wp-config.php anpassen & optimieren

Die wohl wichtigste und für das Funktionieren eines Blogs notwendige Datei ist die wp-config.php. Wir stellen hier ein paar dokumentierte und weniger bekannte Konfigurationsvariablen vor, die das Arbeiten und die Sicherheit eines WordPress verbessern können.

Grundeinstellungen

Schützen Sie die erstellte wp-config.php vor externen Zugriffen via .htaccess. Der nachfolgende Eintrag liefert einen HTTP Error 403 zurück für alle Anfragen an diese Datei.

<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>

Ein weiterer wichtiger Aspekt, auch wenn man WordPress als sehr sicher und zeitgemäß betrachten kann – halten Sie das System aktuell. Ob Ihr Blog aktuell ist oder nicht, erkennen Sie im Administrationsbereich.

Die Einstellungen der grundlegenden Variablen werden während der Installationsroutine bereits von WordPress übernommen. Darunter fallen die Datenbankverbindung, Datenbankkollation und der Zeichensatz. Allenfalls sind sie in der Datei kommentiert und bedürfen aus unserer Sicht keiner weiteren Erläuterungen.
Die nächste oder erste richtige Anpassung sollte bei den Saltkeys vorgenommen werden. Zu finden in ..???… der wp-config.php.
Statt wirre Zeichenfolgen ein zu tippen lässt man diesen Schritt einfach automatisch erledigen auf: wordpress-secret-key-service . Inhalt kopieren & bestehende ersetzen – fertig.

define(‘AUTH_KEY’,         ‘+czu,bKmw;t{|+.OH n3R9zPQrl|8,2a9M}4?WT<y),-=pWX5bsi~6-jS==f:%64′);
define(‘SECURE_AUTH_KEY’,  ‘F~br#dV<;e;HT1<_7np6:2+Z&a^47ZvOU%SY8S$XZO6*K[@N((}EiwgmZnJ(?;Qz');
define('LOGGED_IN_KEY',    '39?y_Gr,wqp1WVEenT&%],g{$g2/vN|O_O5_HiI8`[nobv4#}?xy:]Ns^2+8j2} ‘);
define(‘NONCE_KEY’,        ‘|H3_vr:?5<]`%andFN2t8Eqs}h5+Vk.Jf1O|qW.w%#N]Qr<Nb?S&X1:&+|1Br(R)’);
define(‘AUTH_SALT’,        ‘(xq5:Q{y#~n=*1A#`8~0nxT`=tE,rlT;d]nvw|-60h=W_4J],83+o`m:Hc(-TB&~’);
define(‘SECURE_AUTH_SALT’, ‘Qq/a)3b3xxC4o2a]@5-4ACS;|bPDHC$+“twOay^j3(lhiI_/;n/CMqMZwZo{J^*’);
define(‘LOGGED_IN_SALT’,   ‘+V>)Cl+xx|etD<,DQ1_?ew P QJO~2S95vffQPO4VL;Rtc=]lr?_D0h(SubxaLaY’);
define(‘NONCE_SALT’,       ‘+oP/iW41;42v|O()g2C&86@]G;68HfJmq<KGX}k4|~EKV#F@T++8}Z_8N:aHY^sE’);

Natürlich sollte man Abstand von den hier publizierten Links nehmen und seine eigenen Einträge generieren!

Ein weiterer Schritt in die richtige Richtung ist Abstand zu nehmen von dem Standardeintrag $table_prefix = 'wp_'; . Gerade für XSS oder weniger gut gesinnte Bots ist diese Konfiguration ein guter Angriffspunkt. Daher sind Alternativen, wie $table_prefix = '5g314r6g7_'; durchaus sinnvoll.

Weitere Konfigurationsvariablen

Revisionen

Ein schöner Grundgedanke, in einigen Fällen aber absolut unsinnig und eher nervig sind die Revisionen einzelner Einträge. Neben der Anzahl lässt sich auch sehr schön die komplette Revisionsmöglichkeit deaktiveren.

// Limit der Revisionen
define(‘WP_POST_REVISIONS’, 3); // Ganzzahlwert

// Deaktivieren der Revisionen
define(‘WP_POST_REVISIONS’, false);

Automatische Sicherung

Die automatische Sicherung während des Schreibens eines Beitrages ist ebenfalls eine schöne Sache. Insofern doch unerwünscht, aus welchen Gründen auch immer – sie kann deaktiviert werden.

define(‘AUTOSAVE_INTERVAL’, 160); // Sekunden

Externe Abfragen blockieren

Sollten externe Abfragen, wie Dashboard Feeds, Verfügbarkeit von Updates oder Reportdaten unerwünscht sein, können diese ebenfalls deaktiviert werden.

define(‘WP_HTTP_BLOCK_EXTERNAL’, true);

Papierkorb

Seit der Version 2.9 gibt es einen Papierkorb um dem fälschlichem Löschen eines Artikels oder einer Seite vorzubeugen. Da der werte Blogbetreiber oftmals vergisst diesen auch zu leeren, überlassen wir das Leeren WordPress – automatisch nach x Tagen.

define(‘EMPTY_TRASH_DAYS’, 7); // entspricht einer Woche

Über diese Variable ist es auch möglich den Papierkorb zu deaktivieren.

define(‘EMPTY_TRASH_DAYS’, 0); // deaktivierter Papierkorb

Debugging

Für die Entwicklung oder Anpassung ist der Debug Modus für das Finden und Beheben von Fehlern unumgänglich. Seit WordPress Version 2.3.x ist dieser auch per Variable aktivierbar.

define(‘WP_DEBUG’, true);

Fortsetzung folgt

Aufgrund des Umfangs folgt ein weiterer Artikel, welcher sich primär mit der Geschwindigkeit und Ressourcenminimierung beschäftigen wird. Auch hier bietet WordPress Bordmittel und ist mit einigen Handgriffen um einiges smarter & schneller.