WordPress 默认将图片等文件存放在 wp-content/uploads 文件夹下,但是你应该将它移动 WordPress 安装目录之外,推荐存放在子域名下面,如子域 files.domain.com,这样更利于 WordPress 备份的操作管理(将主题文件和媒体文件分开来了);而更重要的则是,单独存放于不同域名下的媒体文件如图片等有利于提高网页的加载速度。
打开 WordPress 目录下的 wp-config.php 文件,添加以下两行即可(将子域改成自己的):
查看 WordPress 的 HTML 源代码,你会发现在头部(header)文件中有一些 Meta标记基本上是没有必要用到的,如 用于显示 WordPress 版本信息的标记:
这条信息可能为 WordPress 黑客们的恶意行为提供方便,要去除这条标记,将下面的代码添加到当前主题文件 functions.php 中即可:
remove_action( 'wp_head', 'wp_generator' ); //移除 WordPress 版本信息
他的没有多大用处的 Meta 标记大家也可以视情况去除,如:
remove_action( 'wp_head', 'rsd_link' ); //移除离线编辑器开放接口remove_action( 'wp_head', 'wlwmanifest_link' ); //移除Live Writer编辑器开放接口
让别人随时都可以看到自己的 WordPress 文件总是不太好的一件事情,所以最好设防一下。在 WordPress 安装根目录下的 .htaccess 文件中加入下面这行:
Options All -Indexes
同时,请确保 wp-content/themes和wp-content/plugins 这两个文件夹下都各有一个空白的 index.php 文件。
WordPress 自带的评论框默认允许评论者使用 HTML 代码,也就是说,评论时可以添加超链接,若要禁用此功能,在 functions.php 文件中添加这一行即可:
add_filter( 'pre_comment_content', 'wp_specialchars' );
对于 WordPress 来说,修订版本太多,势必会加重 MySQL 数据库中 wp_posts 数据表的负担,从而影响系统的运行效率,因此,最好对这个功能做出一些限制。
要禁用修订版本,在 wp-config.php 文件中加入这行即可:
define( 'WP_POST_REVISIONS', false);
当然,你也可以仅允许 WordPress 保留最多3个文章修订版本,只需在 wp-config.php文件中加入这行:.
define( 'WP_POST_REVISIONS', 3);
默认情况下,当你使用 WordPress 后台编辑器编辑文章时,每隔60秒就会自动生成一篇草稿,如果你嫌这个间隔时间太短,可以手动更改一下。
在 wp-config.php 文件中添加下面这一行即可:
define( 'AUTOSAVE_INTERVAL', 120 );
WordPress 自带有多个RSS – 整站 RSS 、文章 RSS 、评论 RSS 、分类 RSS 、存档 RSS 等,而所有的这些 RSS ,都是在网站头部的 HTML 代码中以 的形式显示出来的。如果你只想保留网站主要的 RSS 地址,可以将其他的 RSS 地址隐藏起来。
在主题的 functions.php 文件中添加以下两行:
remove_action( 'wp_head', 'feed_links', 2 );remove_action( 'wp_head', 'feed_links_extra', 3 );
上一步的方法只能将 RSS 地址隐藏起来,而实际上它们还是存在的,如果你想完全禁用它们并将它们全部重定向到某一个 RSS 地址(如 FeedBurner),在 .htaccess 文件中添加以下代码即可(记得将其中的 RSS 地址替换成自己的):
如果你在登录 WordPress 时尝试输入一个不存在的用户名或密码,系统就会提示你用户名错误或密码不匹配,这无疑给企图入侵你的 WordPress 博客的人以可乘之机。要禁用此错误提示,在主题的 functions.php 文件中加上下面的函数即可:
function no_wordpress_errors(){ return 'GET OFF MY LAWN !! RIGHT NOW !!';}add_filter( 'login_errors', 'no_wordpress_errors' );
十分推荐这种做法,因为登录 WordPress 需要通过手机验证,而别人没有你的手机就不可能登入,这让你的 WordPress 博客多了一层安全保护。
不像 Dropbox 或 Google,两步验证并非 WordPress 固有的功能,但我们可以安装一款叫Authy-for-wp 的插件来启用这个功能。
不要使用 WordPress 默认的链接结构,因为它基本上是不利于 SEO(搜索引擎优化)的。你可以登录 WordPress 后台,打开选项->永久链接,在这里将永久链接结构更改成如下:
/%post_id%/%postname%/%category%/%postname%/%post_id%/
你的 WordPress 主題可能沒有包含网站图标(favicon.ico)或 Apple touch icons,但浏览器和 RSS 阅读器仍然可能向你的服务器请求这些文件,所以,你的网站上最好是具备有这些文件,而不是总是返回一个404错误页面。
在你的网站根目录放置一个16×16 的 favicon.ico 和一个144×144 的 apple-touch.png文件,然后再在 .htaccess 文件中加入以下代码(注意修改其中的 png 图片网址):
RedirectMatch 301 /apple-touch-icon(.*)?.png http://域名.com/apple-touch.png
通常,你只想 Google 或其他搜索引擎抓取你博客页面上的内容,但并不希望它们索引WordPress 安装文件中的 PHP 文件。要防止搜索引擎索引 WordPress 安装文件中的 PHP 文件,只需将以下几行代码添加到 WordPress 根目录的 robots.txt 文件中:
User-agent: *Disallow: /wp-admin/Disallow: /wp-includes/Disallow: /wp-content/plugins/Disallow: /wp-content/themes/Disallow: /feed/Disallow: */feed/
如果你的 WordPress 用户名是默认的 “admin”,你可以再创建一个新用户并赋予其“管理员”权限。现在登出 WordPress,然后以刚创建的新用户登入,再将“admin”的权限从管理员变为订阅者即可。
或者你可以考虑把帐号“admin”刪除,然后将现有的任何文章、页面转移到新帐户。这对于提高安全性是相当重要的一步,因为我们不希望让任何人有机会猜测具有 WordPress 管理员权限的使用者名称。
XML Sitemaps(网站地图)有利于搜索引擎更好地抓取你网站的页面,但你并不愿意你的网站地图本身也显示在搜索结果页面中,所以,应该禁止搜索引擎索引网站地图。
将下面的代码添加到 .htaccess 文件中即可:
WordPress 自带的搜索功能是通过直接查询数据库来实现的,对加重服务器负担有一定的影响,其效果并不尽如人意,返回的相关搜索结果很少,也不是十分准确。建议使用其他搜索引擎,比如谷歌自定义搜索就不错,搜索结果丰富且相关性强,对自己网站的服务器没有任何负担。
当然,如果你想继续使用 WordPress 自带的搜索,推荐安装插件 Nice Search 来强化其功能。
通常,我们登录 WordPress 控制面板时,只需要输入一次用户名和密码,但为了进一步保证后台控制面板的安全,还是应该为 wp-login.php 文件设置多一层防护–密码验证。如果你要使用插件,在这里首推 Better WP Security 和 BulletProof Security,这两款插件都有设定密码验证的功能。
如果你不想使用插件,可以通过 .htpasswd 文件来为 wp-login.php 文件设置密码保护。
由于 .htpasswd 文件在 Windows 下不容易创建,大家可以从这里下载一个现成的空白 .htpasswd 文件。
至于 .htpasswd 文件的内容,则可以通过在线生成。首先访问这个页面,填写用于验证的用户名和密码,然后点击“Create .htpasswd file”按钮,从而获得一串代码,再将这串代码复制到 .htpasswd 文件中,上传到网站根目录下。
将以下代码添加到网站根目录下的 .htaccess 中即可实现对 wp-login.php 访问控制了。
上面的 AuthUserFile 后面是你的 .htpasswd 文件的绝对路径,请按实际情况修改一下。如果你要对其它文件也设置密码验证,修改一下 wp-login.php 即可。
404错误是读者在访问了不存在页面时提供给他们的一个推荐页面。你可以使用 Google 分析來记录你的404错误,包括从哪里来等细节内容。
将以下代码插入到你的 404.php 文件中即可:
_gaq.push(['_trackEvent', '404',document.location.pathname + document.location.search,document.referrer, 0, true]);
没有用到的主题和插件不会影响你的 WordPress 的性能,但我们的目标是尽可能减少服务器上的可执行文件代码。所以,请删除你所有没有用到的 WordPress 主题和插件。
WordPress 有一个怪怪的网址猜测功能,且在大多数情况下会造成错误。打个比方,如果访问者要访问 ischan.com/hello,而这个页面其实并不存在,则 WordPress 会将此访问者重定向至 ischan.com/hello-world 页面,仅仅是因为这条网址存在一个同样的词汇。
如果你要停止 WordPress 的这个网址猜测功能,并代之以一个404错误页面,可以将下面的代码添加到主题的 functions.php 文件:
add_filter('redirect_canonical', 'stop_guessing');function stop_guessing($url) {if (is_404()) {return false;}return $url;}
所谓“静态内容”,包括图片、CSS、JS 及 .txt 等等文件,它们存储在你的 WordPress 网站上,一般不会经常改变,你可以设定过期时间让它们缓存于用户的浏览器中,以便于下次用户再访问这些内容时能够直接从缓存中载入。
非插件的方法,将以下的代码加入到 .htaccess 文件(可以根据需要更改一下相应的数字)。
ExpiresActive OnExpiresByType image/gif 'access plus 30 days'ExpiresByType image/jpeg 'access plus 30 days'ExpiresByType image/png 'access plus 30 days'ExpiresByType text/css 'access plus 1 week'ExpiresByType text/javascript 'access plus 1 week'
你也可以使用相关WordPress缓存插件,如 W3 Total Cache、WP Super Cache、Hyper Cache 等。
这里主要强调一下几点:将密钥添加到 wp_config.php 文件、安装文件监控插件如Exploit Scanner 或 WordFence、修改 WordPress 默认的数据表前缀(可以使用插件 Change DB Prefix)等。
当你以系统管理员身份登入WordPress 时,你可以轻易地编辑任何主题或插件的 PHP文件。如果你希望删除对这些文件的编辑功能(有时一个分号的缺失可能就会让你的 WordPress 挂掉),你只需要将下面这行添加到 wp-config.php 文件即可:
define( 'DISALLOW_FILE_EDIT', true );
假设你的 WordPress 网站的网址是 abc.com,如果访客在网址中加入一些查询参数,仍然可以到达你的网站。 例如,打开类似于 abc.com/?utm=ga 或 abc.com/?ref=feedly 这样的网址,都可以到达 abc.com。从技术上来说,完全不同的网址也可以进入相同的页面。
这对于SEO(链接权重)来说是相当不友好的,所以,你应该让所有网址指向同一个 Canonical URL。 将以下代码添加到 .htaccess 文件中,从而移除那些不必要的查询参数:
这是 WordPress 的比较烦人的一个功能 – 会在页面顶部显示一个管理员工具条,所有登录用户都能够看得见。如果你不喜欢,可以将这条代码添加到主题的 functions.php 文件中,从而将工具条隐藏起来:
add_filter('show_admin_bar', '__return_false');
某些读者可能会使用广告拦截工具去拦截你博客上的广告,但是,使用下面的方法,你可以在受到拦截的原来的广告位置上显示其他内容,如:一个最受欢迎的文章列表,或者一段 YouTube 视频等。
将以下这段来自labnol 的 JS 代码放置到你的广告(谷歌广告)所在页面的