Тонкая настройка WordPress

В этой статье освещены следующие темы:

• Тайм-аут при загрузке файлов с удаленных хостов

• Отложенная публикация

• Удаление черновиков

• Статический блок в начале каждого поста

• Подсветка кода

• Проблемы с установкой плагинов

• Отключение авто-замены

• Запрет запуска скриптов из директории uploads

• Сброс пароля пользователя

1. Столкнулся с проблемой: когда пытался обновить wordpress до последней версии через админку, кликая по ссылке «обновить автоматчески», получал ошибку примерно такого содержания: «за 30 секунд скачано только 1700000 байт из 2600000, неудача». Оказалось, что шейпер на входящий трафик моего хостера не позволял за 30 секунд (а именно такой timeout был установлнен по умолчанию) стянуть весь диструбитив wordpress-а. Чтобы поменять этот тайм-аут, нужно в файле wp-admin/includes/file.php найти строку
   1. $response = wp_remote_get($url, array('timeout' => 30));

   и поменять ее, например, на

   1. $response = wp_remote_get($url, array('timeout' => 60));

   Таким образом, мы вдвое увеличили время ожидания отработки запроса.

   Дополнение от 2010-01-24. Начиная с версии 2.9.1, таймаут по умолчанию уже установлен в 300 сек (или 5 минут). Так что теперь эта проблема будет встречаться намного реже.

2. Отложенная публикация в wordpress 2.7. Чтобы заметки, запланированные на публикацию в будущем таки появлялись в блоге, нужно в cron добавить вызов скрипта wp-cron.php c параметром check. Значение параметра легко определить, временно добавив перед строкой
   1. if ( $_GET['check'] != wp_hash('187425') );

   что-то типа

   1. echo(wp_hash('187425'));

   Тогда, набрав в адресной строке броузера http://<вашблог>/wp-cron.php, можно увидеть значение хеша (46cbe1674da1d2888104482d6ed4f87f). Следовательно, из крона обращаться к http://<вашблог>/wp-cron.php?check=46cbe1674da1d2888104482d6ed4f87f. Естественно, для предотвращения DoS-атак лучше заменить стандартную последовательность 187425 на что-то другое. В WordPress 2.8.2 в файле wp-cron.php уже нет такой проверки, поэтому достаточно его просто вызывать без параметров, например добавив в системный cron что-то такое:

   1. wget http://avz.org.ua/wp-cron.php -O /dev/null 2> /dev/null
3. Чтобы удалить из базы данных ревизии постов (промежуточные их версии, которые образовываются в результате внесения изменений и дополнения постов), нужно выполнить такой простой SQL-запрос:
   1. DELETE FROM wp_posts WHERE post_type='revision';

   Есть еще и более изящный и правильный метод удаления черновых заметок, который описан ниже в комментариях. Другие возможные значения поля ‘post_type’ – attachment, page, post (для версии 2.8.4). Чтобы вообще запретить создание ревизий, нужно в файл wp-config.php добавить строку

   1. define('WP_POST_REVISIONS', false);
4. Если нужно, чтобы вверху над каждым постом отображался один и тот же блок HTML-кода, можно сделать так. Находим файл /wp-content/themes/<имя_темы>/content/content-default.php, и вставляем в него перед вот этой 25-ой строкой
   content-default.php

   25. <div id="post-content-<?php the_ID() ?>" class="hentry full <?php sandbox_post_class() ?>">

   нужный нам html-блок. Этот блок удобно заключить в конструкцию <div id="myblock">…</div> и в файле со стилями CSS определить атрибуты для нашего блока. CSS-файл находится в директории /wp-content/themes/<имя_темы>/css/ и имеет имя, совпадающее с именем темы и расширение .css. Пример опеределения атрибутов:

   1. div#myblock {padding-top: 10px; text-align: center}
5. Если хотим, чтобы блоки с программным кодом красиво выделялись, как в этом посте – качаем и устанавливаем plugin Highlight Source Pro. Поддерживает более 90 языков, включая HTML, PHP, Perl, bash, CSS. Пример использования можно посмотреть на скриншоте.
6. Если при установке плагинов WordPress ничего не качает и вместо этого спрашивает «информацию для соединения», как на этом скриншоте, то это означает, что он не может получить доступ на запись в каталог /wp-content/plugins и надо проверить права доступа. Запрашиваемая информация для соединения – это атрибуты доступа к FTP-серверу, на котором работает WordPress. Это таким образом WordPress пытается пойти по обходному пути когда видит, что у него нет прямого доступа к файловой системе.
7. Если нужно отключить авто-замену двойного дефиса на красивое тире (а это бывает нужно, например, при публикации документации по linux-командам, ключи (параметры) которых часто именно и начинаются с ‘--’, т.е. двух дефисов подряд), то нужно немного модифицировать код функции wptexturize. Для этого этот код
   /wp-includes/formatting.php

   57. $static_characters = array_merge(array('—', ' -- ', '--', ' — ', 'xn&#8211;', '…', '«', '\'s', '\'\'', ' ™'), $cockney);
   58. $static_replacements = array_merge(array('&#8212;', ' &#8212; ', '&#8211;', ' &#8211; ', 'xn--', '&#8230;', $opening_quote, '&#8217;s', $closing_quote, ' &#8482;'), $cockneyreplace);

   меняем на этот код:

   /wp-includes/formatting.php

   57. $static_characters = array_merge(array('—', ' — ', 'xn&#8211;', '…', '«', '\'s', '\'\'', ' ™'), $cockney);
   58. $static_replacements = array_merge(array('&#8212;', ' &#8211; ', 'xn--', '&#8230;', $opening_quote, '&#8217;s', $closing_quote, ' &#8482;'), $cockneyreplace);

   Похоже, что и в этой же функции происходит замена трех точек на unicode-символ троеточия и еще какие-то манипуляции с кавычками.

8. Если WordPress живет на сервере с Apache, то для запрета выполнения PHP- и CGI-скриптов в директории, куда wordpress сохраняет пользовательские файлы (/wp-content/uploads), достаточно положить туда файл .htaccess следующего содержания:
   /wp-content/uploads/.htaccess

   1. <FilesMatch "\.(phtml|php3?|pl|cgi)$">
   2.   Deny from all
   3. </FilesMatch>

   Это весьма рекомендуется сделать, поскольку снижает риск успешного взлома в случае, если злоумышленнику каким-то образом удастся загрузить php-shell или другие инструменты для своих темных делишек – запустить он их так просто не сможет. Также очень рекомендуется по возможности запрещать в firewall-е установку исходящих соединений с сервера хостинга на удаленные ресурсы.

9. Для изменения пароля пользователя (например, если он был успешно забыт) достаточно одного простого SQL-запроса. Например, чтобы установить для пользователя admin пароль Gyhusdf3f, делаем так:
   1. UPDATE wp_users SET user_pass=MD5('Gyhusdf3f') WHERE user_login='admin';

Популярность: 3%

Похожие заметки:

1. WordPress: борьба со спамом
2. WordPress-плагин WP Super Cache