WordPress to jedno z najpopularniejszych narzędzi do tworzenia stron internetowych na świecie. Jednak samo zainstalowanie tego systemu zarządzania treścią (CMS) to tylko pierwszy krok w procesie tworzenia profesjonalnej i funkcjonalnej witryny. Aby skorzystać w pełni z potencjału WordPressa, istnieje kilka kroków, które warto podjąć po zakończeniu samej instalacji.

Przed rozpoczęciem budowy naszej strony zaleca się wyłączyć indeksowanie przez Google i inne wyszukiwarki. Aby to skonfigurować, warto skorzystać z funkcji dostępnej w panelu WordPress.

W tym celu udaj się do zakładki „Ustawienia > Czytanie” i zaznacz pole „Proś wyszukiwarki o nieindeksowanie tej witryny”. Po dokonaniu tej zmiany, na serwerze automatycznie zostanie wygenerowany plik robots.txt z odpowiednią dyrektywą. Ta dyrektywa poprosi wyszukiwarki internetowe o nieindeksowanie zawartości naszej strony.

1. Sprzątanie Instalacji

Czysta instalacja WordPressa nie jest obciążona nadmiarem niepotrzebnych dodatków. Niemniej jednak, warto je usunąć, po co nam przykładowe wpisy?

Usuń Zbędne Wtyczki

Pozbądźmy się domyślnych wtyczek. Aby to zrobić, przechodzimy do sekcji “Wtyczki > Zainstalowane wtyczki”. Tam znajdziesz dwie domyślnie aktywowane wtyczki: Hello Dolly oraz Akismet. Akismet pełni funkcję ochrony przed spamem. Jeśli zdecydujesz się na inne rozwiązanie, np. reCaptcha (o czym opowiemy poniżej), możesz zrezygnować z wtyczki Akismet.

Natomiast Hello Dolly, to wtyczka, która nie posiada żadnego praktycznego celu. Jej jedyną funkcją jest wyświetlanie linii tekstu znanej piosenki “Hello Dolly” w prawym górnym rogu, Z tego powodu śmiało możemy ją usunąć, nie wpływając negatywnie na funkcjonalność witryny.

Usuń Przykładowe Wpisy i Strony

Jak już pewnie zauważyłeś, instalacja WordPressa zawiera gotowe przykładowe treści. W zakładce „Wpisy” znajdziesz wpis o nazwie „Witaj, świecie!”, natomiast w sekcji „Strony” dostępna jest gotowa podstrona o nazwie „Przykładowa strona”. Warto te elementy można swobodnie usunąć i zastąpić własnymi treściami.

Usuń Zbędne Motywy

Instalacja WordPressa dostarcza kilka domyślnych motywów, dostępnych w zakładce „Wygląd > Motywy”.

Jeśli nie zamierzasz korzystać z tych motywów, możesz je śmiało usunąć. Wystarczy kliknąć „Szczegóły motywu” i w nowym oknie wybrać opcję „Usuń”.

Zalecamy pozostawienie jednego motywu aktywnego (obecnie używanego) oraz jednego nieaktywnego, najlepiej jednego z najnowszych domyślnych motywów. Taki zabieg umożliwia WordPressowi szybkie przełączenie się na drugi motyw w razie poważniejszych problemów z aktualnie aktywnym. To skuteczna prewencja przed potencjalnym problemami, zapewniając ciągłość funkcjonowania witryny.

2. Ustawienia Ogólne

Zakładka ogólne

Rozpoczynając naszą przygodę z tworzeniem witryny, warto nadać jej niepowtarzalną i znaczącą nazwę. Ta nazwa stanie się naszym unikalnym identyfikatorem w świecie internetu, nadając witrynie charakter i rozpoznawalność.

Wraz z wyborem nazwy dla naszej witryny, niezapominany o stworzeniu krótkiego, ale zwięzłego opisu, który opowiada o naszej stronie. Opis ten stanowi swoiste wprowadzenie dla odwiedzających, przedstawiając w kilku zdaniach, co mogą znaleźć na naszej stronie.

Zgódźmy się, z pewną lekką niechęcią klikamy na strony opisane jako kolejne witryny oparte na WordPressie. 🙂

Opcjonalnie możemy dostosować format daty i godziny, co staje się istotne gdy nasza strona pełni rolę bloga. Warto zwrócić uwagę na odpowiednie ustawienia, aby zapewnić czytelność i spójność informacji czasowych dla czytelników naszych treści.

Zakładka Czytanie

W tej zakładce wybieramy, co chcemy, aby odbiorcy zobaczyli pod głównym adresem naszej strony. Mamy możliwość wyboru pomiędzy statyczną stroną, którą wcześniej stworzyliśmy, a w przypadku bloga, możemy również zaprezentować najnowsze wpisy.

Zakładka Bezpośrednie Odnośniki

Adresy URL Twoich wpisów i stron odgrywają kluczową rolę w czytelności. Dlatego warto skoncentrować się na tym, aby były one łatwe do odczytania. Na szczęście, WordPress oferuje wbudowaną opcję umożliwiającą dostosowanie struktury linków, co pozwala nam wpływać na ich formę.

W przypadku wyboru schematu linków, zalecamy korzystanie z opcji „Nazwa wpisu”. Ten prosty schemat koncentruje się na zamieszczeniu tytułu wpisu lub podstrony w adresie URL. Dzięki temu otrzymujemy klarowne, intuicyjne linki, które nie tylko są przyjazne dla użytkowników, ale także sprzyjają zrozumieniu zawartości przez wyszukiwarki.

3. Wygląd Twojej Strony

Twój serwis musi emanować swoim unikalnym stylem! Masz kilka opcji – dostosuj jeden z motywów domyślnych, zainstaluj motyw z szerokiego repertuaru (jest ich ponad 6 tysięcy) lub stwórz własny. Aby to zrobić, kieruj się do zakładki “Wygląd > Motywy” i wybierz opcję “Dodaj nowy” u góry ekranu. Tam znajdziesz katalog dostępnych motywów do wyboru lub możesz dodać własny za pomocą przycisku umieszczonego na górze po lewej stronie ekranu. Dzięki temu dostosujesz wygląd strony zgodnie z własnym gustem i potrzebami.

Po zainstalowaniu motywu, odwiedź sekcję “Wygląd > Dostosuj”. Na ekranie personalizacji motywu pojawią się różnorodne opcje dostosowania, zależne od konkretnego motywu. Jednak zawsze znajdziesz stałe możliwości, takie jak “Tożsamość witryny”. Tutaj możesz łatwo ustawić logo swojej strony oraz wybrać tzw. favicon – małą ikonę, która wyświetla się na karcie w przeglądarce. Dzięki tym opcjom nadasz witrynie spersonalizowany charakter i wyróżnisz ją wśród innych.

W zakładce “Wygląd > Dostosuj” masz także możliwość dodawania niestandardowych instrukcji CSS. To znaczy, że możesz dostosować wygląd strony dokładnie według swoich preferencji.

4. Treści

Wpisy i Strony

Zarządzanie wpisami i podstronami odbywa się w zakładkach “Wpisy” oraz “Strony”. Wpisy są prezentowane wśród najnowszych aktualności oraz w archiwach kategorii. Strony natomiast to statyczne podstrony, często używane do tworzenia zakładek typu “O nas”.

Aby dodać nową treść, przejdź do wybranej zakładki (Wpisy lub Strony) i kliknij “Dodaj nowy”. Otworzy się edytor treści, gdzie uzupełniasz tytuł i wprowadzasz zawartość.

Od WordPressa 5.0 używany jest edytor wizualny Gutenberg, który bazuje na blokach. Każdy nagłówek, akapit, zdjęcie czy filmik to oddzielny blok, który można dowolnie przemieszczać, ułatwiając proces tworzenia treści.

Jeśli planujesz prowadzić bloga lub po prostu korzystać z funkcji wpisów na swojej stronie, koniecznie skonfiguruj kategorie. Przy dodawaniu każdego wpisu konieczne jest przypisanie go do określonej kategorii.

Menu

Gdy już masz gotową stronę, podstrony i wpisy, warto stworzyć menu, aby lepiej uporządkować treści. W WordPressie masz możliwość tworzenia dowolnej liczby menu i wyświetlania ich w różnych miejscach, np. w górnym pasku nawigacyjnym czy stopce, w zależności od preferencji i ustawień motywu. To umożliwia łatwą nawigację dla odwiedzających, zapewniając im przejrzysty dostęp do istotnych sekcji witryny.

Przejdź do sekcji “Wygląd > Menu” i skonfiguruj menu zgodnie z własnymi potrzebami.

5. Bezpieczeństwo

W tym akapicie skupimy się na kwestiach związanych z bezpieczeństwem, głównie dodając odpowiednie instrukcje do pliku .htaccess. Aby to zrobić, konieczne jest zalogowanie się na serwer i pobranie pliku na nasz komputer. Jeśli nie jesteś pewien, jak to zrobić, zachęcam do przeczytania dostępnego artykułu dostępnego 👉 tutaj.

.htaccess

Na początku zadbajmy o to, aby witryna wymuszała korzystanie z zaszyfrowanego połączenia (HTTPS). Pobieramy plik .htaccess znajdujący się w głównym folderze instalacji WordPressa, a następnie dodajemy poniższą dyrektywe na jego początku:

# Wprowadzenie zabezpieczonego połączenia HTTPS
RewriteEngine On
RewriteCond %{HTTPS} !=on
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Następnie, w celu wzmożenia ochrony, zabezpieczymy dostęp do naszych plików konfiguracyjnych i do samego pliku .htaccess:

# Zablokuj dostęp do plików konfiguracyjnych
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>

# Zablokuj dostęp do niektórych plików
<FilesMatch "(^#.*#|\.(bak|config|dist|fla|inc|ini|log|psd|sh|sql|swp)|~)$">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>

# Zablokuj dostęp do .htacces
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

Jednym ze sposobów na otrzymanie dostępu do panelu administracyjnego strony jest uruchomienie skryptu, który skanuje naszą stronę w poszukiwaniu nazwy użytkownika autora publikującego posty na stronie następnie próbuje włamać się na stronę metodą słownikową ( tzw, brute-force).

Aby zablokować możliwości skanowania strony w poszukiwaniu nazw użytkowników autorów. Aby to zrobić, dodajmy poniższą funkcję do pliku:

# Zablokuj przed skanowaniem autorów
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=d+) [NC]
RewriteRule .* - [F]

Domyślnie, WordPress posiada plik o nazwie xmlrpc.php, który umożliwia zewnętrznym narzędziom komunikację z naszą stroną. Choć jest to korzystne, gdy używamy zewnętrznych programów czy usług do publikacji postów na WordPressie, to w przypadku tradycyjnego dostępu do platformy przez panel administratora, StronaW zaleca wyłączenie tej opcji.

# Zablokuj XMLRPC.PHP
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

Tak przygotowany plik .htaccess należy przesłać z powrotem na serwer, aby zastosowane zmiany w konfiguracji zostały wprowadzone i zaczęły działać.

Ukrywanie wersji WordPress i Wtyczek

Aby zwiększyć bezpieczeństwo witryny, zaleca się ukrywanie informacji o wersji WordPressa, komponentach oraz używanych wtyczkach.

Aby zablokować wyświetlanie wersji WordPressa, możemy dodać poniższy kod do pliku functions.php znajdującego się w naszym szablonie. Aby to zrobić, przechodzimy do “Wygląd > Edytor plików Motywu” i z lewej strony wybieramy functions.php. Następnie wklejamy poniższy kod na koniec pliku:

// Ukrywanie wersji WordPressa
remove_action('wp_head', 'wp_generator');
add_filter('the_generator', '__return_empty_string');
function shapeSpace_remove_version_scripts_styles($src) {
    if (strpos($src, 'ver=')) {
        $src = remove_query_arg('ver', $src);
    }
    return $src;
}

Zmiana Adresu Logowania do Panelu Administratora

Standardowe adresy do logowania do panelu administracyjnego WordPressa to:

• twojadomena.pl/wp-login.php
• twojadomena.pl/wp-admin/

Ponieważ te adresy są powszechnie znane, mogą stać się celem ataków, zwłaszcza ataków typu brute-force, gdzie automatyczne narzędzia próbują dostęp do konta poprzez wielokrotne próby logowania.

Aby zabezpieczyć formularz logowania do WordPressa, warto jest zmienić domyślny adres logowania do panelu administracyjnego. Jednym z popularnych narzędzi do tego celu jest wtyczka “WPS Hide Login“.

W kolejnej sekcji pokażemy, jak dodawać wtyczki do WordPressa

Logowanie dwuetapowe (2FA)

Wdrożenie logowania dwuetapowego (2FA) to kluczowa praktyka zabezpieczająca witrynę opartą na WordPressie. Daje to dodatkową warstwę bezpieczeństwa, wymagając od użytkowników potwierdzenia swojej tożsamości przy użyciu dwóch różnych czynników

Logowanie dwuetapowe możemy zaimplementować za pomocą wtyczki o nazwie “Two-Factor – Dwuskładnikowe logowanie“. Wtyczka umożliwia generowanie jednorazowych haseł (OTP) po przez:

• wysyłanie ich na maila
• obsługę aplikacji, takich jak Google Authenticator

Dodatkowo, wspiera fizyczne klucze sprzętowe U2F, co czyni ją kompletnym narzędziem do zabezpieczenia dostępu do naszej witryny wykorzystując 2FA.

5. Wtyczki

Jeżeli w WordPressie brakuje określonej funkcji, istnieje duża szansa, że można ją łatwo dodać za pomocą odpowiedniej wtyczki, np. systemu rezerwacji czy opcji sklepu. Wystarczy przejść do zakładki ‘Wtyczki’ i wybrać opcję ‘Dodaj nową’. W repozytorium WordPressa dostępne są także liczne wtyczki dedykowane do czynności administracyjnych, takich jak tworzenie kopii zapasowych WordPressa, a także optymalizacyjnych, np. optymalizacja zdjęć czy dostosowanie pod kątem SEO. Z tego okna istnieje także opcja bezpośredniego wgrania wtyczki z naszego komputera. Wystarczy skorzystać z przycisku ‘Wyślij wtyczkę na serwer’, znajdującego się w górnym lewym rogu ekranu

Wtyczki a bezpieczeństwo?

Duża dostępność wtyczek dla WordPressa to bez wątpienia atut, ale warto podkreślić, że nie podlegają one oficjalnej weryfikacji, jak ma to miejsce w przypadku telefonów z systemem Android czy iOS, które korzystają z dedykowanych sklepów aplikacji. Brak centralnej instytucji sprawdzającej każdą wtyczkę otwiera pole na różnorodność, ale niestety również na potencjalne ryzyko związane z ich bezpieczeństwem i zgodnością z systemem.

Wtyczki do WordPressa są dziełem różnorodnych twórców, w tym zewnętrznych firm, programistów, entuzjastów technologii, a także amatorów, którzy nie zawsze posiadają wystarczającą wiedzę. Ta ostatnia grupa, choć inspirująca, niesie ze sobą poważne ryzyko dla bezpieczeństwa naszej strony, mogąc nawet uniemożliwić jej prawidłowe działanie.

Z tego powodu zalecamy zachowanie rozwagi podczas instalacji wtyczek od nieznanych autorów oraz minimalizację ich liczby. Im więcej wtyczek, tym większe ryzyko utraty wydajności strony i wydłużenia czasu ładowania. Przy wyborze wtyczek warto zatem podejść z rozwagą, by zapewnić efektywność i bezpieczeństwo naszej witryny opartej o CMS WordPress.

SEO

Dla optymalizacji SEO w WordPress, warto skorzystać z jednej z popularnych wtyczek, takich jak Yoast SEO lub All-in-One SEO Pack. Te narzędzia oferują obszerną gamę funkcji, które pomagają w dostosowaniu różnych elementów strony, aby poprawić jej widoczność w wynikach wyszukiwania.

Obie wtyczki są stosunkowo łatwe w obsłudze nawet dla osób bez zaawansowanej wiedzy technicznej. Wybór między nimi zależy od preferencji użytkownika oraz specyfiki projektu. W każdym przypadku, korzystanie z dedykowanych narzędzi SEO w WordPress może istotnie poprawić efektywność pozycjonowania i widoczność strony w wynikach wyszukiwania.