PDF de programación - WordPress - la configuración perfecta

la configuración perfecta

WordPress Barcelona

www.wpbarcelona.com - @WPBarcelona - #WPBarcelona

Antes de nada… ¿WordPress Barcelona?

• En Barcelona se desarrolla

• Parte de nosotros vamos “a

mucho, y también con
WordPress.

todas” las WordCamp de
España.

• Queremos ampliar la comunidad

• Nuestro objetivo final es crear

con este evento mensual.

• Queremos que participes en la

comunidad (pondremos
herramientas, tranquilos).

una comunidad y organizar una
WordCamp Barcelona.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

2

Y… ¿quién os habla?

• Me llaman Javier Casares - www.javiercasares.com - me conecté a
Internet por primera vez en 1995 e hice mi primera web en 1997.
• Utilizo WordPress desde 2005, cuando instalé la versión 1.5 tras

haber probado una decena de gestores de contenido.

• Principalmente me dedico a:

• Acelerar Proyectos de Internet – www.keepitsimplelab.com
• Ayudar a la promoción de Apps Móviles – www.geenapp.com
• Disfrutar de lo que Internet me ofrece cada día.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

3

A por faena… ¿por dónde empezamos?

• Lo primero que necesitamos es tener un WordPress instalado.

• Puede ser una instalación nueva (te has bajado el ZIP, lo has abierto y has

subido tus ficheros por FTP).

• Puedes haber contratado un sitio web en el que WordPress ya viene

instalado.

• O simplemente ya tienes un WordPress desde hace tiempo.

• Lo segundo que te recomiendo hacer es simplemente actualizarlo a la

última versión, porque vamos a trabajar con la rama 3.8.x

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

4

Sistema de ficheros

• Por norma general el sistema de ficheros tendrá los siguientes

permisos:

• Carpetas: 755 (rwx r-x r-x)
• Ficheros: 644 (rw- r-- r--)

• Dependerá de vuestro hosting… en general se deberá usar en

determinados ficheros y carpetas:

• Carpetas: 775 (rwx rwx r-x)
• Ficheros: 664 (rw- rw- r--)

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

5

Sistema de ficheros

• Crear un fichero [.htaccess] - permisos de escritura (664)
• Crear un fichero [robots.txt] - permisos de lectura (644)
• Crear un fichero [sitemap.xml] - permisos de escritura (664)

• Actualizar [/wp-content/] - permisos de escritura (775)
• Crear la carpeta [/wp-content/cache/] - permisos de escritura (775)
• Crear la carpeta [/wp-content/uploads/] - permisos de escritura (775)

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

6

robots.txt

Sitemap: http://www.example.com/sitemap.xml
User-Agent: *
Disallow: /*/feed/
Disallow: /*/trackback/
Disallow: /*/attachment/
Disallow: /author/
Disallow: /category/*/page/
Disallow: /category/*/feed/
Disallow: /tag/*/page/
Disallow: /tag/*/feed/
Disallow: /page/
Disallow: /comments/
Disallow: /xmlrpc.php
Disallow: /*?s=

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

7

.htaccess

DirectoryIndex index.php
RewriteEngine On
RewriteCond %{HTTP_HOST} !^www.example.com$ [NC]
RewriteRule ^.*$ http://www.example.com%{REQUEST_URI} [R=301,L]
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>
<Files readme.html>
Order Allow,Deny
Deny from all
</Files>
Options All -Indexes

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

8

wp-config.php

define('DB_NAME', 'basededatos');
define('DB_USER', 'usuario');
define('DB_PASSWORD', 'contraseña');
define('DB_HOST', 'servidor');
define('DB_CHARSET', 'utf8');
define('DB_COLLATE', '');
$table_prefix
= 'algo_';

• Es importante por seguridad que el “prefijo” no sea ‘wp_’ sino

cualquier otra cosa. Si ya lo tienes de antes, hay herramientas para
cambiarlo. Esto es preferible cambiarlo antes de la instalación.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

9

wp-config.php

// https://api.wordpress.org/secret-key/1.1/salt/

define('AUTH_KEY',
'aleatorio');
define('SECURE_AUTH_KEY', 'aleatorio');
define('LOGGED_IN_KEY',
'aleatorio');
'aleatorio');
define('NONCE_KEY',
define('AUTH_SALT',
'aleatorio');
define('SECURE_AUTH_SALT', 'aleatorio');
'aleatorio');
define('LOGGED_IN_SALT',
define('NONCE_SALT',
'aleatorio');

• Ayuda a que tus cookies sean únicas, por lo tanto difíciles de hackear.

• Es un hash único, mediante el que se codifican las cookies de sesión.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

10

wp-config.php

define('WPLANG', 'es_ES');
define('WP_CACHE', true);
define('DISALLOW_FILE_EDIT', true);
define('WP_POST_REVISIONS', false);
define('AUTOSAVE_INTERVAL',120);
// [cookie_domain] esta línea no es válida en dominios sin subdominio
define('COOKIE_DOMAIN', 'www.example.com');
define('WP_SITEURL', 'http://www.example.com');
define('WP_HOME', 'http://www.example.com');

• Idioma, cacheo interno de WordPress, revisiones, autoguardado y

cookies, dominio y web por defecto.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

11

wp-config.php

define('FTP_BASE', '/');
define('FTP_CONTENT_DIR', '/wp-content/');
define('FTP_PLUGIN_DIR ', '/wp-content/plugins/');
define('FTP_USER', 'ftpusuario');
define('FTP_PASS', 'ftpcontraseña');
define('FTP_HOST', 'localhost');
define('FTP_SSL', false);

• Configuración para que todos e pueda actualizar desde el panel sin

necesidad de poner tus datos cada vez.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

12

Dentro de la Administración (usuarios)

• Usuarios:

• Lo primero, crear un usuario “administrador” que no sea el usuario que
normalmente utilizamos. Si puede ser con un nombre de usuario “raro”,
mejor que mejor.

• Lo segundo, convertir tu usuario normal (administrador) a editor.

• Con esto nos aseguraremos que ese usuario administrador, que nunca

publicará nada, no aparece por ningún sitio de la web y será poco
atacable por ese usuario difícil.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

13

Dentro de la Administración (mantenimiento)

• Actualizaciones de WordPress: por favor, mantén todo siempre

actualizado (a menos que sepas que hay algo no compatible).

• Recuerda que hay 4 elementos a actualizar:

• Núcleo de WordPress
• Plugins
• Temas
• Traducciones

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

14

Dentro de la Administración (configuración)

• A menos que sea necesario, mantener desactivada la opción de que

“cualquiera” se registre.

• Mantener el nivel de nuevos usuarios siempre a “suscriptor”.
• Activar el “WordPress corregirá de forma automática el XHTML

incorrectamente anidado”.

• En los comentarios, si es posible, no anidarlos o poner un máximo de

2 anidaciones para evitar un peor rendimiento (evitar recursividad).

• Es recomendable no paginar los comentarios, para evitar contenidos

duplicados en SEO.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

15

Dentro de la Administración (URI)

• Aunque en general “por ahí” se recomienda el formato

• /%postname%/

Es mejor, para tener una buena Arquitectura de la Información, tener
algo así:

• /blog/%postname%/

• De la misma forma rellenaremos la categoría y etiquetas:

• /tema/
• /sobre/

NOTA: si cambias esto, recuerda actualizarlo en el [robots.txt].

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

16

Plugins

• Los plugins que se van a presentar son aquellos que van enfocados a

la seguridad o a disponer de herramientas que “deberían venir con
WordPress” de serie (y aceptamos que no vengan para que el núcleo
sea mucho más sencillo)

• El objetivo principal es el de mejorar la seguridad y disponer de

servicios básicos / mínimos.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

17

Plugins

• Advanced Automatic Updates

• http://wordpress.org/plugins/automatic-updater/
• Amplía el sistema de actualizaciones interno de WordPress.
• Permite que se actualice todo de forma automática.

• Akismet

• http://wordpress.org/plugins/akismet/
• Ya sea este u otro, pero hay que tener un antispam.

• EliminaCabeceras

• https://dl.dropboxusercontent.com/u/19964073/wpplugin-EliminaCabeceras.zip
• Elimina cabeceras HTML que dan información “peligrosa”

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

18

Plugins

• Google XML Sitemaps

• http://wordpress.org/plugins/google-sitemap-generator/
• Es muy recomendable tener un plugin de Sitemaps.

• Limitador de intentos de login

• http://wordpress.org/plugins/limit-login-attempts/
• Permite ataques de intentos de acceso.

• PubSubHubbub

• http://wordpress.org/plugins/pubsubhubbub/
• Ayuda con las notificaciones a otras redes.

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

19

Plugins

• Wordpress Firewall 2

• http://wordpress.org/plugins/wordpress-firewall-2/
• Evita intentos de ataque por URL o inyección.

• P3 (Plugin Performance Profiler)

• http://wordpress.org/plugins/p3-profiler/
• Aunque no ha de tenerse encendido, puede ayudarte puntualmente a

encontrar qué parte de la web está haciendo que todo vaya mal.

• Te ayuda a separar si es problema del propio núcleo, un plugin, la plantilla,

etc…

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

20

Caché

• Es obligatorio tener la caché de WordPress activada, sino lo pasarás

muy mal.

• Lo mínimo necesario es añadir la línea en el [wp-config.php] y tener

creada la carpeta [/wp-content/cache/] con permisos.

• Esto permite que WordPress cachee a su manera, que principalmente es

manteniendo una copia de las páginas durante una hora.

• ¿Qué plugins de caché puedo usar para mejorar esto?

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

21

Caché

• wp-cache

• https://dl.dropboxusercontent.com/u/19964073/wpplugin-wp-cache.zip
• Funciona, aunque no es lo mejor, ni se le da soporte.

• WP Super Cache

• http://wordpress.org/plugins/wp-super-cache/

• W3 Total Cache

• http://wordpress.org/plugins/w3-total-cache/

@WPBarcelona - #WPBarcelona

www.wpbarcelona.com

22

ahora, ¡preguntad!

Gracias por venir, ¡de verdad!

Esta presentación se encuentra bajo licencia GPL. Free as in Freedom.