WordPress-oppsett for utviklere, herding og wp-config

Den “berømte 5-minutters installasjonen” er et markedsføringsslagord, ikke en profesjonell standard. En standard WordPress-installasjon er pratsom, uoptimalisert og ofte usikker.

Som utviklere “installerer” vi ikke bare WordPress; vi klargjør (provision) det. Denne guiden dekker de essensielle konfigurasjonskonstantene og herdingsteknikkene som bør være i din standardmal for alle kundeprosjekter i 2026.

#1. Kraften i wp-config.php

Dette er hjernen i installasjonen din. Slutt å la den stå på standardinnstillinger.

#Miljøkontroll (environment control)

Siden WordPress 5.5 er WP_ENVIRONMENT_TYPE standard. Bruk den for å forhindre at utviklingsfeil lekker ut i produksjon.

// I wp-config.php
define( 'WP_ENVIRONMENT_TYPE', 'production' ); // 'local', 'development', 'staging', 'production'

Deretter i koden din:

if ( wp_get_environment_type() === 'production' ) {
    // Aktiver hurtigbuffer, deaktiver feilmeldinger
}

#Sikkerhetsherding (hardening)

Forhindre at kunder (eller hackere) ødelegger nettstedet via dashbordet.

// Deaktiver filredigering (Tema/Plugin-redigering)
define( 'DISALLOW_FILE_EDIT', true );

// Forhindre installasjon/oppdatering av plugins (Bra for uforanderlige utrullinger)
define( 'DISALLOW_FILE_MODS', true );

// Tving SSL i Admin
define( 'FORCE_SSL_ADMIN', true );

#Innleggsrevisjoner

Database-oppblåser. Trenger du virkelig 100 versjoner av “Om oss”?

define( 'WP_POST_REVISIONS', 10 ); // Behold de siste 10
// ELLER
define( 'WP_POST_REVISIONS', false ); // Deaktiver helt (Ikke anbefalt)

#2. Profesjonell feilsøking (debugging)

Vis aldri feil på frontend. Logg dem.

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', '/tmp/wp-errors.log' ); // Flytt loggen utenfor web-roten!
define( 'WP_DEBUG_DISPLAY', false );

// Logg SQL-spørringer for ytelsesfeilsøking (Slå av i produksjon!)
define( 'SAVEQUERIES', false );

#3. Rensing av “core bloat”

WordPress kommer med funksjoner som 90% av bedriftssider ikke trenger: Emojis, oEmbeds og XML-RPC.

Ikke installer en plugin for å deaktivere dem. Lag en Must-Use Plugin (wp-content/mu-plugins/lean-core.php).

<?php
/* Plugin Name: Lean Core */

// 1. Deaktiver Emojis (Sparer HTTP-forespørsel)
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'wp_print_styles', 'print_emoji_styles' );

// 2. Deaktiver XML-RPC (Sikkerhet)
add_filter( 'xmlrpc_enabled', '__return_false' );

// 3. Fjern WP-versjon (Security by Obscurity)
remove_action( 'wp_head', 'wp_generator' );

// 4. Deaktiver RSS-feeder (Hvis du bygger en brosjyreside)
// function wppoland_disable_feed() {
//    wp_die( 'Ingen feed tilgjengelig, besøk vår hjemmeside!' );
// }
// add_action('do_feed', 'wppoland_disable_feed', 1);

#4. “Salt”-myten

Du kjenner autentiseringsnøklene i wp-config.php.

define('AUTH_KEY',         'din unike frase her');
// ...

Faktum: Endring av disse logger umiddelbart ut alle brukere. Det er “Nuclear Option” hvis et nettsted blir hacket. Proff-tips: Automatiser rotasjonen av dem ved hjelp av et CLI-skript eller Vault hvis du administrerer bedriftsnettsteder.

#5. Sjekkliste oppsummering

Før lansering:

1. Sett WP_ENVIRONMENT_TYPE til production.
2. Sett DISALLOW_FILE_EDIT til true.
3. Begrens WP_POST_REVISIONS.
4. Flytt WP_DEBUG_LOG til en privat mappe.
5. Deaktiver Emojis/XML-RPC via kode.

En godt konfigurert WordPress-instans er stille, sikker og rask.

Explore os nossos serviços de segurança WordPress para levar o seu projeto mais longe.