Soubor WordPress wp-config.php je jedním z nejdůležitějších souborů v instalaci WordPress. Bez souboru wp-config by vaše webové stránky WordPress jednoduše nemohly fungovat. V tomto příspěvku se budeme věnovat přehledu obsahu souboru wp-config.php, způsobu úpravy souboru wp-config.php a několika podporovaným pokročilým možnostem.
Nezávisle na tom, jaká je vaše role při správě webových stránek WordPress, je nezbytné přesně pochopit, co je soubor wp-config.php a jak funguje při provozu vašich stránek. V tomto průvodci konfiguračním souborem WordPressu vám vysvětlíme nejen to, co je tento důležitý základní soubor WordPressu zač, ale také to, jak jej používat, a dokonce si projdeme několik reálných příkladů souborů. Jdeme na to!
Ať už máte jeden malý blog, který hostujete v systému pro správu obsahu WordPress (CMS), nebo máte za úkol spravovat více webů WordPress, je pravděpodobné, že alespoň jednou přijdete do styku s konfiguračním souborem WordPress. To, kolik zkušeností se souborem wp-config.php máte, pravděpodobně závisí na tom, jak technickou roli zastáváte.
Co je soubor wp-config.php?
Soubor wp-config.php poskytuje základní konfigurační údaje pro váš web WordPress.
Soubor wp-config.php je základní soubor WordPressu, který obsahuje nezbytné informace pro fungování vašeho webu WordPress, včetně:
- Nastavení připojení k databázi WordPress MySQL
- Klíče solí WordPressu &
- Předpona tabulky databáze WordPressu
- ABSPATH (absolutní cesta k adresáři WordPress
- (volitelné) Režim ladění WordPressu
Z mnoha souborů kořenového adresáře vašeho webu WordPress, je konfigurační soubor WordPressu tak důležitý, že bez něj váš web nemůže fungovat. Tento soubor má specifickou syntaxi, kterou je třeba dodržovat, a lze v něm nastavit mnoho různých proměnných. Stručně řečeno, tento soubor slouží k tomu, aby WordPressu řekl, jak se má chovat v různých scénářích, a u různých webů bude vypadat značně odlišně.
Vysvětlení konfiguračního souboru WordPressu
Přesto se podíváme na aktuální příklad kódu wp-config.php později v této příručce, prozkoumejme hlouběji, co konfigurační soubor WordPressu dělá a jaké typy proměnných nastavuje.
Nejprve soubor wp-config.php kriticky nastavuje přístup k databázi. Databáze WordPress je v podstatě databáze MySQL, do které se ukládá většina (ale ne všechen) obsah, včetně příspěvků, komentářů, databáze uživatelů, hesel (šifrovaných a solených) a dalších. Vytváří se také samotné připojení k databázi, které obvykle tvoří první „blok“ neboli část kódu tohoto souboru.
Další nastavení obsažená v konfiguračním souboru WordPressu zahrnují „solení“ (což hackerům ještě více ztěžuje zneužití vaší databáze, pokud by se jim ji podařilo ukrást).
Poznámka: Kromě opatření zdravého rozumu používejte bezpečnostní plugin WordPressu, abyste zajistili, že data vaše i vašich návštěvníků zůstanou v bezpečí.
Další proměnné se nastavují v kódu. Vývojáři mohou například nastavit proměnnou WP_DEBUG na hodnotu ‚1‘ nebo ‚true‘, díky čemuž web poběží v režimu ladění a umožní pokročilou diagnostiku.
Obsah souboru WordPress wp-config.php
Obsah souboru wp-config.php se vyhodnocuje při každém načtení stránky webu, která není uložena v mezipaměti. To znamená, že při každém novém návštěvníkovi se jeho obsah načte znovu, proto je naprosto nezbytné, abyste tento soubor udržovali aktuální a správný.
Soubor bude vypadat jako obrovská řada volání funkcí základních funkcí WordPressu. Za osvědčený postup se také považuje důkladné okomentování veškerého kódu, který do tohoto souboru umístíte. Zatímco vám může být zřejmé, proč jste věci udělali určitým způsobem, jinému vývojáři, který na projektu pracuje později, to zřejmé být nemusí!“
Následující text poskytuje přehled základního obsahu souboru wp-config.php systému WordPress.
POZNÁMKA: Obsah souboruwp-config-sample.php je ve specifickém pořadí. Změna uspořádání obsahu souboru může na vašem webu způsobit chyby.
Nastavení databáze MySQL
Webové stránky WordPressu fungují pomocí databáze MySQL. V databázi je uložen obsah vašeho blogu, například příspěvky, komentáře atd.
Informace o databázi lze obvykle získat od vašeho hostitele. Pokud spravujete vlastní webový server nebo hostingový účet a máte přístup k panelu cPanel, můžete se k těmto informacím dostat v důsledku vytvoření databáze a uživatele. V panelu cPanel navštivte sekci databází MySQL.
| Line | Vysvětlení |
|---|---|
| define(‚DB_NAME‘, ‚database_name_here‘); | Název databáze pro WordPress. Nahraďte ‚database_name_here‘ názvem vaší databáze, například MyDatabaseName. |
| define(‚DB_USER‘, ‚username_here‘); | Uživatelské jméno databáze MySQL používané pro přístup k databázi. Nahraďte ‚username_here‘ jménem svého uživatelského jména, např. myUserName. |
| define(‚DB_PASSWORD‘, ‚password_here‘); | Heslo databáze MySQL používané pro přístup k databázi. Nahraďte ‚password_here‘ svým heslem, například MyPassWord. |
| define(‚DB_NAME‘, ‚database_name_here‘); | Hostname MySQL. Nahraďte ‚localhost‘ názvem hostitele vaší databáze, například MyDatabaseHost. Může být zapotřebí také číslo portu nebo cesta k souboru unixového socketu. Zkuste nainstalovat s výchozí hodnotou ‚localhost‘ a uvidíte, zda to bude fungovat. |
| define(‚DB_CHARSET‘, ‚utf8‘); | Databázová sada znaků, která se použije při vytváření databázových tabulek. Od verze WordPress 2.2 byla zpřístupněna funkce DB_CHARSET, která umožňuje určit znakovou sadu databáze, která se má použít při definování tabulek databáze MySQL. Výchozí hodnota utf8 (Unicode UTF-8) je téměř vždy nejlepší volbou. UTF-8 podporuje libovolný jazyk, takže obvykle je lepší ponechat DB_CHARSET na hodnotě utf8 a místo toho použít hodnotu DB_COLLATE pro váš jazyk. |
| define(‚DB_COLLATE‘, “); | Typ Database Collate. Od verze 2.2 WordPressu byl zpřístupněn typ DB_COLLATE, který umožňuje označit collation databáze (tj. pořadí řazení znakové sady). Ve většině případů by tato hodnota měla zůstat prázdná (null), takže databázový collation bude automaticky přiřazen systémem MySQL na základě znakové sady databáze zadané pomocí DB_CHARSET. Příkladem, kdy může být potřeba nastavit DB_COLLATE na jednu z hodnot UTF-8 definovaných ve znakových sadách UTF-8 pro většinu západoevropských jazyků, může být jiný jazyk, ve kterém se zadané znaky neshodují s tím, co se zobrazuje. |
Soli WordPressu &Klíče
WordPress používá k ověření identity přihlášených uživatelů a komentátorů soubory cookie (nebo informace uložené v prohlížeči), proto WordPress v souboru wp-config.php obsahuje také tajné ověřovací bezpečnostní klíče a soli. Tyto bezpečnostní klíče WordPressu jsou v podstatě dodatečná hesla pro váš web, která jsou dlouhá, náhodná a složitá – takže je téměř nemožné je prolomit.
Čtyři klíče jsou nutné pro zvýšení zabezpečení. Čtyři soli jsou doporučené, ale nejsou povinné, protože WordPress vygeneruje soli za vás, pokud žádné nejsou zadány. Ve výchozím nastavení jsou obsaženy v souboru wp-config.php.
Předpona tabulky databáze WordPressu
Předpona $table_prefix je hodnota umístěná před tabulkami vaší databáze. Pokud chcete pro předponu databáze použít něco jiného než wp_, změňte tuto hodnotu. Obvykle se tato hodnota mění, pokud instalujete více blogů WordPress do stejné databáze, jak je tomu u funkce multisite. Používejte pouze čísla, písmena a podtržítka.
| Line | Vysvětlení |
|---|---|
| $table_prefix = ‚wp_‘; | Předpona tabulky databáze WordPress. |
Jazyk WordPressu
Ve verzi WordPressu 4.0 byla zavedena možnost změnit jazyk na panelu administrace WordPressu místo v souboru wp-config.php. Jazyk změníte přímo z ovládacího panelu WordPressu tak, že navštívíte Nastavení > Obecné a vyberete jazyk webu.
ABSPATH Absolutní cesta k adresáři WordPressu
Následující část obsahuje pokročilé možnosti pro wp-config.php. Změny by mohly vést k nepředvídaným problémům vašeho webu, proto si před přidáním nebo úpravou těchto nastavení nezapomeňte vytvořit zálohu WordPressu.
Úplný seznam možností nastavení souboru wp-config.php najdete v kodexu WordPressu.
| Option | Explanation | Line |
|---|---|---|
| WordPress Address (URL) | WP_SITEURL umožňuje definovat adresu (URL) WordPress. Definovaná hodnota je adresa, na které se nacházejí soubory jádra systému WordPress. Měla by obsahovat také část http://. (Nedávejte na konec lomítko „/“.) Nastavení této hodnoty v souboru wp-config.phpp přepíše hodnotu tabulky wp_options pro siteurl a zakáže pole adresy (URL) WordPressu na stránce Nastavení > Obecné na ovládacím panelu WordPressu. | define( ‚WP_SITEURL‘, ‚http://example.com/wordpress‘ ); |
| Změnit interval automatického ukládání | Při úpravě příspěvku používá WordPress Ajax k automatickému ukládání revizí příspěvku v průběhu úprav. Možná budete chtít toto nastavení zvýšit pro delší prodlevy mezi automatickým ukládáním nebo snížit, abyste měli jistotu, že o změny nikdy nepřijdete. Výchozí nastavení je 60 sekund. | define( ‚AUTOSAVE_INTERVAL‘, 160 ); // Sekundy |
| Zakázat revize příspěvků | WordPress ve výchozím nastavení ukládá kopie každé provedené úpravy příspěvku nebo stránky, což umožňuje vrátit se k předchozí verzi příspěvku nebo stránky. Ukládání revizí lze zakázat nebo lze určit maximální počet revizí pro jeden příspěvek nebo stránku. | define( ‚WP_POST_REVISIONS‘, false ); |
| Určení počtu revizí příspěvků | Pokud chcete určit maximální počet revizí, změňte false na celé číslo/číslo (např, 3 nebo 5). | define(‚WP_POST_REVISIONS‘, 3); |
| Nastavení domény souborů cookie | Doménu nastavenou v souborech cookie pro WordPress lze zadat pro ty s neobvyklým nastavením domény. Jedním z důvodů je, pokud jsou subdomény používány k obsluze statického obsahu. Chcete-li zabránit odesílání souborů cookie WordPressu při každém požadavku na statický obsah na subdoméně, můžete nastavit doménu souborů cookie pouze na svou nestatickou doménu. | define(‚COOKIE_DOMAIN‘, ‚www.askapache.com‘); |
| Povolit multisite / síťové možnosti | WP_ALLOW_MULTISITE je funkce zavedená ve WordPressu verze 3.0, která umožňuje funkci multisite dříve dosaženou prostřednictvím WordPress MU. Pokud toto nastavení v souboru wp-config.php chybí, je výchozí hodnota false. | define(‚WP_ALLOW_MULTISITE‘, true); |
| Přesměrování neexistujících blogů | NOBLOGREDIRECT lze použít k přesměrování prohlížeče, pokud se návštěvník pokusí přistoupit k neexistujícímu blogu. příklad: http://nonexistent.example.com nebo http://example.com/nonexistent/. | define(‚NOBLOGREDIRECT‘, ‚http://example.com‘); |
| Debug | Volba WP_DEBUG řídí zobrazování některých chyb a varování. Pokud toto nastavení v souboru wp-config.php chybí, předpokládá se, že jeho hodnota je false. POZNÁMKA: Hodnoty true a false v příkladu nejsou nastaveny v apostrofech (‚), protože se jedná o logické hodnoty. | define(‚WP_DEBUG‘, true); define(‚WP_DEBUG‘, false); |
| Zakázat zřetězení Javascriptů | Aby bylo dosaženo rychlejšího zobrazení administrační oblasti, jsou všechny soubory Javascriptů zřetězeny do jedné adresy URL. Pokud Javascript v administrační oblasti nefunguje, můžete zkusit tuto funkci vypnout. | define(‚CONCATENATE_SCRIPTS‘, false); |
| Zvětšení paměti přidělené PHP | Volba WP_MEMORY_LIMIT umožňuje určit maximální množství paměti, které může PHP spotřebovat. Toto nastavení může být nezbytné v případě, že se zobrazí hlášení typu „Povolená velikost paměti xxxxxx bajtů vyčerpána“. Toto nastavení zvyšuje paměť PHP pouze pro WordPress, nikoli pro jiné aplikace. Ve výchozím nastavení se WordPress pokusí zvýšit paměť přidělenou PHP na 40 MB (kód je na začátku souboru wp-settings.php), takže nastavení v souboru wp-config.php by mělo odrážet něco vyššího než 40 MB. WordPress před využitím této funkce automaticky zkontroluje, zda není PHP přiděleno méně paměti, než je zadaná hodnota. Například pokud bylo PHP přiděleno 64 MB, není třeba tuto hodnotu nastavovat na 64 MB, protože WordPress v případě potřeby automaticky využije všech 64 MB. Poznámka: toto nastavení nemusí fungovat, pokud váš hostitel neumožňuje zvýšit limit paměti PHP. Pro zvýšení limitu paměti PHP se obraťte na svého hostitele. Všimněte si také, že mnoho hostitelů nastavuje limit PHP na 8 MB. | Zvýšit paměť PHP na 64MB define(‚WP_MEMORY_LIMIT‘, ’64M‘); Zvýšit paměť PHP na 96MB define(‚WP_MEMORY_LIMIT‘, ’96M‘); |
| Cache | Nastavení WP_CACHE, je-li true, zahrnuje wp-content/advanced-cache.php při spuštění skriptu wp-settings.php. Ve výchozím nastavení je v současných verzích WordPressu toto nastavení WP_CACHE upraveno tak, aby jednoduše umožňovalo iniciovat koncepty ukládání do mezipaměti „jiným“ kódem (pluginy/vlastními funkcemi), který se připojí k rozhraní API pro ukládání do mezipaměti, které WordPress poskytuje. | define(‚WP_CACHE‘, true); |
| Alternativní Cron | Toto nastavení je užitečné, pokud se plánované příspěvky nezveřejňují. Tato alternativní metoda používá přístup přesměrování, který způsobí, že prohlížeč uživatelů dostane přesměrování, když je třeba spustit cron, takže se okamžitě vrátí na web, zatímco cron pokračuje v běhu ve spojení, které právě přerušil. Tato metoda je někdy trochu nejistá, a proto není výchozí. | define(‚ALTERNATE_WP_CRON‘, true); |
| Empty Trash | Toto nastavení řídí počet dní, než WordPress trvale odstraní příspěvky, stránky, přílohy a komentáře z koše. Výchozí hodnota je 30 dní: | define(‚EMPTY_TRASH_DAYS‘, 30 ); // 30 dní |
| Automatická optimalizace databáze | Ve verzi 2.9 byla přidána podpora automatické optimalizace databáze, kterou můžete povolit přidáním následující definice do souboru wp-config.php pouze v případě, že je tato funkce vyžadována. Skript najdete na adrese {$your_site}/wp-admin/maint/repair.php Upozornění: Tato definice povoluje funkci, Uživatel nemusí být přihlášen, aby měl přístup k této funkci, pokud je tato definice nastavena. Je to proto, že jejím hlavním záměrem je opravit poškozenou databázi, Uživatelé se často nemohou přihlásit, když je databáze poškozená. |
define(‚WP_ALLOW_REPAIR‘, true); |
| Zakázat editor zásuvných modulů a témat | Občas můžete chtít zakázat editor zásuvných modulů nebo témat, abyste zabránili příliš horlivým uživatelům v možnosti upravovat citlivé soubory a potenciálně zhroutit web. Jejich zakázání také poskytuje další úroveň zabezpečení, pokud hacker získá přístup k dobře privilegovanému uživatelskému účtu. | define(‚DISALLOW_FILE_EDIT‘,true); |
| Zakázat aktualizaci a instalaci zásuvných modulů a témat | Tím zablokujete možnost uživatelů používat funkce instalace/aktualizace zásuvných modulů a témat z oblasti správy WordPressu. Nastavení této konstanty zároveň zakáže editor zásuvných modulů a témat (tj. nemusíte nastavovat DISALLOW_FILE_MODS a DISALLOW_FILE_EDIT, protože samo o sobě bude mít DISALLOW_FILE_MODS stejný účinek). | define(‚DISALLOW_FILE_MODS‘,true); |
| Vyžadovat SSL pro administrátora a přihlašování | FORCE_SSL_LOGIN je určen pro případy, kdy chcete zabezpečit přihlašování, aby se hesla neposílala otevřeně, ale přesto chcete povolit relace administrátora bez SSL (protože SSL může být pomalé). | define(‚FORCE_SSL_LOGIN‘,true); |
| Čištění úprav obrázků | Ve výchozím nastavení WordPress při každé úpravě obrázku vytvoří novou sadu obrázků. Při obnovení původního obrázku se úpravy uloží na server. Definováním hodnoty IMAGE_EDIT_OVERWRITE jako true toto chování změníte. Vždy se vytvoří pouze jedna sada úprav obrázku a při obnovení originálu se úpravy ze serveru odstraní. | define( ‚IMAGE_EDIT_OVERWRITE‘, true ); |
Kde je umístěn soubor wp-config?
V kompletním, funkčním webu WordPress je soubor wp-config.php umístěn v „kořenovém adresáři“ webu. Ve většině případů, pokud nepoužíváte upravené sdílené hostingové řešení, to znamená, že se ke svému webu připojíte pomocí zabezpečeného FTP klienta, přejdete do složky public_html a soubor se bude nacházet v tomto umístění.
Jestliže jste však WordPress právě nainstalovali nebo se ve svém serveru WordPress teprve vrtáte, pravděpodobně jste si všimli, že žádný takový soubor neexistuje. Nemějte strach, protože váš soubor stále existuje! Při čerstvé instalaci WordPressu se soubor wp-config místo toho pouze jmenuje wp-config-sample.php, a to z dobrého důvodu. Pokračujte ve čtení a dozvíte se proč.
Umístění konfigurace WP
Při prvotní instalaci WordPressu je přiložen vzorový soubor pro jeho konfiguraci, abyste měli představu, co by měl soubor minimálně obsahovat. Především vám ukáže, jak se připojit k databázi MySQL pro napájení webu WordPress. Mějte na paměti, že mít vytvořenou databázi samo o sobě nestačí! Budete muset dodržovat zdravá bezpečnostní opatření, jak uvidíte v ukázkovém souboru poskytnutém WordPressem.
Skutečný soubor wp-config.php lze snadno vytvořit v kořenovém adresáři přejmenováním již existujícího souboru wp-config-sample.php na tento soubor. Mějte však na paměti, že to bez určitých úprav znemožní fungování vašeho webu.
Důvodem je umístění „fiktivních“ informací v ukázce. Samozřejmě není možné, aby WordPress věděl, jaký server budete používat pro databázi. Pokud máte malý web nebo vám váš webhosting neposkytl adresu databázového serveru, můžete pravděpodobně jako hostitele ponechat „localhost“.
V souboru však budete muset vytvořit novou databázi pojmenovanou podle toho, jak se rozhodnete databázi nazývat, vytvořit v MySQL nového uživatele pouze s nejzákladnějšími oprávněními potřebnými pro přístup k informacím a všechny tyto přístupové údaje vložit do souboru.
Jak upravit soubor wp-config.php?
Soubor wp-config.php můžete upravit několika různými způsoby. Abyste však mohli upravit konfigurační soubor WordPressu, budete potřebovat přístup k souborům na serveru.
- Nejprve si musíte stáhnout a nainstalovat klienta sFTP, například FileZilla (je zcela zdarma a funguje perfektně ve všech operačních systémech). Ten vám umožní přímý přístup k souborům WordPress.
- Poté se budete muset připojit k serveru svých webových stránek prostřednictvím klienta FTP s přihlašovacími údaji, které vám poskytl hostitel webových stránek. Pokud nevíte, jaké jsou vaše přihlašovací údaje, poraďte se se svým poskytovatelem hostingu.
- Můžete také použít správce souborů, který poskytuje váš hostitel WordPressu. Nejběžnější platformou správce souborů je cPanel. Ze správce souborů cPanel můžete přistupovat k souborům svých webových stránek, včetně souboru wp-config.php.
Poznámka: Pokud máte čerstvě nainstalovaný WordPress, budete muset nejprve přejmenovat soubor wp-config-sample.php, abyste vůbec měli soubor se správným názvem. To lze obvykle provést prostřednictvím libovolného FTP klienta.
Po přejmenování ukázkového souboru je lákavé použít pouze textový editor poskytnutý hostitelem. Nejlepším postupem je však v tomto případě stáhnout soubor, upravit jej lokálně, ověřit, zda jsou všechny vaše změny správné, uchovat zálohu originálu a poté znovu nahrát upravenou verzi. Tím zajistíte, že váš web bude moci fungovat i v případě, že uděláte chybu, která způsobí nepoužitelnost souboru.
Pamatujte, že jediné, co je technicky nutné, jsou informace o databázi MySQL, aby váš web fungoval. Dalšími pokročilými možnostmi, které můžete v tomto souboru nastavit, se budeme zabývat o něco později.
Úprava souboru wp-config.php
POZNÁMKA: Před úpravou jakýchkoli souborů jádra systému WordPress nebo kódu na webu WordPress si nezapomeňte vytvořit zálohu. Doporučujeme použít zálohovací plugin WordPressu, například BackupBuddy.
POZNÁMKA: K úpravám souborů WordPressu používejte pouze textový editor. Nikdy nepoužívejte textový editor, jako je Microsoft Word nebo Pages.
- 1. Vytvořte kompletní zálohu svých webových stránek WordPress. Ujistěte se, že znáte způsob zálohování a obnovení systému WordPress pro případ, že se něco pokazí.
- 2. Vyhledejte soubor wp-config.php v základním adresáři instalace systému WordPress.
- 3. Otevřete soubor pomocí textového editoru.
- 3. Opatrně proveďte změny a všímejte si syntaxe jazyka PHP. Překontrolujte hodnoty v kodexu WordPressu.
- 4. Nezapomeňte zkontrolovat, zda kolem všech zadaných hodnot nejsou počáteční a/nebo koncové mezery. NEODSTRAŇUJTE jednoduché uvozovky!
- 5. V případě, že se vám nepodařilo vymazat uvozovky, zkontrolujte, zda jsou správně. Před uložením souboru překontrolujte, zda jste omylem neodstranili jednoduché uvozovky kolem hodnot parametrů. Ujistěte se, že za uzavírací značkou PHP v souboru nic není. Poslední věc v souboru by měla být ?> a nic jiného. Žádné mezery.
- 6. Chcete-li soubor uložit, zvolte Soubor > Uložit jako > wp-config.php a uložte soubor do kořenového adresáře instalace WordPressu.
- 7. Obnovte webovou stránku WordPressu v prohlížeči a ujistěte se, že vše funguje podle očekávání.
Jak lze soubor wp-config.php dále upravit
Budete chtít zachovat téměř všechny funkce, které jsou volány v poskytnutém souboru díky vzorovému souboru wp-config.php, který poskytuje WordPress. Možná vás zajímá, jak jinak můžete tento konfigurační soubor použít.
Všeobecně řečeno, když využijete jádro WordPressu define() functionv rámci konfiguračního souboru, můžete dosáhnout téměř čehokoli. Můžete například zajistit, aby návštěvníci, kteří se pokusí navštívit špatnou adresu URL, byli pouze přesměrováni na vaši domovskou stránku.
Pro úplný a aktuální seznam dalších úprav, které můžete v souboru wp-config provést, aby byl více přizpůsoben vašim stránkám, doporučujeme podívat se na doporučení WordPressu pro úpravy souboru wp-config.php. Mějte na paměti, že ne všechny tyto úpravy jsou neškodné, takže se ujistěte, že jste každou funkci před jejím nasazením důkladně prozkoumali!
O oprávněních souboru wp-config
Ačkoli je WordPress vytvořen tak, aby byl poměrně uživatelsky přívětivý, neodvádí příliš dobrou práci při vysvětlování toho, jak je třeba nastavit oprávnění na serveru pro soubory, jako je wp-config.php.
Jak fungují oprávnění k souborům ve WordPressu
Pokud nejste obeznámeni, oprávnění k souborům ve WordPressu účinně říkají, kdo má povolen přístup k jakým souborům a jak k nim může přistupovat.
Při práci s oprávněními k souborům máme k dispozici tři typy uživatelů:
- Uživatel – to je v podstatě správce webu
- Skupina – trochu zastaralé, ale znamená to skupinu lidí v rámci „domény“ s nějakým správcovským přístupem
- Svět – to znamená všichni ostatní na celé zemi, kteří mohou přistupovat k vašemu webu.
Existuje další sada tří akcí, které je stejně důležité znát. Tato sada obsahuje tři typy akcí, které „uživatel“, „skupina“ a/nebo „svět“ smí nebo nesmí provádět.
- Číst – To znamená vidět obsah souboru
- Zapsat – To znamená mít možnost vidět i upravovat obsah souboru
- Spustit – To znamená mít možnost spustit soubor na straně serveru, ale nemít možnost vidět zdrojový kód
Vzhledem k tomu, že většina důležitých souborů WordPressu je v jazyce PHP, budeme muset většinu souborů povolit spustit v podstatě všem. Mějte na paměti, že pokud dáme oprávnění ke čtení souboru, dovolíme lidem vidět skutečný obsah souboru. To asi není nejlepší nápad povolit, pokud budeme mít v souboru obsaženy citlivé informace z databáze!“
Povolení se nastavují několika způsoby, ale nejjednodušší způsob je využití tří čísel. „777“ znamená zcela otevřená oprávnění pro všechny na celém světě. Vaše oprávnění by neměla být nastavena na tuto hodnotu pro wp-config. Tato čísla vznikají pomocí binární soustavy, kterou se teď nebudeme zabývat.
Zkrátka vaše číselná oprávnění pro tento soubor by měla být „444“ podle rady WordPressu. To byste měli být schopni nastavit s využitím jakéhokoli webového systému pro správu souborů nebo FTP klienta, který máte. V nejhorším případě, pokud máte přístup k linuxovému terminálu, můžete k provedení této změny jednoduše využít chmod.
Debugování WordPressu pomocí wp-config.php
Jak jsme již zmínili, hlavní konfigurační soubor pro náš web WordPress sice musí obsahovat informace o připojení k databázi, ale slouží také k nastavení pokročilých možností, včetně ladění.
I když nejste vývojář, možná budete chtít zjistit, proč se objevuje určitá chyba, nebo zobrazit více informací o každé zobrazené chybě, než se vám právě zobrazuje.
Pro tento účel budete muset nastavit určitou proměnnou poté, co se ujistíte, že máte práva k souboru nastavena na „444“. Přejděte do souboru a jednoduše přidejte tento řádek pod všechny informace o databázi:
define( 'WP_DEBUG', true );
Tím jednoduše povolíte režim ladění. Budeme chtít, aby režim ladění nebránil načítání stránek, aby se návštěvníci neodvraceli od webu. To znamená, že budeme muset přidat tento řádek:
define( 'WP_DEBUG_DISPLAY', false );@ini_set( 'display_errors', 0 );
Jsme téměř hotovi, ale v tomto okamžiku by byl režim ladění zapnutý, uživatelé by mohli přistupovat ke stránkám, ale stále bychom neviděli informace vypisované ladicím programem WordPress. K tomu budeme potřebovat, aby se informace zapisovaly do souboru protokolu. Chcete-li je nechat zapsat do souboru s názvem /wp-content/debug.log, stačí přidat tento poslední řádek kódu:
define( 'WP_DEBUG_LOG', true );
Poznámka: Po provedení akcí, které nevrátí očekávané údaje, budete muset nahlédnout do souboru .log na tomto místě, abyste zjistili, co se pokazilo.
Příkladový konfigurační soubor WordPressu
Jak jsme již probrali, WordPress obsahuje soubor s názvem wp-config-sample.php, aby si novější uživatelé mohli udělat představu o tom, jak by měl vypadat běžný konfigurační soubor WordPressu.
Podívejme se na tento příkladový konfigurační soubor WordPressu, který je součástí každé standardní instalace WordPressu, a promluvme si o možných dalších volbách. Podívejte se na komentáře v souboru, kde najdete další informace o tom, co jednotlivé řádky vlastně znamenají.
Soubor wp-config-sample.php
Abyste měli k dispozici příklad souboru wp-config.php, WordPress se dodává s předinstalovaným vzorovým konfiguračním souborem. Při první instalaci WordPressu ruční metodou budete muset aktualizovat informace v tomto souboru a poté soubor přejmenovat zpět na wp-config.php.
Poznámka: Vaše verze konfiguračního flie WordPressu může v závislosti na nastavení vypadat trochu jinak.
Jak přejmenovat soubor wp-config-sample.php?
Zkrátka, nejprve byste se měli ujistit, že soubor wp-config-sample.php je přesně takový, jak má vypadat skutečný soubor.
Dále byste se měli ujistit, že oprávnění jsou správně nastavena na „444“, aby k nim hackeři nemohli získat neoprávněný přístup.
Poznámka: Před provedením jakýchkoli změn v souborech na webu WordPress byste měli web WordPress zálohovat. Mít zálohu znamená, že všechna vaše data zůstanou zachována bez ohledu na to, jaké chyby se mohou objevit.
Jakmile to uděláte, jednoduše odstraňte -sample z názvu souboru, ujistěte se, že je v kořenovém adresáři, a můžete začít! Pokud váš hostitel neposkytuje jednoduchý online správce souborů, který umožňuje přejmenování souborů, můžete k tomu použít některý z nesčetného množství programů FTP.
Jak bezpečný je soubor wp-config.php?
Soubor wp-config.php je přesně tak bezpečný, jak si ho vytvoříte. Pouhé přidání jednoduchých údajů o databázi to nezachrání. Ujistěte se, že jste nastavili všechna bezpečnostní opatření, například solení hashů, které je již v ukázkovém souboru wp-config.phpp. Pokud si chcete zkracovat cestu, tento soubor k tomu rozhodně není vhodný!“
Nejčastějším bezpečnostním problémem spojeným s tímto souborem je nevyužití správných oprávnění. Nezapomeňte, že číselná oprávnění nastavená pro tento soubor jsou jednoduše „444“. To umožňuje přístup k souboru a jeho spuštění každému, kdo to potřebuje. V žádném případě by uživatelé neměli mít možnost zobrazit skutečný obsah tohoto souboru, pokud nechcete, aby vám ukradli databázi (databáze)!“
Vzhledem k tomu, že jste si dali tu práci s vytvořením databáze MySQL, uživatele, hesla atd., zdá se, že by bylo nejjednodušší prostě použít výchozí název databáze, uživatelské jméno a heslo, že?“
Omyl. Udělat to může být dost možná ta nejhorší chyba, kterou může webmaster udělat. Existují nástroje určené k napadání webů WordPress, které doslova chodí z webu na web a zkoušejí tyto výchozí přihlašovací údaje. Nejlepší způsob, jak tyto útočné hackerské nástroje zmást, je pojmenovat databázi nějak zcela náhodně (ale stále mít před názvem požadovanou předponu „wp_“), abyste je ještě více zmátli.
Pokud je vše správně využito, měl by být wp-config docela bezpečný. Za předpokladu, že máte odpovídající ochranu proti útokům, pravidelně aktualizujete veškerý software a používáte bezpečná hesla, mělo by být vše v pořádku i při dalším vývoji WordPressu.
Závěr se souborem WordPress wp-config.php
Konfigurační soubor WordPress wp-config.php je snadno pochopitelný, jakmile pochopíte, kde se nachází, co obsahuje a jak ho upravovat. Tento důležitý konfigurační soubor pro WordPress vám pomůže rychle a snadno zprovoznit vaše webové stránky … a vy se tak můžete věnovat důležitějším věcem.
Sdílet prostřednictvím:
.