить. Ничего страшного не случится, только Ваш WordPress будет работать медленнее. Но лучше всего скачайте WP в редакции Lecactus, пока Вы не увязли с головой в блоггинге:-), а находитесь только в начале пути. Тогда надо будет удалить старый WordPress с хостинга и закачать новый.
Теперь о строке 77. Она управляет автосохранениями , их периодичностью. WordPress, как, например, Word, включает через определенное время автосохранение сделанной Вами работы. Вообще-то это удобно, но дело в том, что Вы-то продолжаете работу, а WordPress останавливается – сохраняет ранее сделанное. А это не очень удобно. По умолчанию период автосохранения стоит 60 сек. Я ставлю период в 300 секунд. 5 минут, по моему, - нормальный период.
Теперь следующая строка – 78-ая. Она управляет количеством ревизий . Что это такое? Представьте, что пишите длинную статью прямо в блоге (это возможно) в течении нескольких дней. Написав 1 часть, Вы сохраняете сделанное (это – первая ревизия), сделали 2-ую часть – сохранили (2 ревизия) и т.д. Т.е. каждое изменение в статье, даже не такое глобальное, а просто исправление ошибок, увеличивает количество ревизий.
Все бы ничего, но это значит, что сколько было ревизий, столько вариантов статей хранит Ваш WordPress. Это касается каждой (!) статьи на сайте, а их у Вас может несколько сотен и тысяч. И во столько же раз увеличивается нагрузка на сервер (результат: хостер недоволен), WordPress становится неповоротливым и медленным (клиенты недовольны). Словом, лучше всего их отключить, поставив вместо 5 цифру 0.
В итоге у Вас должно получиться так:
БОЛЬШЕ НИЧЕГО В ЭТОМ ФАЙЛЕ НЕ ТРОГАЙТЕ!!!
Внеся изменения, сохраните их. Для этого нажмите на кнопку «Сохранить» в верхнем левом углу:
Сохранив изменения, закрывайте блокнот NotePad++. На мониторе появится Ваш Total Commander и Вы увидите окно:
Нажимаете «Да». Появится новое окно:
Нажимаете «Заменить». Измененный файл закачан на хостинг. Теперь файл wp-config-sample переименовать . Для этого щелкаете ПРАВОЙ кнопкой мыши по файлу и нажимаете «Переименовать»:
Файл приобретет вот такой вид:
Теперь аккуратненько устанавливаете курсор между последней буквой слова sample и следующей за ней точкой. Если точно на нужное место не попали, не расстраивайтесь, воспользуйтесь навигационными клавишами (со стрелочками вверх-вправо-влево-вниз, расположены обычно рядом с буквенной клавиатурой – справа от нее).С их помощью установите курсор на нужное место. После этого клавишей «Backspace» убирайте по одной буквы, пока не получится так:
Нажимаете «Enter».Total Commander автоматически исправит наименование файла на хостинге.
Все. Работа сделана. Вы даже не представляете себе, какое великое дело мы сейчас проделали. А действительно, какое? Мы связали наш WordPress с базами данных MySQL и теперь наш сайт может работать! При условии, что прописались DNS, конечно.
Файл wp-config.php – самый важный файл при установке WordPress. Он является основным конфигурационным файлом Вашего сайта, управляет ключевыми аспектами функциональных возможностей WordPress и предоставляет WordPress’у данные для решения ответственных задач, типа коннекта с базой данных.
Без файла wp-config.php WordPress просто не будет работать. Поэтому, всякий раз, когда Вы устанавливаете WordPress, одна из первых задач, которые необходимо выполнить, это подготовить Ваш файл wp-config.php.
В общем, все довольно просто – достаточно указать Ваши параметры базы данных MySQL, и готово. Другие параметры настройки, доступные в файле wp-config.php, будут работать по умолчанию. Но есть некоторые вещи, которые Вы можете сделать, чтобы настроить функциональные возможности, повысить безопасность и улучшить работу Вашего сайта.
Если мы посмотрим на те файлы, которые входят в состав дистрибуции WordPress, то файла wp-config.php мы там не найдем. Зато есть файл wp-config-sample.php. Именно этот файл и надо взять за основу, добавить в него необходимые параметры, и сохранить в главном каталоге установки WordPress под именем wp-config.php.
В качестве следующего шага можно обезопасить этот файл от возможности несанкционированного доступа к нему на сайте. Для этого в файл.htaccess, который расположен на сервере в том же каталоге, куда устанавливается WordPress, надо добавить следующие строчки:
Order Allow,Deny
Deny from all
Убедитесь, что права доступа к обоим этим файлам – chmod 640 . Это запрещает доступ к ним по внешним запросам, при этом выдается код 403- Forbidden .
Основные настройки
Вначале следует указать параметры базы MySQL, которую Вы создали для своего сайта.
// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define("DB_NAME", "database_name_here
");
/** MySQL database username */
define("DB_USER", "username_here
");
/** MySQL database password */
define("DB_PASSWORD", "password_here
");
/** MySQL hostname */
define("DB_HOST", "localhost
");
Тут все ясно – просто указываете имя базы данных (при этом не забудьте о том, что на Вашем сервере к имени, которое Вы выбрали, впереди добавляется префикс, совпадающий с Вашим именем аккаунта на хостинге), а также имя пользователя (помним о префиксе впереди!), и пароль для данного пользователя.
Например, если имя Вашего аккаунта – simple , а имя базы данных, которое Вы задали при создании – wpbase , то в качестве имени базы данных необходимо указывать simple _ wpbase .
Все эти параметры указываются в нешифрованном виде, как есть. Поэтому так важно предохранить данный файл от несанкционированного доступа извне.
В качестве имени хоста (hostname) обычно указывается localhost, так что тут менять ничего не надо. На некоторых хостах, тем не менее, могут использоваться другие значения. Так что, если этот вариант работать не будет, Вам нужно будет связаться с хостером и узнать о действующих у него правилах.
/** Database Charset to use in creating database tables. */
define("DB_CHARSET", "utf8");
/** The Database Collate type. Don"t change this if in doubt. */
define("DB_COLLATE", "");
Как правило, таблица utf-8 в наилучшей степени подходит в качестве кодовой таблицы WordPress, так как она мультиязычна. В любом случае, не меняйте эти строки без особой необходимости.
Более специфическими параметрами являются так называемые уникальные ключи аутентификации
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing
cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define("AUTH_KEY", "put your unique phrase here");
define("SECURE_AUTH_KEY", "put your unique phrase here");
define("LOGGED_IN_KEY", "put your unique phrase here");
define("NONCE_KEY", "put your unique phrase here");
define("AUTH_SALT", "put your unique phrase here");
define("SECURE_AUTH_SALT", "put your unique phrase here");
define("LOGGED_IN_SALT", "put your unique phrase here");
define("NONCE_SALT", "put your unique phrase here");
/**#@-*/
Эти ключи влияют на файлы cookies, которые записываются на компьютеры посетителей сайта. Считается, что каждое значение должно быть уникальным и достаточно большим по размерам. Однако, Вам нет надобности ломать голову о том, какие значения выбрать. Достаточно воспользоваться сервисом, адрес которого указан здесь же, а именно https://api.wordpress.org/secret-key/1.1/salt/
Обратившись по данному адресу, Вы получите восемь строчек с уникальными ключами. Вы можете просто скопировать их и заменить исходные строки в файле wp-config.php.
/**
* WordPress Database Table prefix.
*
* You can have multiple installations in one database if you give each a unique
* prefix. Only numbers, letters, and underscores please!
*/
$table_prefix = "wp_";
По умолчанию, этот префикс – “wp_”. Можно его не менять. Но если Вас беспокоят вопросы обеспечения безопасности, то лучше его изменить. Потому что все хакерские боты и скрипты обычно настроены на стандартные умолчания. Установив свое значение, Вы затрудните задачу хакеров. Чем более случайным и уникальным будет значение, тем лучше. Можно использовать для этого какой-нибудь сервис генерации паролей, например тот, что имеется на хостах с CPanel, или любой другой. И тогда вместо “wp_“ Вы получите что-то вроде “cDEo3jDf_”.
Наконец, строка языковой настройки.
/**
* WordPress Localized Language, defaults to English.
*
* Change this to localize WordPress. A corresponding MO file for the chosen
* language must be installed to wp-content/languages. For example, install
* de.mo to wp-content/languages and set WPLANG to "de" to enable German
* language support.
*/
define ("WPLANG", "");
Многие считают, что для того, чтобы WordPress говорил по-русски, нужна специальная локализованная дистрибуция. Конечно, специальная дистрибуция не помешает. Но можно обойтись и без нее. Достаточно в настройках для языка задать значение ‘ru’.
Дополнительные настройки
1) Ревизии записей
Последние версии WordPress поддерживают систему ревизий, которая позволяет пользователям сохранять различные версии их постов на блоге и даже возвращаться к ранее сохраненным версиям в случае необходимости. Независимо от того, нравится Вам такая возможность, или нет, вот несколько параметров конфигурации, которые могут оказаться для Вас полезными.
// Limit the number of saved revisions
define("WP_POST_REVISIONS", 3); // any integer, but don"t go crazy
// Disable the post-revisioning feature
define("WP_POST_REVISIONS", false); // kill the bloat
Первое из этих определений позволяет ограничить количество ревизий заданным числом. Второе вообще отменяет ревизии для Вашего сайта.
2) Интервал автосохранения
По умолчанию WordPress сохраняет Вашу работу каждые 60 секунд. Но с помощью соответствующего параметра в wp-config.php это можно изменить. Например, так:
define("AUTOSAVE_INTERVAL", 180); // in seconds
Здесь число – это интервал автосохранения в секундах.
3) Корзина
Начиная с версии WordPress 2.9, все удаленные записи, будь то посты или комментарии, попадают в так называемую «корзину», которая по умолчанию освобождается каждые 30 дней. Но можно задать и другой интервал, например, недельный:
define("EMPTY_TRASH_DAYS", 7); // empty weekly
Если в качестве параметра поставить цифру 0, то все записи будут удаляться сразу же, без попадания в корзину.
4) Блокировка внешних запросов
Если Вы не хотите, чтобы в админпанели выдавались сообщения WordPress о новых плагинах, ссылках на Ваш блог, и другая подобная информация, чтобы сайт не принимал пингбэки и трекбэки, то для этого можно использовать параметр
define("WP_HTTP_BLOCK_EXTERNAL", true);
При этом все запросы с Вашего сайта вовне блокируются.
Если Вы все же хотите, чтобы можно было посылать запросы к некоторым URL, то эти адреса следует указывать в параметрах, например:
define("WP_ACCESSIBLE_HOSTS", "rpc.pingomatic.com");
5) Адрес WordPress и адрес сайта
Эти параметры можно указывать в настройках админпанели. Но можно и в файле wp-config.php.
define("WP_HOME", "http:// bizsoftlab.ru "); // no trailing slash
define("WP_SITEURL", "http://bizsoftlab.ru"); // no trailing slash
Однако после этого Вы не сможете изменять их в админпанели.
6) Отладка WordPress
Этот режим позволяет выводить предупреждающие сообщения при работе системы WordPress.
define("WP_DEBUG", true); // debugging mode: "true" = enable; "false" = disable
По идее, он должен использоваться при разработке новых плагинов и тем WordPress. Однако разработчики редко пользуются этой возможностью. В результате, если Вы включите данный режим, то будете удивлены обилием различных предупреждающих и ошибочных сообщений даже от самых популярных плагинов.
Но сообщения об ошибках можно перенаправить в отдельный файл, чтобы затем анализировать его на досуге.
@ini_set("log_errors","On");
@ini_set("display_errors","Off");
@ini_set("error_log","/home/path/domain/logs/php_error.log");
Для файла ошибок надо задать соответствующие права доступа, чтобы он был доступен для записи.
Анализ файла ошибок позволит вовремя отслеживать проблемы с Вашим сайтом, если они возникнут.
7) Увеличение памяти PHP
Если Вы получаете сообщение об ошибке “Allowed memory size of xxx bytes exhausted”, то это означает, что для работы PHP на сервере не хватает памяти. В этом случае размер памяти можно увеличить:
define("WP_MEMORY_LIMIT", "64M");
По умолчанию значение равно 32М, поэтому есть смысл задавать только то, что больше, например, 64М, 96М, 128М.
Правда, не все хосты позволяют это делать. Поэтому при необходимости Вам, возможно, придется договариваться со своим хостером.
Есть и другие параметры, которые можно задавать в файле wp-config.php. Все они приведены в Codex’е разработчиков WordPress. Но даже этих вполне достаточно, чтобы можно было значительно расширить возможности настройки Вашего сайта.
Когда вы устанавливаете WordPress с помощью мастера установки, то вам будет необходимо выбрать префикс таблицы. Что хранится в wp-config.php файл как:
DEFINE ("WPLANG",""); DEFINE ("LANGDIR","");
Языковой файл перевода (.мо) должен быть помещён по умолчанию в папку, которая должна быть по адресу wp-content/language, а затем wp-include/language. Но исходя из функции выше вы можете определить свой собственный каталог.
Отладка wordpress
WordPress имеет удивительную особенность отладки, которая позволяет находить ошибки и устаревшие функции. По умолчанию эта функция отключена, но её можно активизировать.
define(‘WP_DEBUG’, false); // отключить режим отладки по умолчанию define(‘WP_DEBUG’, true); // включить режим отладки
Адрес сайта
Добавив следующие строки в свой wp-config вы уменьшите количество запросов к базе данных, за счёт того что склеите адрес главной страницы и url сайта и таким образом увеличите скорость загрузки вашего блога.
DEFINE ("FS_CHMOD_FILE", 0755); DEFINE ("FS_CHMOD_DIR", 0644);
Сообщение Пересмотры
В последних версиях wordpress появилась удивительная функция auto-save. Она автоматически сохраняет ваш пост если вы его ещё не закончили писать, к примеру у вас завис браузер или вы случайно закрыли его или вырубили свет. Так же она позволяет восстанавливать предыдущие версии постов, мало ли что вы в них писали. Многие из нас обожают эту функцию, но некоторые просто ненавидят её. Функция auto-save имеет множество конфигурации, так что вы можете натсроить е под себя.Auto-Save Configuration
По умолчанию WordPress сохраняет сообщения каждые 60 секунд, но если вы думаете, что это слишком много, то вы можете изменить его, по вашему желанию:
DEFINE ("WP_POST_REVISIONS, false);
Корзина в WordPress (Trash)
Начиная с версии 2.9 в ядро была добавлена новая функция Корзина “Trash”. Она предназначена для того чтобы не удалять навсегда не дописанные или случайно удалённые посты. Плохая сторона этой функции заключается в том что мы должны чистить корзину регулярно так как мусор восстанавливается из корзины каждые 30 дней. Вы можете изменить это значения используя следующую функцию:
DEFINE ("EMPTY_TRASH_DAYS", 7); / / целое количество дней Если вам не нравится эта функция, то ее можно отключить: DEFINE ("EMPTY_TRASH_DAYS", 0);
Но помните, если вы держите значение 0, то WordPress не будет запрашивать подтверждение при нажатии на кнопку “Удалить навсегда”. Любой случайное нажатие может стоить вам поста.
Авто оптимизация базы данных
В WordPress 2.9, была добавлена функция, которая называется Automatic Database Optimization. Чтобы включить эту функцию, вы должны вставить следующий код в wp-config.php:
http://www.yoursite.com/wp-admin/maint/repair.php
Вход в админку не обязателен для того чтобы получить доступ к этой страницы, когда установлена эта функция. Потому что её основной целью являеться восстановление поврежденной базы данных. Поэтому как только вы закончите оптимизацию своей базы данных, удалите эту функцию в своём wp-config.php
WordPress Error Log
Блогеру полезно иметь журнал ошибок. Так вы сможете узнавать причину поломки или глюка блога. Сначала создайте файл с названием “php_error.log” и поместить его в каталог по выбору. Затем изменить путь в третьей строке следующего кода:
DEFINE ("CUSTOM_USER_TABLE", $ table_prefix "my_users.); DEFINE ("CUSTOM_USER_META_TABLE", $ table_prefix "my_usermeta.);
Включить WPMU
WPMU вошла в ядро wordpress. Для включения многопользовательского режима wordpress, вам необходимо вставить следующий код:
| DEFINE ("WP_ALLOW_MULTISITE, true); |
DEFINE ("WP_ALLOW_MULTISITE, true);
После добавления этого кода у вас появиться новая страницы в вашем wp-admin которая называется “Сеть” (network) расположенная в инструментах.
Обеспечение безопасности файлу WP-config.php
Как вы видите файл WP-config.php очень важный и поэтому он нуждается в дополнительно безопасности. По умолчанию он находиться в корневой папке WordPress, но вы можете его переместить. Он может быть перемещён за пределы public_html каталога, поэтому пользователи не смогут получить к нему доступ. WordPress умеет по умолчанию искать этот файл в других каталогах, если файлы не найдены в корневой папке wordpress. Вы так же можете использовать.Htacces файл, чтобы ограничить доступ к этому файлуДобавьте следующий код:
| # protect wpconfig.php order allow,deny deny from all |
# protect wpconfig.php order allow,deny deny from all
P.S.
Ну вот и всё дорогой друг. Если вдруг у тебя есть свои советы, фишки или трюки с файлом wp-config.php, то рассказывай их в комментариях и я добавлю их в пост с ссылкой на твой блог в знак благодарности;)
Не забудь подписаться на мою Rss-ку , а то пропустите следующую мою статью “Как вывести популярные статьи с миниатюрой “, а так же продолжить настройку блога и начать с настройки .
- Перевод
Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress - при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.
Эта статья сфокусирована на вопросах усиления безопасности WordPress - как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin» , которое отображается только после авторизации . Мы сознательно выделили фразу "после авторизации " - вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.
Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.
1. Переименуйте папку wordpress.
Начиная с версии 2.6, стало возможным изменять путь к папке wp-content . К сожалению это до сих пор неприменимо к папке wp-admin . Думающие о безопасности блоггеры смирились с этим и стали надеяться, что это станет возможным в будущих версиях. Пока этого не случилось, предлагаем воспользоваться следующим альтернативным решением проблемы. После распаковки архива с файлами WordPress, вы увидите папку «WordPress» - переименуйте папку (в идеале во что-то непонятное вроде " wordpress_live_Ts6K" ) и после этого настройте соответственным образом файл wp-config.php , который находится в корневой директории.Что нам даст это изменение?
- Во-первых, все файлы WordPress не будут смешаны с другими файлами в корне сайта, таким образом мы повысим ясность корневого уровня.
- Во-вторых, множество копий WordPress может быть установлено параллельно в папки с разными именами, исключая их взаимодействие, что делает это идеальным для тестирования
- Третье преимущество напрямую касается безопасности: административная зона (и весь блог в целом) больше не находится в корневой папке и для проведения каких-либо действий по взлому сначала ее нужно будет найти. Это проблемно для людей, но что касается ботов - вопрос времени.
Несколько установленных версий в root-каталоге - это возможно!
Примечание: Если системные файлы WordPress больше не в корневой директории, и имя папки инсталяции изменено в соответствии с рекомендациями, описанными выше, блог будет все равно доступен по адресу wp-config.ru . Почему? Зайдите в раздел «Общие настройки (General settings)» вашего блога и введите в поле «WordPress address (URL)» реальный адрес блога на сервере, как показано в примере:
Адрес блога должен быть красивым и ненавязчивым
Это позволит блогу отображаться по красивому виртуальному адресу.
2. Усовершенствуйте файл wp-config.php
Конфигурационный файл WordPress wp-config.php содержит в себе некоторые настройки сайта и информацию для доступа к базе данных. Также там другие настройки, касающиеся безопасности (они представлены в списке ниже). Если таких значений в этом файле нет, или же имеются только установленные по умолчанию, вам необходимо, соответственно, добавить или изменить их:- Ключи безопасности: начиная с версии 2.7, в WordPress есть четыре ключа безопасности, которые должны быть правильно установлены. WordPress спасает вас от необходимости выдумывать эти строки самому, автоматически генерируя правильные ключи с точки зрения безопасности. Вам просто нужно вставить ключи в соответствующие строки файла wp-config.php. Эти ключи являются обязательными для обеспечения безопасности вашего блога.
- Префикс таблицы заново установленного WordPress блога не должен быть стандартным «wp_» Чем больее сложным будет значение префикса, тем менее вероятна возможность несанкционированного доступа к таблицам вашей MySQL базы данных. Плохо: $table_prefix = "wp_"; . Намного лучше: $table_prefix = "wp4FZ52Y_"; Не стоит бояться забыть это значение - вам необходимо ввести его только один раз, больше оно вам не понадобится.
- Если у вас на сервере доступно SSL шифрование , рекомендуется включить его для защиты административной зоны. Это можно сделать, добавив следующую команду в файл wp-config.php: define("FORCE_SSL_ADMIN", true);
Не пренебрегайте установкой правильных ключей безопасности!
3. Переместите файл wp-config.php
Также начиная с версии 2.6, WordPress позволяет перемещать файл wp-config.php на высший уровень. По причине того, что этот файл содержит в себе намного более важную информацию, чем какой либо другой, и потому что всегда намного сложнее получить доступ к корневой папке сервера, имеет смысл хранить его не в той же директории, где и остальные файлы. WortdPress автоматически обратится к высшей папке в поиске файла wp-config.php . Любые попытки пользователей самим настроить путь бесполезны.4. Защитите файл wp-config.php
Не все ISP серверы позволят вам передавать данные на более высокие уровни, чем корневая директория. Другими словами, не у всех хватит прав для осуществления предыдущего шага. Или по другим причинам: например, если у вас несколько блогов, при определенной структуре папок у вас не получится положить в корень все файлы, так как их имена будут совпадать для каждого из блогов. В этом случае мы можем запретить доступ к файлу wp-config.php извне при помощи файла .htaccess . Вот код для этого:
# protect wpconfig.php
Очень важно убедиться, что файл .htaccess находится в той же директории что и файл wp-config.php .
5. Удалите учетную запись администратора.
Во время процесса установки WordPress создает учетную запись администратора с ником «admin» по умолчанию. С одной стороны это вполне логично, с другой - пользователь с известным ником, т.е. ID - 1, обладающий административными правами, является вполне предсказуемой мишенью для хакеров с их программами подбора паролей. Отсюда следует наш совет:- Создайте еще одного пользователя с административными правами и вашим ником.
- Завершите сеанс работы.
- Залогиньтесь под новым аккаунтом.
- Удалите учетную запись "admin ".
Примечание: В идеале желательно чтобы логин нового пользователя отличался от отображаемого имени пользователя в постах, чтобы никто не узнал ваш логин.
6. Выберите сильный пароль.
Вероятность и частота потенциальных атак прямо зависит от популярности блога. И желательно до этого момента быть уверенным, что в вашем сайте не осталось слабых звеньев в цепи безопасности.Чаще всего именно пароли являются самым слабым звеном в этой цепи. Почему? Способы выбора пароля у большинства пользователей зачастую необдуманны и беспечны. Многие проведенные исследования показали, что большинство паролей - односложные существующие слова, набранные строчными буквами, которые не сложно подобрать. В программах подбора паролей существуют даже списки самых часто используемых паролей.
В WordPress реализован интуитивно понятный индикатор стойкости набираемого пароля, который показывает цветом его уровень сложности:
7. Защитите папку «wp-admin».
Следуя пословице «две головы лучше одной», существует способ вдвое усилить защиту административной зоны. Защита регулируется файлом .htaccess , который должен находится в папке «wp-admin» вместе с файлом .htpasswd , который хранит логин и пароль пользователя. После обращения к папке, вам нужно будет ввести логин и пароль, но разница в том, что в этом случае авторизация контролируется на стороне сервера, а не силами самого WordPress.Для того чтобы просто и быстро сгенерировать файлы .htaccess и .htpasswd , воспользуйтесь этим сервисом .
8. Запретите отображение ошибок на странице авторизации.
Страница авторизации WordPress - это дверь в административную зону вашего блога, которая становится доступна после безошибочного прохождения верификации. У каждого пользователя существует бесконечное количество попыток авторизации, и каждый раз по умолчанию услужливый WordPress указывает, в чем именно была ошибка. То есть, если введенный логин окажется неверным - WordPress так и скажет. Это удобно для пользователя, но также и для хакера.Несложно догадаться, как быстро сокращается вероятность подбора комбинации логина/пароля, когда система указывает что именно введено неверно. Простая строка кода, поможет решить эту проблему, достаточно добавить её в файл functions.php вашей темы:
Add_filter("login_errors",create_function("$a", «return null;»));
Изначальный/измененный вид страницы авторизации.
