WordPress - Strona 2 z 2 - Codovado – Agencja Interaktywna z Katowic

Jak zainstalować WordPressa? Poradnik dla każdego.

WordPress jako system zarządzania treścią (nie mylić z wordpress.com) jest darmowym oraz najpopularniejszym systemem zarządzania treścią. Jego instalacja jest możliwa do wykonania samodzielnie – należy jednak pamiętać o kilku konkretnych kwestiach niezbędnych do prawidłowego przebiegu konfiguracji.

Większość hostingów posiada w panelu klienta możliwość automatycznej instalacji WordPressa pod wybraną domenę, jednak nasz poradnik skupia się na zrobieniu tego we własnym zakresie.

Dlaczego lepiej zainstalować WordPressa samemu?

Warto zrobić to z jednej prostej przyczyny – instalując WP samemu, mamy pełną kontrolę nad tym, co instalujemy. Instalując WordPressa z autoinstalatora dostępnego w panelu hostingu, nigdy nie mamy pewności, co tak naprawdę się dzieje i czy nie są instalowane jakieś dodatkowe pliki.

Na co zwracać uwagę przy zakupie konta hostingowego?

Zanim przystąpimy do zainstalowania naszego WordPressa, potrzebujemy konta hostingowego. Nie będziemy tutaj omawiać zakupu domeny i podpinania jej, bo u każdego dostawcy wygląda to zawsze trochę inaczej, a z reguły każdy z nich na swojej stronie posiada odpowiednie poradniki jak to zrobić.

Skupimy się tutaj bardziej na wymogach, jakie musi spełniać hosting przy założeniu, że chcemy mieć najnowszą wersję WordPressa.

Do najważniejszych spraw, na które warto zwrócić uwagę należą:

  • Obsługa PHP w wersji 7.3 w górę,
  • MySQL w wersji 5.6 w górę lub MariaDB w wersji 10.1 w górę,
  • Wsparcie SSL,
  • Zalecany serwer w oparciu o Apache lub NGINX,
  • Zalecamy również hosting na dyskach SSD lub dedykowany pod WordPressa.

Na chwilę obecną te standardy spełniają takie serwisy hostingowe, jak:

  • Cyber_Folks
  • OVH
  • az.pl
  • Zenbox.pl

Zapewnia je większość najpopularniejszych firm hostingowych, ale również wiele innych mniejszych. Finalny wybór hostingu pozostaje po stronie Klienta, a w razie pytań możemy pomóc, doradzić albo zaproponować hosting u nas.

Przy pisaniu tego poradnika korzystamy z naszego testowego konta na cyber_folks.

Podsumowując – przed rozpoczęciem instalacji WordPressa będziemy potrzebować konto hostingowe spełniające odpowiednie wymagania z podpiętą domeną.

Pobieranie paczki z WordPressem na komputer.

Na tym etapie pobierzemy paczkę z plikami WordPressa, które będziemy musieli rozpakować i przerzucić na nasz serwer FTP.

Najnowszą wersję WordPressa w paczce można pobrać z tego miejsca.

Stworzenie konta FTP, czyli tworzymy konto które pozwoli nam zainstalować pobrane pliki WP na serwerze.

Każdy z hostingów posiada Panel admina (DirectAdmin, cPanel itp). To właśnie w tym miejscu w bezpieczny sposób zarządzamy naszym serwerem.

W tym miejscu znajduje się również możliwość zarządzania oraz tworzenia kont FTP. Odnajdujemy taką opcję u siebie i tworzymy konto.

Nazwę użytkownika oraz hasło zapisujemy w programie do przechowywania haseł (Lastpass, 1 password, KeePass) albo w inny bezpieczny sposób.

Może zdarzyć się sytuacja, że nie zostanie podany nam adres serwera FTP. Wówczas odnajdziemy go w DirectAdminie lub Danych dostępowych, ponadto w FAQ dostawcy znajduje się informacja na temat adresu erwera FTP.

Kolejny krok – baza danych, czyli najważniejsza rzecz.

Baza danych to prawdopodobnie najważniejszy element strony internetowej opartej o WordPressa (ale także każdej innej), ponieważ w bazie danych będą znajdować się wszystkie treści, produkty, użytkownicy itd. Wszystko, co dodamy przez panel administratora umieszczane jest w bazie danych.

Tak samo jak w przypadku konta FTP, utworzyć bazę danych możemy z poziomu Panelu Admina/DirectAdmina. Powinnyśmy mieć tam opcję „Utwórz nową bazę MySQL”, którą wybieramy.

Wpisujemy nazwę bazy danych, nazwę użytkownika oraz hasło.

Po utworzeniu takiego konta powinniśmy otrzymać informację o adresie bazy danych. Zazwyczaj jest to localhost, ale może być również adres, który sprawdzimy w danych dostępowych.

Krótkie podsumowanie na tym etapie.

Na tym etapie na wykupionym przez  nas hostingu z podpiętą domeną utworzyliśmy konto FTP, które pozwoli nam przesłać pobrane wcześniej pliki WordPressa. Stworzyliśmy także bazę danych niezbędną do instalacji WordPressa.

Co dalej?

Łączymy się z serwerem i wgrywamy WordPressa.

Przechodzimy w tym momencie już do konkretów! Jednak zanim wgramy pliki WordPressa na naszym serwerze, musimy się z nim połączyć.

Musimy w tym momencie zainstalować dowolnego klienta FTP:

  • WinSCP
  • FileZilla
  • Total Commander
  • Cyberduck

W naszym przypadku korzystamy z WinSCP i bardzo go polecamy. Pobieramy dany program i instalujemy go na naszym komputerze, stosując się do instrukcji przy instalacji. Gdy zainstalujemy – włączamy program.

Naszym oczom ukaże się interfejs programu, który jest względnie prosty bo od razu powinniśmy zauważyć miejsce do wpisania wcześniej utworzonego konta FTP:

Teraz dość ważna kwestia, ponieważ po połączeniu z serwerem w zależności od hostingu – możemy mieć różną strukturę folderów, a my szukamy miejsca, gdzie musimy wgrać nasze pliki na stronę. Poniżej przedstawiamy kilka przykładowych ścieżek, które mogą się pojawić:

  • /domains/mojadomena.pl/public_html
  • /public_html/
  • /www/
  • /mojadomena.pl/

Gdy nie mamy pewności czy wybraliśmy prawidłowy katalog, wgrywamy nie pusty plik testowy na przykład: test.txt o treści dla przykładu: „TEST OK” do potencjalnie dobrego katalogu. Próbujemy uzyskać do niego dostęp przez przeglądarkę przechodząc do adresu mojadomena.pl/test.txt. Jeżeli wybraliśmy prawidłowy katalog, powinna nam się ukazać treść pliku, w przeciwnym przypadku wybraliśmy złą ścieżkę.

Gdy już jesteśmy w odpowiednim katalogu na serwerze, przerzucamy nasze pliki do serwera.

Jak sprawdzić czy pliki WordPressa zostały przesłane prawidłowo?

Najprostszą metodą, by to sprawdzić jest po prostu wpisanie w przeglądarce adresu naszej strony. Jeżeli wszystko zrobiliśmy dobrze, to naszym oczom powinna ukazać się taka oto plansza zapraszająca do dalszej instalacji WordPressa.

Pojawił się taki widok? Świetnie, przechodzimy dalej klikając „Zaczynajmy!”.

Ostatni etap – konfiguracja!

Kolejnym krokiem, o jaki poprosi nas WordPress jest podanie mu informacji o bazie danych, którą utworzyliśmy wcześniej:

Dodatkowo pojawi się również pole do wpisania prefiks tabel. Domyślnie jest on ustawiony na wp_ jednak ze względu bezpieczeństwa zalecamy zmienić prefiks na jakiś inny.

Klikamy „Wyślij” i jeżeli wszystko zrobiliśmy dobrze to naszym oczom ukaże się komunikat:

A co w przypadku komunikatu „Błąd łączenia się z bazą danych”?

Komunikat ten w większości przypadków pojawia nam się wtedy, gdy prawdopodobnie podaliśmy błędne dane do połączenia z bazą danych, dlatego weryfikujemy wszystkie te informacje.

Teraz pozostał nam ostatni etap, w którym musimy nadać nazwę naszej strony internetowej oraz utworzyć konto administratora.

Ze względów bezpieczeństwa zalecamy używać generatora haseł oraz unikać prostych haseł typu audi123 czy jan123. Preferujemy także używać innej nazwy użytkownika niż domyślny admin.

Na dole mamy również informację „Poproś wyszukiwarki o nieindeksowanie tej witryny”. Na etapie, w którym dopiero robimy nasza stronę, warto zaznaczyć opcję, aby Google nie indeksował naszej strony w wersji roboczej.

Klikamy „Zainstaluj WordPressa”, po czym pojawi się komunikat:

Gratulujemy! Właśnie udało Ci się zainstalować WordPressa.

Podsumowanie

Pamiętajmy, aby po instalacji i skonfigurowaniu naszej strony, zadbać o jej odpowiednie zabezpieczenie strony internetowej i ograniczyć się do minimum wtyczek (nie używać wtyczek niewiadomego pochodzenia oraz modyfikowanych paczek WordPressa – mogą zawierać złośliwy kod).

Mamy nadzieję, że nasz poradnik będzie pomocny przy instalacji WordPressa we własnym zakresie.

W razie problemów służymy pomocą! Nie chcesz robić tego samodzielnie? Zleć nam realizację strony internetowej z wykorzystaniem systemu WordPress lub samą instalację systemu.

Jak zabezpieczyć swojego WordPressa?

Od dłuższego czasu słyszymy tylko jedno słowo – koronawirus. Niestety, martwiąc się o ogólną sytuację, możemy zapomnieć o bezpieczeństwie swojej wizytówki w Internecie. To właśnie teraz, kiedy podczas pandemii wzmożona jest aktywność użytkowników online, warto pomyśleć nad wzmocnieniem bezpieczeństwa swojej własnej strony internetowej. Przedstawiamy kilka podstawowych zasad, które pomogą zwiększyć ochronę WordPressa.

Usuń zbędne wtyczki oraz motywy

Gdy spotykamy się ze stronami naszych Klientów na WP, w większości przypadków zainstalowane są zawsze domyślne motywy oraz kilka nieaktywowanych wtyczek lub takich, których funkcjonalność można szybko zastąpić ręcznie wklejając coś do kodu strony. Warto całkowicie usunąć je ze strony, a w przypadku wtyczek warto ograniczyć je do minimum. Mniej wtyczek to zdecydowanie lepsza opcja dla właściciela strony i odwiedzających.

Zdarzają się wtyczki, które przez długi okres czasu zostają bez wsparcia i właśnie te luki wykorzystują hakerzy do wpuszczania robaczków lub wykradania danych.

Nie używaj wtyczek zabezpieczających

Wtyczki zabezpieczające to wbrew pozorom najczęstsza przyczyna ataku na stronę internetowa. Wszystko dzięki ich popularności oraz to, że ingerują bezpośrednio w core WordPressa.

Tego typu wtyczka jest ostatnią rzeczą, którą powinniśmy dodać do naszego WordPressa.

Pamiętaj o aktualizacjach

Jak wyżej wspomnieliśmy, bardzo ważna jest kwestia wsparcia wtyczek oraz ich aktualizacja. Dlatego gdy tylko pojawi się taka możliwość – aktualizujemy do ostatniej wersji. Musimy również pamiętać o aktualizowaniu naszego WordPressa.

Upewnijmy się również, że posiadamy odpowiednią wersję PHP na serwerze, której wymaga najnowsza wersja WP.

Używaj niestandardowych haseł

Niestety, wciąż większość społeczeństwa korzysta z mnemotechniki i korzysta z haseł typu „123456” albo „qwertyuiop” lub prostych haseł typu „bmw987”. Warto porzucić ten nawyk, bo często  wykorzystujemy go również przy skrzynkach pocztowych, portalach społecznościowych.

Co warto robić? Warto korzystać z generatorów haseł np. Strong Random Password Generator. Taki 16 znakowy ciąg losowych znaków znacznie utrudnia jego odszyfrowanie hakerowi lub narzędziom, z których korzysta.

Zmień admina

Kolejnym złym nawykiem jest zostawianie użytkownika o nazwie „admin” lub „administrator”. Tak jak w przypadku haseł, jest to kolejne ułatwienie dostępu do naszej strony hakerowi. W przypadku nazwy użytkownika, jeżeli chcemy już używać domyślnego admina, warto dodać do niego coś więcej np. datę urodzenia „admin23041989” lub używać zupełnie innej nazwy użytkownika.

Najskuteczniejszym zabiegiem jest używanie adres e-mail jako nazwy użytkownika – można do tego użyć wtyczki WP Email Login lub wprowadzić taką możliwość w plikach funkcyjnych szablonu.

Zabezpiecz dostęp do wp-admina

Domyślny adres panelu administracyjnego www.adres-strony.pl/wp-admin/ to możliwość szybkiego dostania się do panelu administracyjnego i błędnym założeniem jest zmiana tego adresu, ponieważ może to generować nam problemy w przyszłości.

Rozwiązaniem tego problemu będzie ograniczenie dostępu po adresie IP lub zrobienie dwuetapowej weryfikacji.

Pamiętaj, aby nigdy nie robić zabezpieczenia w postaci zmiany linku do wp-admina np. wtyczką WP Hide Login. W przyszłości może spowodować to problemy z aktualizacjami, a nie umiejętne odinstalowanie czy nawet wyłączenie tej wtyczki najczęściej kończy się zablokowaniem dostępu do panelu administracyjnego.

Certyfikat SSL

SSL czyli Secure Socket Layer realnie zwiększa zabezpieczenie naszej strony. SSL zapewnia nam bezpieczny transfer danych pomiędzy przeglądarką a serwerem.

Większość firm hostingowych oferuje dzisiaj na sprzedaż certyfikaty oraz automatyzację ich wdrożenia – warto z tego korzystać. Pamiętajmy o tym że SSL to także większe zaufanie u Google, bowiem obecność takiego certyfikatu wpływa na ranking strony w Google.

2-stopniowa autoryzacja

2FA to dodatkowa cegiełka do zabezpieczenia strony. Uwierzytelnianie wieloczynnikowe to świetne narzędzie, które może do zalogowania wymagać fizycznego tokena lub hasła SMS, które przychodzi na telefon użytkownika w momencie logowania.

Polecamy korzystać z narzędzia Google eAuthenticator ze względu na łatwość jego konfiguracji.

Używaj innego prefiksu bazy danych

Przy instalacji, WordPress automatycznie proponuje nam prefiks „wp_” dla naszej bazy danych. Warto zmienić go na jakiś inny lub dopisać do tego prefiksu ciąg znaków, np. „wp561mfip5_”. Domyślny prefiks to szansa na atak na bazę danych.

Obserwacja plików strony

Warto weryfikować, czy w plikach strony nie zachodzą jakieś zmiany lub czy nie pojawiły się jakieś niestandardowe pliki, które być może są robakami lub malware. Do bieżącej obserwacji plików zalecamy korzystanie z wtyczki Wordfence Security.

Szybka i prosta konfiguracja oraz raporty na e-mail. Można również sprawdzać pliki ręcznie korzystając z połączenia FTP lub skanerów SSH.

Rób backupy

Pozorny zawsze ubezpieczony. Backupy to świetna możliwość szybkiego powrotu strony sprzed ataku hakerskiego lub zabezpieczanie jej, jeżeli coś pójdzie nie tak – ot, wtyczka coś popsuła lub namieszaliśmy coś w kodzie strony.

Firmy hostingowe przeważnie mają już w standardzie możliwość ustawienia kopii zapasowych. Jeżeli już musimy korzystać z wtyczek to dobrze sprawdza się UpdraftPlus oraz All in One WP Migrate, jednak zawsze najpewniejszy jest backup ręczny, bo nasza kopia

Podsumowanie

Powyższe rozwiązania są zupełnymi podstawami, które powinien wdrożyć w życie każdy posiadacz strony opartej na systemie WordPress.  Na ich wdrożenie będziemy musieli poświęcić jakiś czas, ale dobrze jest zapobiegać, niż leczyć.

Sposobów na bezpieczeństwo WordPressa jest znacznie więcej, jednak są to już metody bardziej techniczne.

Wiele stron internetowych nie posiada żadnego z powyższych punktów i bardzo łatwo o atak. Musimy pamiętać, że atak to nie tylko straty w czasie i finansach, ale również możliwość popsucia renomy firmy poprzez kradzież danych lub wyświetlania pornografii, czy też reklamy typu „Wygrałeś iPhone”.

Zachęcamy do wdrożenia powyższych rozwiązań na stronę internetową, a w razie problemów zachęcamy do skorzystania z naszej oferty na zabezpieczanie strony internetowej.