Jak skonfigurować WordPressa po instalacji? (Lista Kontrolna 2025)
PL

Jak skonfigurować WordPressa po instalacji? (Lista Kontrolna 2025)

5.00 /5 - (29 głosów )
Spis treści

“Słynna 5-minutowa instalacja” to slogan marketingowy, a nie standard profesjonalny. Domyślna instalacja WordPressa jest “gadatliwa”, nieoptymalna i często niebezpieczna.

Jako programiści, nie tylko “instalujemy” WordPressa; my go prowizjonujemy. Ten przewodnik obejmuje kluczowe stałe konfiguracyjne i techniki utwardzania (hardening), które powinny znaleźć się w twoim szablonie (boilerplate) każdego projektu klienckiego w 2026 roku.

1. Potęga wp-config.php

To mózg twojej instalacji. Przestań zostawiać go na ustawieniach domyślnych.

Kontrola Środowiska (Environment Control)

Od WordPressa 5.5, WP_ENVIRONMENT_TYPE jest standardem. Używaj go, aby zapobiec wyciekaniu błędów developerskich na produkcję.

// W wp-config.php
define( 'WP_ENVIRONMENT_TYPE', 'production' ); // 'local', 'development', 'staging', 'production'

Następnie w swoim kodzie:

if ( wp_get_environment_type() === 'production' ) {
    // Włącz Cache, Wyłącz Błędy
}

Utwardzanie Bezpieczeństwa (Hardening)

Uchroń klientów (lub hakerów) przed zepsuciem strony poprzez panel administracyjny.

// Wyłącz Edytor Plików (Edytor Motywu/Wtyczek)
define( 'DISALLOW_FILE_EDIT', true );

// Zablokuj Instalację/Aktualizację Wtyczek (Dobre dla deploymentów immutable)
define( 'DISALLOW_FILE_MODS', true );

// Wymuś SSL w Adminie
define( 'FORCE_SSL_ADMIN', true );

Rewizje Postów

Zabójca bazy danych. Czy naprawdę potrzebujesz 100 wersji strony “O Nas”?

define( 'WP_POST_REVISIONS', 10 ); // Zachowaj ostatnie 10
// LUB
define( 'WP_POST_REVISIONS', false ); // Wyłącz całkowicie (Niezalecane)

2. Profesjonalne Debugowanie

Nigdy nie wyświetlaj błędów na frontendzie. Loguj je.

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', '/tmp/wp-errors.log' ); // Przenieś log poza katalog publiczny!
define( 'WP_DEBUG_DISPLAY', false );

// Loguj zapytania SQL do debugowania wydajności (Wyłącz na produkcji!)
define( 'SAVEQUERIES', false );

3. Sprzątanie Rdzenia (“Core Bloat”)

WordPress przychodzi z funkcjami, których 90% stron biznesowych nie potrzebuje: Emoji, oEmbedy i XML-RPC.

Nie instaluj wtyczki, by je wyłączyć. Stwórz Must-Use Plugin (wp-content/mu-plugins/lean-core.php).

<?php
/* Plugin Name: Lean Core */

// 1. Wyłącz Emoji (Oszczędza żądanie HTTP)
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'wp_print_styles', 'print_emoji_styles' );

// 2. Wyłącz XML-RPC (Bezpieczeństwo)
add_filter( 'xmlrpc_enabled', '__return_false' );

// 3. Usuń Wersję WP (Security by Obscurity)
remove_action( 'wp_head', 'wp_generator' );

// 4. Wyłącz Kanały RSS (Jeśli budujesz stronę wizytówkę)
// function wppoland_disable_feed() {
//    wp_die( 'Brak kanału, odwiedź naszą stronę główną!' );
// }
// add_action('do_feed', 'wppoland_disable_feed', 1);

4. Mit “Soli” (Salts)

Znasz klucze uwierzytelniania w wp-config.php.

define('AUTH_KEY',         'wpisz tutaj swoja unikalna fraze');
// ...

Fakt: Ich zmiana natychmiast wylogowuje wszystkich użytkowników. To “Opcja Nuklearna”, jeśli strona zostanie zhakowana. Pro Tip: Zautomatyzuj ich rotację używając skryptu CLI lub Vaulta, jeśli zarządzasz stronami enterprise.

5. Lista Kontrolna (Podsumowanie)

Zanim wystartujesz (Launch):

  1. Ustaw WP_ENVIRONMENT_TYPE na production.
  2. Ustaw DISALLOW_FILE_EDIT na true.
  3. Ogranicz WP_POST_REVISIONS.
  4. Przenieś WP_DEBUG_LOG do prywatnego folderu.
  5. Wyłącz Emoji/XML-RPC kodem.

Dobrze skonfigurowana instancja WordPressa jest cicha, bezpieczna i szybka.