Konfiguracja WordPressa dla programistow i wzmocnienie wp-config

“Slynna 5-minutowa instalacja” to slogan marketingowy, nie standard profesjonalny. Domyslna instalacja WordPressa jest gadatliwa, niezoptymalizowana i czesto niebezpieczna.

Dowiedz się więcej o uslugach bezpieczeństwa WordPress na WPPoland. Jako programisci nie tylko “instalujemy” WordPressa; my go prowizjonujemy. Ten przewodnik obejmuje podstawowe stale konfiguracyjne i techniki wzmacniania, które powinny być w Twoim szablonie dla każdego projektu klienckiego w 2026.

#1. Moc wp-config.php

To mozg Twojej instalacji. Przestap zostawiac go na domyslnych ustawieniach.

#Kontrola środowiska

Od WordPress 5.5, WP_ENVIRONMENT_TYPE jest standardem. Uzyj go, aby zapobiec wyciekom błędów deweloperskich do produkcji.

// W wp-config.php
define( 'WP_ENVIRONMENT_TYPE', 'production' ); // 'local', 'development', 'staging', 'production'

Następnie w kodzie:

if ( wp_get_environment_type() === 'production' ) {
    // Włącz caching, wylacz błędy
}

#Wzmocnienie bezpieczeństwa

Zapobiegaj klientom (lub hakerom) przed popsuciem strony przez dashboard.

// Wylacz edytor plikow (edytor motywow/wtyczek)
define( 'DISALLOW_FILE_EDIT', true );

// Zapobiegaj instalacji/aktualizacji wtyczek/motywow (dobre dla niemutowalnych wdrozen)
define( 'DISALLOW_FILE_MODS', true );

// Wymus SSL w panelu admin
define( 'FORCE_SSL_ADMIN', true );

#Rewizje wpisow

Zabojca rozrostu bazy danych. Czy naprawde potrzebujesz 100 wersji strony “O nas”?

define( 'WP_POST_REVISIONS', 10 ); // Zachowaj ostatnie 10
// LUB
define( 'WP_POST_REVISIONS', false ); // Wylacz całkowicie (niezalecane)

#2. Profesjonalne debugowanie

Nigdy nie wyswietlaj błędów na frontendzie. Loguj je.

define( 'WP_DEBUG', true );
define( 'WP_DEBUG_LOG', '/tmp/wp-errors.log' ); // Przenies log poza katalog webowy!
define( 'WP_DEBUG_DISPLAY', false );

// Loguj zapytania SQL do debugowania wydajności (wylacz na produkcji!)
define( 'SAVEQUERIES', false );

#3. Czyszczenie “bloatu rdzenia”

WordPress jest dostarczany z funkcjami, których 90% stron biznesowych nie potrzebuje: Emoji, oEmbeds i XML-RPC.

Nie instaluj wtyczki do ich wylaczenia. Utworz wtyczke Must-Use (wp-content/mu-plugins/lean-core.php).

<?php
/* Plugin Name: Lean Core */

// 1. Wylacz Emoji (oszczedza zapytanie HTTP)
remove_action( 'wp_head', 'print_emoji_detection_script', 7 );
remove_action( 'wp_print_styles', 'print_emoji_styles' );

// 2. Wylacz XML-RPC (bezpieczeństwo)
add_filter( 'xmlrpc_enabled', '__return_false' );

// 3. Usun wersje WP (bezpieczeństwo przez ukrycie)
remove_action( 'wp_head', 'wp_generator' );

// 4. Wylacz kanaly RSS (jeśli budujesz strone wizytowkowa)
// function wppoland_disable_feed() {
//    wp_die( 'Brak dostepnego kanalu, odwiedz nasza strone główna!' );
// }
// add_action('do_feed', 'wppoland_disable_feed', 1);

#4. Mit o “solach”

Znasz klucze uwierzytelniajace w wp-config.php.

define('AUTH_KEY',         'wstaw tutaj unikalna fraze');
// ...

Fakt: Zmiana ich natychmiast wylogowuje wszystkich użytkowników. To “opcja nuklearna” jeśli strona zostanie zhakowana. Pro Tip: Zautomatyzuj ich rotacje za pomoca skryptu CLI lub Vault, jeśli zarzadzasz stronami korporacyjnymi.

#5. Lista kontrolna podsumowujaca

Przed uruchomieniem:

1. Ustaw WP_ENVIRONMENT_TYPE na production.
2. Ustaw DISALLOW_FILE_EDIT na true.
3. Ogranicz WP_POST_REVISIONS.
4. Przenies WP_DEBUG_LOG do prywatnego folderu.
5. Wylacz Emoji/XML-RPC za pomoca kodu.

Dobrze skonfigurowana instancja WordPressa jest cicha, bezpieczna i szybka.