V souvislosti se svou přednáškou na Webexpo 2014 o tom, jak si nenechat hacknout WordPress, jsem dal dohromady několik užitečných příkazů pro soubor wp-config.php, kterými můžete vylepšit bezpečnostní situaci s tímto oblíbeným redakčním systémem.
zápis | Co umí |
define('FORCE_SSL_LOGIN', true); |
Vynucení https protokolu na přihlašovací stránku (SSL) |
define('FORCE_SSL_ADMIN', true); |
Vynucení https protokolu na administraci |
define('DISALLOW_FILE_EDIT', true); |
Vypnutí editace PHP v administraci |
define('WP_AUTO_UPDATE_CORE', true); |
Zapnutí automatické aktualizace jádra |
add_filter('auto_update_plugin', '__return_true'); |
Zapnutí automatické aktualizace pluginů |
add_filter('auto_update_theme', '__return_true'); |
Zapnutí automatické aktualizace šablon |
define('DISALLOW_FILE_MODS',true); |
Vypnutí instalace pluginů a šablon z administrace |
define('WP_HTTP_BLOCK_EXTERNAL', true); |
Zablokování externích požadavků (např. pluginy) |
define('WP_ACCESSIBLE_HOSTS', 'povolenaurl.cz'); |
Povolení externího požadavku z konkrétní URL |
error_reporting(0); |
Vypnutí chybových hlášek |
define('WP_MEMORY_LIMIT', '96M'); |
Zvýšení limitu PHP paměti |
define('FS_CHMOD_FILE', 0755); |
Nastavení oprávnění pro soubory a složky |
define('WP_POST_REVISIONS', 2 ); |
Omezení počtu revizí dokumentu |