מדריך וטיפים לקובץ wp-config.php ב-WordPress
תוכן עניינים
קובץ ה‑wp-config.php הוא אחד מהקבצים המרכזיים בהתקנת WordPress – הוא אחראי על הגדרת כל הפרמטרים החשובים של האתר, החל מנתוני החיבור למסד הנתונים וכלה בהגדרות אבטחה, שפות, וניהול תהליכים פנימיים. במאמר זה נסקור עשרה טיפים שיסייעו לכם לשפר, לייעל ולהבטיח את תקינות האתר שלכם על ידי התאמה אישית ובטוחה של קובץ זה.
נתוני מסד הנתונים
בכל התקנת WordPress, קובץ ה‑wp-config.php מכיל את פרטי החיבור למסד הנתונים:
שם מסד הנתונים
שם המשתמש
סיסמה
כתובת השרת (host)
הקוד לדוגמה נראה כך:
define('DB_NAME', 'שם_מסד_הנתונים');
define('DB_USER', 'שם_משתמש');
define('DB_PASSWORD', 'סיסמה');
define('DB_HOST', 'localhost');
חשוב לוודא שכל הנתונים נכונים, במיוחד כאשר מסד הנתונים נמצא בשרת נפרד – דבר אשר יכול להוסיף שכבת אבטחה נוספת לאתר.
שינוי פריפיקס מסד הנתונים
בעת התקנת WordPress, ברירת המחדל לקביעת prefix לטבלאות מסד הנתונים היא wp_. מומלץ לשנות זאת למשהו ייחודי, כך שהתקפות המבוססות על גילוי הפריפיקס יהיו פחות יעילות.
לדוגמה, במקום:
$table_prefix = 'wp_';
אפשר לבחור
$table_prefix = 'xyz123_';
אם אתם מתקינים אתר חדש, מומלץ לשנות את הפריפיקס מיד. במקרים של אתרים קיימים, ניתן להשתמש בתוספים המיועדים לשינוי פריפיקס באופן בטוח.
הגדרת שפה
על מנת להתאים את הממשק ואת התצוגה לשפה הרצויה, ניתן להגדיר את שפת האתר דרך הקובץ:
define('WPLANG', 'he_IL'); // הגדרת האתר לעברית
define('LANGDIR', '/languages'); // מיקום קבצי השפה
כך תוכלו להבטיח שהתאריך, הטקסטים וההתראות יוצגו בצורה נכונה בהתאם לשפה העברית.
הפעלת מצב דיבאג (Debug)
במהלך פיתוח האתר או בעת התמודדות עם תקלות, הפעלת מצב הדיבאג יכולה לסייע בגילוי ובתיקון בעיות. להלן כמה מהאפשרויות:
הפעלת הדיבאג:
define('WP_DEBUG', true); // הפעלת הדיבאג
define('WP_DEBUG_DISPLAY', true); // הצגת הודעות השגיאה על המסך
רישום הודעות שגיאה לקובץ:
define('WP_DEBUG_LOG', true); // שמירת הודעות שגיאה בקובץ debug.log
define('WP_DEBUG_DISPLAY', false); // מניעת הצגת הודעות ישירות למשתמש
@ini_set('display_errors', 0);
הגדרות אלו מאפשרות למפתחים לעקוב אחרי שגיאות מבלי לחשוף מידע רגיש למבקרים באתר.
ניהול גרסאות (Revisions)
WordPress שומר באופן אוטומטי גרסאות של הפוסטים והעמודים שלכם, אך לעיתים כמות הגרסאות עלולה לגדול ולהעמיס על מסד הנתונים. ניתן לשלוט במספר הגרסאות:
הגדרת מרווח שמירה בין גרסאות:
define('AUTOSAVE_INTERVAL', 120); // שמירה אוטומטית כל 120 שניות
הגבלת מספר הגרסאות:
define('WP_POST_REVISIONS', 5); // שמירת עד 5 גרסאות לכל פוסט/עמוד
או ביטול מלא של שמירת הגרסאות:
define('WP_POST_REVISIONS', false); // ביטול שמירת גרסאות
חשבו מראש מהי האופציה שהכי מתאימה לאתר שלכם כדי למנוע נפח מיותר במסד הנתונים.
תיקון מסד הנתונים
במקרים בהם מסד הנתונים ניזוק או שהאתר אינו מתפקד כראוי, ניתן לאפשר את כלי התיקון של WordPress:
define('WP_ALLOW_REPAIR', true); // הפעלת אפשרות תיקון ומיטוב מסד הנתונים
לאחר הוספת השורה, גשו לקישור:
https://www.yoursite.com/wp-admin/maint/repair.php
בחרו באפשרות “תיקון מסד הנתונים” או “תיקון ומיטוב”.
לאחר התיקון, חשוב מאוד להסיר את הקוד ולבטל את האפשרות כדי למנוע גישה לא מורשית.
הגדלת זיכרון PHP
במקרים של התקנת תוספים כבדים או בעת עבודה עם אתרים גדולים, ייתכן שתצטרכו להגדיל את זיכרון PHP:
define('WP_MEMORY_LIMIT', '512M'); // הגדלת זיכרון PHP 512MB
שימו לב שלא כל ספקי האחסון מאפשרים שינוי ידני זה, ובמידת הצורך מומלץ לשקול מעבר לספק אחסון עם ביצועים טובים יותר.
הפעלת רשת אתרים (Multisite)
WordPress מאפשרת להפעיל מספר אתרים ממערכת אחת. אם אתם מעוניינים להקים רשת אתרים – לדוגמה, אתר רב-לשוני או רשת בלוגים – תוכלו להפעיל את הפיצ’ר הזה:
define('WP_ALLOW_MULTISITE', true); // הפעלת אפשרות רשת אתרים
לאחר הוספת הקוד, תוכלו לראות אפשרות חדשה בלוח הבקרה שמאפשרת הקמה וניהול של רשת אתרים.
כיבוי עורך הקבצים (File Editor)
WordPress מגיע עם עורך קבצים מובנה, אך שימוש בו יכול להיות מסוכן – טעות קטנה בקוד עלולה להביא לקריסת האתר. מומלץ לכבות את העורך:
define('DISALLOW_FILE_EDIT', true); // כיבוי עורך הקבצים
כך תוכלו להבטיח שרק גישה דרך FTP או כלי ניהול קבצים מקצועיים תאפשר שינוי בקבצי המקור של האתר ולא מלוח הבקרה מה שמוסיף גם שכבת הגנה נוספת לאתר.
ניהול סל המחזור (Trash)
WordPress שומרת את הפוסטים והעמודים שנמחקו בסל המחזור, ובברירת המחדל הסל מתרוקן כל 30 יום. ניתן לשנות את ההגדרה בהתאם לצרכים:
הגדרת מרווח זמן שונה:
define('EMPTY_TRASH_DAYS', 7); // ריקון הסל כל 7 ימים
או כיבוי מלא של סל המחזור:
define('EMPTY_TRASH_DAYS', 0); // כיבוי סל המחזור
חשבו האם אתם זקוקים לסל מחזור, ובמידת הצורך, התאימו את ההגדרות כך שיתאימו לניהול נכון של האתר.
מפתחות וסולטים לאבטחה
הוספת מפתחות וסולטים (Salt Keys) מגן על המידע המאוחסן בעוגיות ובנתוני המשתמשים:
define('AUTH_KEY', 'הכנסו פה מחרוזת ייחודית');
define('SECURE_AUTH_KEY', 'הכנסו פה מחרוזת ייחודית');
define('LOGGED_IN_KEY', 'הכנסו פה מחרוזת ייחודית');
define('NONCE_KEY', 'הכנסו פה מחרוזת ייחודית');
define('AUTH_SALT', 'הכנסו פה מחרוזת ייחודית');
define('SECURE_AUTH_SALT', 'הכנסו פה מחרוזת ייחודית');
define('LOGGED_IN_SALT', 'הכנסו פה מחרוזת ייחודית');
define('NONCE_SALT', 'הכנסו פה מחרוזת ייחודית');
ניתן לייצר מפתחות כאן https://api.wordpress.org/secret-key/1.1/salt/
שינוי נתיבי תוכן (Custom Content Directory)
ניתן להעביר את ספריית התוכן (wp-content) למיקום שונה לשם אבטחה והתאמה אישית:
define('WP_CONTENT_DIR', dirname(__FILE__) . '/custom-content');
define('WP_CONTENT_URL', 'https://www.yoursite.com/custom-content');
כך תוכלו להסתיר מידע רגיש ולארגן את קבצי האתר בצורה ייחודית.
ניהול WP_CRON
WordPress מפעיל את מערכת ה־cron הפנימית לניהול משימות מתוזמנות, אך לעיתים עדיף להסתמך על משימות מערכת:
define('DISABLE_WP_CRON', true);
ואז להגדיר משימה ב־cron של השרת, לשיפור הביצועים והאמינות.
הגבלת עדכונים אוטומטיים
למרות שהעדכונים האוטומטיים יכולים להיות חיוניים לאבטחה, רצוי לשלוט בהם ידנית:
define('AUTOMATIC_UPDATER_DISABLED', true);
כך תוכלו לוודא ביצוע גיבוי לפני העדכון
כפיית SSL במנהל האתר
להבטחת חיבור מאובטח לאזור הניהול:
define('FORCE_SSL_ADMIN', true);
שורה זו תוודא שכל גישת wp-admin תתבצע דרך חיבור HTTPS.
מניעת XML-RPC (אבטחה)
if (defined('XMLRPC_REQUEST') && XMLRPC_REQUEST) {
header('HTTP/1.0 403 Forbidden');
exit;
}
פעולה זו מפחיתה את הסיכוי להתקפות דרך XML-RPC.
זהירות שימו לב
לפני כל שינוי, חשוב לבצע גיבוי מלא של האתר, כך שתמיד תוכלו לחזור למצב תקין במקרה של תקלה. השקעה בקונפיגורציה נכונה של הקובץ יכולה לשפר את ביצועי האתר ולהפחית תקלות ובעיות עתידיות.
