Le 30 Cose Da Non Fare Con WordPress
44
-
Upload
salvo-leone -
Category
Documents
-
view
86 -
download
0
description
Le 30 cose da non fare con wordpress
Transcript of Le 30 Cose Da Non Fare Con WordPress
LE 30+ COSE DA NON FARE CON WORDPRESS
di Roberto Iacono
Dicembre 2012
Versione 1.0.0
Questo ebook è distribuito sotto la licenza Creative Commons
2.5. Non usarlo per scopi commerciali… per il resto, sei libero di
condividerlo, di citarne parti e di stamparlo.
Se decidi di ridistribuire questo ebook o di citarne delle porzioni,
ti prego di indicare come fonte l’homepage del mio blog: robertoiacono.it. Se distribuirai l’ebook sul
tuo blog, ti chiedo di non indicizzarlo per evitare problemi di contenuti duplicati, grazie.
L‘ebook è stato scritto da Roberto Iacono, e vuole mostrare alcuni dei maggiori errori che vengono
commessi utilizzando WordPress.
Aggiungi i miei feed RSS al tuo feed reader, oppure ricevi gli ultimi articoli direttamente nella tua
email.
Ah, dimenticavo, seguimi sui Social Network:
Google+
Buona lettura!
Sommario Non cambiare il nome utente dell’amministratore ........................................................................ 5
Non usare un amministratore per pubblicare gli articoli ............................................................... 8
Non mostrare il tuo username ................................................................................................... 10
Non mantenere solo wp_ come prefisso delle tabelle ................................................................ 11
Non ricordarsi di sostituire le salts e keys .................................................................................. 13
Non fare il backup ..................................................................................................................... 14
Non limitare i tentativi di login .................................................................................................... 16
Non scegliere hosting troppo economici .................................................................................... 17
Usare permalink standard ......................................................................................................... 18
Non usare la cache ................................................................................................................... 19
Non aggiornare WordPress ....................................................................................................... 21
Non aggiornare plugin e tema ................................................................................................... 22
Riempirti di plugin ...................................................................................................................... 23
Non avere un piano editoriale in mente ..................................................................................... 24
Mostrare gli articoli per intero nella homepage .......................................................................... 25
Usare la coda di moderazione per i commenti ........................................................................... 26
Inserire troppi widget ................................................................................................................. 27
Non assegnare i permessi corretti alle cartelle di WordPress .................................................... 28
Non eliminare i plugin disattivati ................................................................................................ 30
Non indicizzare il blog................................................................................................................ 31
Non rimuovere la versione di WP nel sorgente .......................................................................... 32
Non impedire l’accesso alla pagina readme.html, license.txt ..................................................... 33
Non usare correttamente categorie e tag................................................................................... 35
Non modificare i file dall’editor di WP ........................................................................................ 36
Installare temi e plugin sospetti ................................................................................................. 37
Modificare i file del tema, crea un tema child ............................................................................. 38
Non controllare il sito dopo aver modificato qualcosa ................................................................ 40
Usare nomi strani per la sotto-cartella ....................................................................................... 41
Non rimuovere index.php dall’URL ............................................................................................ 42
Non rimuovere category dall’URL .............................................................................................. 43
Non impostare una favicon personalizzata ................................................................................ 44
INTRO Molti “errori” comuni che vengono compiuti dai gestori di un sito o blog WordPress, possono
portare a dei problemi di sicurezza, di navigabilità, di velocità di caricamento, di indicizzazione e di
posizionamento.
Alcuni errori sono rimediabili installando dei plugin, altri mettendo mano al codice, altri ancora
usando un po’ di buon senso… il problema principale però, sta nel capire che si sta commettendo
un errore, anche inconsapevolmente.
Così ho pensato di realizzare questo ebook, senza nessuna pretesa, con lo scopo di aiutare le
persone che si affacciano o che si sono già affacciate al fantastico mondo di WordPress,
illustrando quelle che per me sono le “cose da non fare” con WordPress.
Sono 30+ indicazioni utili che sei libero di seguire o meno senza alcun impegno, ma che in futuro
potrebbero farti risparmiare preoccupazioni, dolori (fisici ed economici), notti insonne e molto molto
tempo.
A te la scelta
Buona lettura
Roberto Iacono – robertoiacono.it 5
NON CAMBIARE IL NOME UTENTE DELL’AMMINISTRATORE L’account admin è l’utente standard che viene creato ad ogni installazione di WordPress, per cui
una persona che non sa cosa fare nella sua vita e decide di darti fastidio (hacker), può conoscere
facilmente il nome utente e concentrarsi solo sulla password (se la indovinasse, accederebbe al
sito direttamente come amministratore!).
Non è possibile cambiare il nome utente dell’admin manualmente, per cui segui questi passi.
1. Aggiungi un nuovo utente (deve avere il nome-utente diverso dal nome che deciderai di
visualizzare nel blog) da Utenti > Aggiungi Nuovo > . Io creerò l’utente amministratore Aieie
Brazorf (bei tempi quelli di Aldo, Giovanni e Giacomo ).
Utilizza una password forte!
Ecco come scegliere una password sicura:
lunghezza di almeno 8 caratteri alfanumerici, ovvero sia lettere che numeri, magari mixando anche maiuscole con minuscole.
non deve contenere il nome utente associato, né il nome o cognome della persona stessa evitare di utilizzare parole di senso compiuto, come compleanno88, piuttosto usare
c8eanmopl8no utilizzare caratteri speciali come # @ ! ? utilizzare software per generare password sicure, ad esempio IOBit non utilizzare come password le date, password di soli numeri, o di nomi reali
Consiglio inoltre di:
evitare di salvare automaticamente le password sul computer tramite i browser non salvare la password nel computer sarebbe buona norma anche proteggere l’accesso al nostro pc tramite una password molto
sicura
2. Assegna al nuovo utente il permesso di Amministratore
Roberto Iacono – robertoiacono.it 6
3. Fai il logout ed accedi con le credenziali del nuovo utente
4. Elimina l’utente admin, da Utenti > Tutti gli utenti > admin > Cancella
5. Attribuisci gli articoli di admin al nuovo utente amministratore (nel mio caso è Aieie Brazorf).
Roberto Iacono – robertoiacono.it 7
Premi il pulsante Conferma.
Ora hai il tuo nuovo utente amministratore con username diverso da admin, sei già molto più al
sicuro rispetto a prima.
Roberto Iacono – robertoiacono.it 8
NON USARE UN AMMINISTRATORE PER PUBBLICARE GLI ARTICOLI Fino a qualche mese fa, nonostante avessi impostato la visualizzazione di un nome pubblico da
visualizzare nel blog, nel sorgente delle pagine del mio blog riuscivo a vedere il mio username (che
era lo username dell’amministratore) a causa di un errore del codice del tema.
Non si dovrebbe mai poter risalire allo username dell’amministratore per evitare il più
possibile attacchi di tipo brute force da parte di hacker, ma non solo.
Il consiglio è quindi di utilizzare l’account di amministratore solamente per tutte le operazioni di
back-end di WordPress, ovvero tutto ciò che riguarda la parte non visibile agli utenti normali. Per
tutto il resto consiglio di creare un utente con permessi di Editore.
L’editore, può gestire sia i suoi articoli che gli articoli degli altri utenti. Inoltre può moderare i
commenti, caricare le immagini, aggiungere/rimuovere tag e categorie. È il braccio destro
dell’amministratore, ma non ha alcun controllo sulla personalizzazione del tema e del layout.
Per maggiore informazioni sui permessi, ti rimando a questo articolo.
Ecco cosa vede un utente Editore.
Quindi anche se un hacker dovesse riuscire a risalire allo username dell’utente Editore, avrebbe
molte più difficoltà a capire il nome utente dell’amministratore (non c’è alcun riferimento agli altri
utenti) e non avrebbe i permessi necessari per mettere le mani sul codice.
Per non perdere tempo prezioso e farti diventare pazzo con continui cambi di identità, puoi
continuare a creare gli articoli con l’account amministratore, ma prima della pubblicazione, dovrai
assegnare come autore, l’utente Editore che hai appena creato.
Per fare ciò, dalla pagina di modifica/creazione di un articolo, apri il menù Impostazioni schermo in
alto a destra:
Roberto Iacono – robertoiacono.it 9
E seleziona il box Autore:
Comparirà sotto l’editor testuale, un campo autore dove potrai selezionare l’autore dell’articolo tra
gli utenti che abbiano i relativi permessi, in questo caso devo selezionare l’utente Edit Ore (gran
bel nome ).
Ricordati però che dovrai cambiare ogni volta l’autore dell’articolo!
Roberto Iacono – robertoiacono.it 10
NON MOSTRARE IL TUO USERNAME Mai mostrare il tuo vero Nome utente (username) all’interno del sito WordPress, perché hacker
malintenzionati possono provare ad entrare sul sito utilizzando il tuo username tramite un semplice
attacco brute force. Non vuoi che ciò accada, vero?
Con WordPress puoi scegliere il Nome pubblico da visualizzare sull’intero sito, vai su Utenti > Il tuo
profilo > e tramite la tendina seleziona il Nome pubblico da visualizzare.
Ora in tutto il sito WordPress Roberto Iacono, anziché il classico Admin.
Roberto Iacono – robertoiacono.it 11
NON MANTENERE SOLO WP_ COME PREFISSO DELLE TABELLE Il prefisso automatico delle tabelle di una installazione di WordPress è wp_, e come tutte le
informazioni di default, sono le prime ad essere colpite da attacchi di hacker.
Anche in questo caso conviene sempre cambiare il prefisso standard, da wp_ a qualsiasi altro
prefisso, completamente diverso e complesso, tanto non dovrai saperlo a memoria.
BACKUP Per prima cosa fai un backup di sicurezza dell’intero database, ti consiglio di utilizzare un comodo
plugin, WP DB-Backup, che permette di creare il backup istantanei e programmati, inviandolo via
mail, salvandolo sul computer oppure sullo spazio web del server. Ma potrai farlo seguendo il
metodo che ritieni più opportuno.
Dopo aver installato il plugin troverai il menù delle impostazioni sotto Strumenti > Backup.
Il primo box che compare riguarda il backup manuale. Il primo elenco che vedi sono le tabelle base
di WordPress che verranno salvate in automatico. Appena sotto (o a destra) ci sono le tabelle
generati dei plugin che hai aggiunto. Seleziona le tabelle che vuoi salvare.
Poi c’è il riquadro opzioni backup, qui scegli se vuoi scaricarlo sul computer, salvarlo sul server
oppure inviarlo tramite email… dopo avvii il backup cliccando su Inizia il backup.
CAMBIA IL PREFISSO Ora è arrivato il momento di cambiare il prefisso delle tabelle. Io preferisco utilizzare il plugin wp
security scan che con un clic pensa tutto lui, ma ci sono anche altri metodi.
Installa il plugin, dopodiché vai su WSD Security > Database >
Controlla che ci siano due (Yes) in verde (come in figura), altrimenti dovrai rendere scrivibile il file
wp-config.php accedendo via FTP al tuo spazio web oppure devi poter avere i permessi di
modificare il database.
Roberto Iacono – robertoiacono.it 12
Quando sei pronto, modifica il prefisso wp_ con qualsiasi altra cosa, magari una stringa di testo
composta anche da numeri e il simbolo “_”, e premi il pulsante Start Renaming.
Ecco un esempio:
Al termine di tutto, se non ti serve, disinstalla ed elimina il plugin wp security scan.
Roberto Iacono – robertoiacono.it 13
NON RICORDARSI DI SOSTITUIRE LE SALTS E KEYS Non ne sapevi neanche dell’esistenza, vero? Nel file wp-config.php sono presenti queste
informazioni di autenticazioni univoche, “Chiavi Univoche di Autenticazione e di Salatura”, le salts
e keys (sale e chiavi) per l’appunto.
Con il file wp-config.php standard, se si è a conoscenza di un nome utente, nel giro di qualche
giorno è possibile riuscire a risalire alla password dell’utente stesso… ma non temere, gli
sviluppatori di WordPress hanno integrato ottimi sistemi di crittografia, introducendo il cosiddetto
Sale (Salts), ovvero una sequenza casuale di bit (in questo caso di lettere e simboli) utilizzata
assieme ad una password come input per una funzione unidirezionale, tipicamente una funzione
Hash, da cui non è fisicamente possibile (se non in qualche centinaio di anni) riuscire a risalire alla
password iniziale…
Di default, WordPress utilizza delle salts e keys standard, ovviamente note agli hacker:
Quindi sei molto a rischio
Per porre subito rimedio, basta visitare questo link. Verranno generate delle Salts in automatico,
dovrai solo copiarle e sostituirle a quelle vecchie sempre nel file wp-config.php.
Ecco come si presentano le Salts e Keys: (ovviamente non sono le mie )
Roberto Iacono – robertoiacono.it 14
NON FARE IL BACKUP Prima di fare delle modifiche ai file del tuo blog o sito WordPress, è sempre consigliato fare un
backup di tutti i file per evitare spiacevoli sorprese dopo le modifiche, come una bella pagina
bianca!
In caso di errori, è possibile ripristinare la configurazione di WordPress funzionante, così da evitare
di suicidarsi per il lavoro perso.
Ci sono due tipi di backup che puoi fare: il primo riguarda il database, dove risiedono tutti gli
articoli, le impostazioni e, le password, insomma, tutte le informazioni importanti; il secondo
riguarda i file fisici del sito, come le immagini, i file del tema, i plugin, i file di WP.
BACKUP DEL DATABASE
Per creare il backup del database più importante del mondo. utilizza un comodo plugin, WP DB-Backup, che permette di creare il backup istantaneo e programmato, inviandolo via mail, salvandolo sul computer oppure sullo spazio web del server.
Dopo aver installato il plugin, lo troverai sotto Strumenti > Backup.
Il primo box che compare riguarda il backup manuale. Il primo elenco che vedi sono le tabelle base di WordPress che verranno salvate in automatico. Appena sotto (o a destra) ci sono le tabelle generate dai plugin che hai aggiunto. Seleziona le tabelle che vuoi salvare. Poi c’è il riquadro opzioni backup, qui puoi scegliere di scaricarlo sul computer, salvarlo sul server oppure inviarlo tramite email… dopo avvii il backup cliccando su Inizia il backup.
C’è la possibilità di programmare il backup nel box Backup programmato, dove devi selezionare la tabelle che vuoi includere, se programmarlo ogni ora, due volte al giorno, ogni giorno, una volta alla settimana e due volte al mese. Nel caso di backup programmato, il file generato può essere solamente inviato ad una mail, quindi non può essere scaricato sul computer o salvato sul server. Clicca sul tasto Programma backup e sentiti più sicuro, hai messo in cassaforte tutto il tuo lavoro!
Roberto Iacono – robertoiacono.it 15
BACKUP DEI FILE La prima volta che fai il backup, fallo completo, salva tutti i file del tuo spazio web seguendo
questa guida: Come caricare-scaricare file sullo spazio web del server via ftp nella sezione
Scaricare file sul server dal computer.
Siccome il backup è completo, ci metterà circa 30 minuti e avrà un peso di circa 15 Mb (tutto
dipende da quanti file aggiuntivi hai caricato).
Ti consiglio di crearti sul computer una cartella con il nome del tuo sito, e una sotto cartella Backup
dove salverai tutti i tuoi backup.
Se vuoi approfondire, ho scritto l’articolo Come fare il backup di WordPress.
In alternativa è anche possibile fare il backup sfruttando le potenzialità di DropBox, un servizio che
ti fornisce uno spazio virtuale in cloud (nuvola) gratuito di 2 GB (all’inizio), molto utile per
sincronizzare i file presenti sul tuo computer. Grazie al plugin WordPress backup to DropBox, è
possibile effettuare un backup programmato di tutti o di una selezione di file del tuo spazio web, ed
inviarli direttamente al tuo spazio virtuale su DropBox (nella “nuvola”).
Per selezionare i file o cartelle di cui si vogliono fare i backup, basta semplicemente cliccare sul
relativo box, molto intuitivo e molto comodo.
Dopodiché potrai decidere la frequenza di backup e l’orario di inizio, che dovrai scegliere in base a
quando il tuo sito è meno trafficato, solitamente di notte.
Roberto Iacono – robertoiacono.it 16
NON LIMITARE I TENTATIVI DI LOGIN Il brute force attack, o attacco di forza bruta, è l’attacco più semplice che possa fare un hacker.
Consiste nel provare continuamente infinite password dato un nome utente, fino a che non trova
quella corretta.
È abbastanza semplice farlo, ci sono proprio dei programmini creati per questo scopo, per cui
chiunque potrebbe attaccarti, se in possesso del tuo username (nascondilo più che puoi!).
Per questo motivo, è molto importante limitare il numero di tentativi di login che vengono effettuati
da un utente fino ad massimo di N tentativi. Dopodiché, all’utente verrà bloccato per qualche
minuto (o ora) l’accesso alla pagina di login e dell’intero sito..
L’hacker si scoraggerà e ti lascerà in pace.
Per limitare il numero di login consiglio di installare il plugin Limit Login Attempts. Puoi scegliere il
numero di tentativi che un utente può fare prima di essere bloccato, ad esempio 5 tentativi; il
tempo fra un blocco e l’altro e permette di aumentare il tempo di attesa tra un blocco e l’altro se è
già il secondo, di default impostato a 24 ore.
Ad esempio, nel mio blog provano spesso a tentare un attacco di brute force per l’utente admin
che ovviamente non ho più e che, come visto prima, è importante eliminare da WordPress.
Roberto Iacono – robertoiacono.it 17
NON SCEGLIERE HOSTING TROPPO ECONOMICI Iniziare pensando di spendere il meno possibile (peggio ancora, gratuitamente) non è la scelta
migliore che tu possa fare/aver fatto.
L’hosting non viene mai visto come un problema fino a che… diventa un problema! Solo che ormai
è troppo tardi. Avere un sito web non raggiungibile può causare una perdita considerevole di
denaro, soprattutto se il sito è un e-commerce o se offri un servizio.
Solitamente, per chi ha intenzione di creare un sito-blog professionale e dal quale vuole
guadagnare qualcosa, è meglio non tirare la cinghia proprio sull’hosting.
So perfettamente che molti operano con budget limitato, ma credimi, l’hosting è qualcosa su cui
non dovresti mai risparmiare i soldi.
Non guardare (solo) il prezzo, piuttosto concentrati sull’affidabilità e sull’esperienza del provider.
Per iniziare, consiglio di acquistare piani hosting “illimitati” a circa 50€ all’anno, che se ci pensi
bene sono 4€ al mese, è come prendere una coca-cola in un bar ogni mese… è un sacrificio che si
può fare.
Ho realizzato una selezione dei migliori hosting provider per WordPress, in particolare ti consiglio
BlueHost in inglese, e VHosting Solution se vuoi tutto in italiano.
In ogni caso, la scelta dell’hosting deve dipendere anche dalle tue esigenze, quindi il prezzo può
diminuire ma anche aumentare.
Rispetto ai piani da 10€ all’anno, hosting leggermente più costosi offrono sicuramente maggiori
garanzie, prestazioni e assistenza, fondamentale in caso di problemi.
Ma come fanno a sopravvivere gli hosting provider troppo economici? Puntano sulla quantità, non
sulla qualità.
ASSISTENZA Il mio blog gira su hosting BlueHost e so che ogni volta che avrò problemi, a qualsiasi ora del
giorno e della notte, un operatore mi aiuterà a risolverlo. Ricordati che non serve aver
continuamente bisogno dell’assistenza, ma basta una sola dannata volta a farti perdere soldi e
tempo (e salute) se non hai un supporto adeguato.
SICUREZZA Spesso, hosting provider troppo economici possono avere falle di sicurezza maggiori rispetto a
quelli di fascia media. Fidati, non è mai bello farsi bucare il blog, anche 3 volte nello stesso mese.
PRESTAZIONI Ovviamente, con hosting troppo economici, avrai anche prestazioni troppo… pietose. Solitamente
il tempo di caricamento è abbastanza elevato, fattore che va contro i suggerimenti di Google e
degli altri motori di ricerca, che premiano sempre di più, siti veloci e semplici da navigare.
In generale, vale la regola che Il servizio che ricevi, è quello per cui paghi.
Roberto Iacono – robertoiacono.it 18
USARE PERMALINK STANDARD
Il permalink è la struttura dell’URL delle tue pagine e articoli. È molto importante per la SEO, l’ottimizzazione per i motori di ricerca. Se inserisci delle parole chiave per cui vuoi che l’articolo o la pagina sia trovata nei risultati di ricerca su Google (le SERP), avrai più possibilità che l’articolo sia in posizioni più alte nelle SERP per quelle parole chiave.
Per intenderci, io voglio posizionare un articolo per la parola chiave “guida WordPress“. Per ottimizzare l’articolo, l’URL dovrebbe contenere questa parola chiave. Ad esempio va bene un URL del tipo http://www.robertoiacono.it/guida-wordpress/ , ma non va per niente bene un URL del tipo http://www.robertoiacono.it/?p=434 , che non ha parole chiave al suo interno. Proprio quest’ultimo URL deriva dalla struttura predefinita del permalink di WordPress, che appunto, non va bene!
Ecco perchè è importante impostare un buon permalink dall’inizio, prima di effettuare qualsiasi altra operazione.
Per modificare il permalink, vai su Impostazioni > Permalink > e qui imposti la struttura personalizzata. Io consiglio di utilizzare un permalink del tipo /%category%/%postname%/ che mostrerà il nome della categoria seguito dal nome del post, oppure solo /%postname%/, che mostrerà solo il nome del post.
Se il tuo sito è già avviato, non disperare, puoi comunque cambiare la struttura del permalink, ma poi devi fare un redirect 301 per ogni post e pagina, per non perdere il posizionamento nei motori di ricerca (perderai in ogni caso il numero delle condivisioni sui social network). Ma non dovrai fare tutto a mano, c’è il plugin Advanced Permalinks che ti da un grande aiuto, leggi come fare.
Roberto Iacono – robertoiacono.it 19
NON USARE LA CACHE La cache ti permette di guadagnare qualche secondo, a volte anche molti secondi, durante il
caricamento del sito WordPress.
WP è un CMS che salva tutte le sue informazioni in un database. Ogni volta che un utente visita il
tuo sito, viene fatta una richiesta di accesso a delle precise informazioni al database, che poi
verranno utilizzate per riempire il codice HTML della pagina visualizzata dall’utente.
In questo caso, grazie alla cache, viene salvato il codice HTML della pagina finale così che alle
successive visualizzazioni di questa stessa pagina, WordPress non vada a contattare di nuovo il
database ma fornirà immediatamente tutto il codice HTML salvato in cache.
Questo si traduce in un notevole risparmio di tempo ed incrementa l’efficienza.
Fare caching in WordPress è relativamente semplice, io suggerisco di utilizzare il plugin W3 Total
Cache, come ho descritto in maniera più approfondita in questo articolo.
Una volta installato ed attivato il plugin, vai su Performance > General settings >. Questo risulterà essere in modalità Anteprima (preview):
Premi sul pulsante Disable per attivare le funzionalità W3 Total Cache sul tuo sito WordPress, disabilitando appunto la modalità anteprima.
Sempre in Performance > General settings > seleziona il box Toggle all caching types on or off at once e premi il pulsante Save all changes.
In questo modo saranno attivate tutte le funzioni di cache, ma non tutte saranno necessarie per il tuo sito, per cui occorrerò disattivarne alcune.
Solitamente, la maggior parte delle persone non utilizza i servizi CDN (content delivery network), Varnish e CloudFlare, per cui se anche te non li utilizzi, togli la spunta dalle relative caselle Enable, e salva le modifiche.
Ora vai in Performance > Minify > ed imposta la sotto-sezione HTML & XML così:
Roberto Iacono – robertoiacono.it 20
Con queste opzioni comprimi al massimo i file CSS e JS, così da ridurre il tempo di caricamento.
Non c’è uno spazio che sia uno tra un codice e l’altro, non vanno praticamente mai a capo… solitamente invece ogni codice occupa una riga, con conseguente spreco di spazio (e di aumento di peso in termini di KB).
Ora vai in Performance > Browser Cache > e nella sotto-sezione General, seleziona le seguenti caselle:
Roberto Iacono – robertoiacono.it 21
NON AGGIORNARE WORDPRESS È gravissimo! Non aggiornare subito (o dopo qualche giorno) alla nuova versione di WordPress,
perché se hanno fatto un aggiornamento, al 99% c’è un valido motivo. Spesso infatti, oltre alla
grafica e ad introdurre nuove funzionalità, gli aggiornamenti portano qualcosa in più che non è
visibile agli occhi umani, ma a quelli dei nerd sì
Appena vengono scoperte falle di sicurezza, bug, errori gravi, viene corretto il problema e rilasciato
il prima possibile un nuovo aggiornamento.
Se non aggiorni all’ultima versione disponibile, il tuo blog WordPress sarà più a rischio di essere
“bucato” da un attacco hacker.
Da non sottovalutare comunque anche le funzionalità che spesso vengono introdotte con nuovi
aggiornamenti, che possono migliorare la semplicità di gestione di WP ed integrare nuovi servizi.
Infine, anche se non te ne accorgi ad occhio nudo, possono essere state migliorate le performance
grazie a delle modifiche del codice studiate nei minimi dettagli.
Aggiornare WordPress richiede circa… 5 secondi? Perché non farlo?
PS. E poi vuoi mettere la soddisfazione nel far scomparire questa fastidiosa barra gialla?
Roberto Iacono – robertoiacono.it 22
NON AGGIORNARE PLUGIN E TEMA Come per WordPress, se viene rilasciato un aggiornamento, ci sarà un motivo, no?
Spesso vengono apportate modifiche di sicurezza, migliorie della performance e vengono aggiunte
nuove funzionalità.
Ad esempio, molti plugin e temi, utilizzano/utilizzavano uno script abbastanza famoso,
timthumb.php. Questo permette di ridimensionare “a schermo” un’immagine fornendo al file la
larghezza e l’altezza desiderata, senza doverla effettivamente ridimensionare a mano.
Purtroppo, questo script permetteva a chiunque di caricare un file sullo spazio web anche a chi
non aveva i permessi necessari a causa di un piccolo bug… Il risultato? Gli hacker caricavano uno
script che gli forniva il pieno accesso a tutto lo spazio web! Un sacco di siti bucati!
Fortunatamente, il bug è stato prontamente corretto e sono stati rilasciati gli aggiornamenti per i
plugin e per i temi che sfruttavano timthumb.php.
Grazie agli aggiornamenti, moltissimi siti hanno eliminato questa falla di sicurezza, ma tutti quelli
che non hanno aggiornato? Continuavano a rimanere esposti a questo enorme problema.
Morale della favola? Stai sempre aggiornato.
Roberto Iacono – robertoiacono.it 23
RIEMPIRTI DI PLUGIN È l’errore più comune di chi è all’inizio. I plugin sono così belli e potenti che non ti fermeresti mai di
installarli, vero? È quasi come fare shopping (con la carta di credito di qualcun altro).
Ma non è tutto oro ciò che luccica. Più plugin installi, più codice verrà eseguito… più codice
eseguito si traduce in un maggiore tempo di caricamento del sito… che si traduce a sua volta in
possibile perdita dell’utente e possibile diminuzione del posizionamento nelle SERP.
Questo non è proprio vero, nel senso, se i plugin sono sviluppati bene, avere più plugin può
impattare sulle prestazioni del sito, ma in maniera lieve… il problema sono i plugin con un codice
da far venire la pelle d’oca, sono questi a causare i maggiori problemi. E sai quali sono solitamente
questi plugin? Sono quelli non indispensabili, quelli non molto comuni, quindi fai sempre ben
attenzione a cosa scegliere.
Avere N plugin comporta anche dover gestire N aggiornamenti, con tutti i problemi che si possono
presentare.
Avere N plugin può anche essere vista come una maggiore probabilità di subire un attacco da
parte di hacker, che a seconda della robustezza del plugin può andare o meno a buon fine.
Il mio consiglio è quello di installare solamente i plugin indispensabili e lasciar perdere tutti gli altri.
A volte può anche capitare che i plugin (solitamente quelli poco conosciuti) siano sviluppati da
persone che non hanno le competenze adeguate (chiunque può sviluppare un plugin e renderlo
disponibile per la community), quindi anche il plugin può risultare non ottimizzato, e questo può
portare a rallentare il caricamento e nascondere delle porte di accesso per hacker.
Diciamo che è meglio essere veloci piuttosto che mostrare fronzoli e decorazioni varie nel blog.
Per questo motivo, ti ho preparato una lista dei plugin indispensabili.
WordPress SEO by Yoast
W3 Total Cache
WP Smush.it
Akismet
Subscribe to Comments Reloaded
Contact Form 7
WP-DB-Backup
WordPress Backup to Dropbox
Google Analytics for WordPress
Digg Digg
WP-PageNavi
PS: è molto importante mantenere aggiornati anche i plugin.
Roberto Iacono – robertoiacono.it 24
NON AVERE UN PIANO EDITORIALE IN MENTE Massì, apro un blog e quello che verrà verrà… male però
Sinceramente anche io ho cominciato così, senza sapere perché e per come… ma dopo qualche
anno di esperienza, posso consigliarti di iniziare in maniera ragionata. Pianifica tutto, può essere
un po’ “oppressivo” nei confronti del tuo estro, ma è ciò che ti permetterà di arrivare a qualcosa di
concreto, senza lasciare il cammino a metà strada perché ti sei stufato di cercare la tua strada.
Il mio consiglio quindi è di creare un proprio piano editoriale prima di cominciare.
Devi capire di cosa vuoi parlare nel blog e parlare solo di quello senza divagare troppo.
Devi capire qual è l’obiettivo del blog.
Devi capire a chi ti vuoi rivolgere.
Devi capire come intendi monetizzare il blog, non si vive di sola aria.
Se hai già ben chiaro questi quattro punti fondamentali, allora sei pronto per cominciare. Lanciati
nella mischia installando WordPress e partirai molto avvantaggiato rispetto agli sprovveduti (come
me ).
Mi raccomando, ogni mese poniti degli obiettivi raggiungibili, ed impegnati al 101% per
raggiungerli, ti aiuterà a non mollare nei periodi più duri e lavorerai sempre con nuove motivazioni.
Roberto Iacono – robertoiacono.it 25
MOSTRARE GLI ARTICOLI PER INTERO NELLA HOMEPAGE WordPress permette di mostrare i contenuti in maniera ordinata nel tuo sito, perché non farlo?
Mostrare l’intero contenuto degli articoli in homepage, non è sicuramente il modo corretto per vari
motivi: rallenti il tempo di caricamento del sito, rendi difficoltosa la navigazione all’utente (oltre che
a confonderlo) e potresti avere un problema di contenuti duplicati non indifferente.
Per questi motivi, ti consiglio di mostrare in homepage solamente i primi N caratteri, oppure il
riassunto (supportato da WordPress), anche il tag More di WP è molto apprezzato e funzionale.
Il tag More serve per visualizzare in home page solo la parte dell’articolo che precede questo
tag, tutto il resto è nascosto.
Per inserire il tag More basta andare nell’editor che utilizzi per scrivere e modificare i post e
cliccare sull’apposito tasto oppure nella visualizzazione HTML dell’editor basta scrivere <!–
more–>. Questo codice va inserito nella parte HTML, non nella visualizzazione Visuale dell’editor.
Se volessi utilizzare il codice per troncare in automatico il testo dell’articolo dopo N caratteri,
inserisci questo prima dell’ultimo tag ?> nel file functions.php (fai una copia di backup per
sicurezza).
/* imposta lunghezza del testo da mostrare */
function custom_excerpt_length( $length ) {
$len_excerpt = 37;
return $len_excerpt;
}
add_filter( 'excerpt_length', 'custom_excerpt_length', 999 );
Per modificare il numero dei caratteri da mostrare, cambia il valore della variabile $len_excerpt =
37; in quello che vuoi, ad esempio, $len_excerpt = 100;
Insomma, riordina la tua homepage, dovrebbe essere una delle pagine più importanti e visitate del
tuo sito, curala fin nei minimi dettagli, l’utente potrebbe farsi un’idea della tua professionalità
proprio da questa pagina.
Roberto Iacono – robertoiacono.it 26
USARE LA CODA DI MODERAZIONE PER I COMMENTI È una pratica molto diffusa tra i nuovi blogger, ci sono passato anche io. Praticamente ogni volta
che qualcuno lascia un commento sul tuo blog, questo viene messo nella coda di moderazione e
non viene reso immediatamente visibile a tutta la community. In questo modo, dovrai approvare o
meno ogni singolo commento ma… nel frattempo? Il commento avrebbe potuto scatenare una
discussione tra i lettori del tuo blog ed invece… niente.
Siccome ci sono passato, ti posso consigliare di evitare l’utilizzo della coda di moderazione, agli
utenti non piace vedere che il proprio commento “aspetta”… li scoraggia a commentare
nuovamente.
Hai paura a lasciare i commenti liberi? Mica devi farlo per forza!
Personalmente preferisco usare la coda di moderazione per tutti i commenti che contengono un
link (sempre) e per il primo commento che un utente lascia sul blog, poi tutti gli altri vengono
pubblicati immediatamente. Questo mi serve per prevenire lo spamming massiccio che potrebbe
affliggere il mio blog.
Vai su Impostazioni > Discussione >
Per eliminare completamente la coda di moderazione, devi togliere la spunta sulla casella Gli
autori di un commento devono avere un commento già approvato in precedenza.
E se qualcuno ti scrive delle parole “poco carine” nei commenti? Senza coda di moderazione li
vedranno tutti…. Certamente! Ma in ogni caso ti consiglio di pubblicarli e rispondere pacatamente
motivando le tue scelte senza cadere nella sua trappola… in questo modo uscirai vincitore da
questa mini battaglia.
PS: non cancellare mai nessun commento! Rispondi sempre e motiva le tue scelte.
Roberto Iacono – robertoiacono.it 27
INSERIRE TROPPI WIDGET Come per i plugin, troppi widget potrebbero rallentare il caricamento di un sito, ma non è solo
questo.
In WordPress sono disponibili dei widget di default, ma sono veramente tutti utili al tuo sito? Devi
metterti nei panni di un normale utente e chiederti, cosa mi interessa trovare nella sidebar (o
colonna laterale)? Dalla tua risposta dipenderà quali widget inserire.
Aggiungi solamente i widget indispensabili.
Ad esempio, per me i widget indispensabili sono il campo di ricerca, per poter cercare un articolo
o una parola chiave all’interno del blog, gli articoli recenti, così da mostrare immediatamente quali
sono gli ultimi articoli scritti, le categorie (non sempre), per mostrare le categorie principali del blog
e un widget di testo dove inserire il codice per i box social, i classici “Seguimi su”, per Facebook,
Twitter e Google+.
Tutto il resto lo posso evitare, e lo evito… non confondo l’utente e alla stesso tempo gli fornisco
solamente le informazioni di cui ha bisogno.
Roberto Iacono – robertoiacono.it 28
NON ASSEGNARE I PERMESSI CORRETTI ALLE CARTELLE DI WORDPRESS Uno degli errori più comuni per scarsa conoscenza informatica, è quello di lasciare i permessi di
scrittura alle cartelle di WordPress. È un aspetto davvero fondamentale da controllare almeno la
prima volta, e non modificare più!
Per modificare i permessi, devi accedere via FTP al tuo spazio web. Premendo col pulsante destro
sopra una cartella o file clicca su Permessi file
Qui potrai cambiare i permessi del file o di tutta la cartella (e sottocartelle) in maniera molto
intuitiva:
Ma quali sono permessi corretti per avere una buona protezione del blog?
Tutti i file devono avere permessi 644, imposta lettura e scrittura per il proprietario, solo lettura per
il gruppo e lettura per gli altri.
Il file wp-config.php deve avere permessi 600, imposta lettura e scrittura per il proprietario, nessun
permesso per il gruppo e nessun permesso per gli altri.
Roberto Iacono – robertoiacono.it 29
Tutte le cartelle devono avere permessi 755 e non 777, imposta lettura, scrittura ed esecuzione
per il proprietario, e lettura ed esecuzione per gruppo ed altri.
Da segnalare l’utilizzo del plugin WP Security Scan, in WSD Security > Scanner > mostra quali
dovrebbero essere i permessi corretti per le cartelle e file di WordPress e quali sono
effettivamente.
Roberto Iacono – robertoiacono.it 30
NON ELIMINARE I PLUGIN DISATTIVATI È bene eliminare I plugin non attivi. Tenderanno ad essere dimenticati lì senza venire aggiornati
(tanto sono disattivati, cosa mai potrà succedere?)… ed invece, spesso gli hacker riescono ad
entrare nel sito proprio grazie ai bug conosciuti di questi plugin “parcheggiati”, perché appunto
sono solitamente obsoleti.
Il punto è che gli hacker riuscirebbero a bucare lo stesso plugin anche se fosse attivo, ma almeno
in quel caso, il plugin lo usi e ti serve… perché dovresti far “bucare” il sito a causa di un plugin che
non utilizzi? Cancella tutti i plugin non attivi!
Roberto Iacono – robertoiacono.it 31
NON INDICIZZARE IL BLOG Hai il tuo blog ma non riesci ancora a vederlo comparire nei motori di ricerca?
Come? È da due settimane che ce l’hai e ancora non compare?
Vai a controllare su Impostazioni > Privacy >, assicurati di aver reso visibile il sito ai motori di
ricerca!
Roberto Iacono – robertoiacono.it 32
NON RIMUOVERE LA VERSIONE DI WP NEL SORGENTE Nascondere la versione di WordPress dal codice sorgente di qualunque pagina del sito, è
un’operazione veloce da compiere e che può darti un minimo di protezione. È importante perché
l’hacker troverà più difficoltà a risalire alla versione che utilizzi per sfruttare i bug conosciuti per
quella data versione di WordPress. Magari, dovendo lavorarci più del previsto, ti lascerà stare
Per vedere se il tuo sito WP mostra questa informazione, clicca col tasto destro del mouse e
selezione “Visualizza sorgente” oppure “HTML” (a seconda del browser che utilizzi).
Per rimuovere la versione di WP dal sorgente, basta copiare il codice sottostante ed incollarlo in un punto qualsiasi del file functions.php, all’interno del codice php (fai sempre un backup del file functions.php prima di modificarlo).
Quindi vai su Aspetto > Editor > functions.php ed incolla il codice appena prima dell’ultimo tag ?> (ad esempio).
remove_action('wp_head', 'wp_generator');
Roberto Iacono – robertoiacono.it 33
NON IMPEDIRE L’ACCESSO ALLA PAGINA README.HTML, LICENSE.TXT La pagina readme.html (sconosciuta a molte persone), accessibile da www.nome-
sito.it/readme.html è molto utile per cominciare il percorso con WordPress. Fornisce in una sola
pagina, un sacco di informazioni utili, ad esempio, spiega come installare ed aggiornare
WordPress, fornisce link a risorse utili e spiega come pubblicare gli articoli via mail.
Purtroppo presenta un inconveniente, mostra la versione di WordPress attualmente installata sul
blog!
Come ho già detto in precedenza, se un hacker conosce la versione di WordPress installata,
riesce più facilmente a bucare il blog WP, perché conosce le falle presenti in quella data versione.
Quindi occorre nascondere questa informazione, ma come?
Basta aggiungere nel file .htaccess presente nella root dell’installazione di WP il seguente codice:
# block access to readme.html
<files readme.html>
order allow,deny
deny from all
</files>
# END block access to readme.html
Elimina la cache del browser e di un eventuale plugin, e prova a riandare alla pagina www.nome-
sito.it/readme.html. Ecco cosa vedo:
Roberto Iacono – robertoiacono.it 34
Quindi anche l’hacker vedrà la stessa pagina e non riuscirà a risalire alla versione di WP, almeno
non da questa pagina.
Come mai non ho semplicemente cancellato il file? Perché ad ogni nuovo aggiornamento avrei
dovuto ricancellare il file… e né tu né io abbiamo tutto questo tempo da perdere, vero?
La stessa cosa va fatta per il file license.txt, accessibile da www.nome-sito.it/license.txt, il file che
rappresenta la licenza d’uso di WordPress, ma potrebbe indicare informazioni rilevanti come
l’ultima data di aggiornamento del file. Quindi, è meglio non permettervi l’accesso.
Aggiungi nel file .htaccess presente nella root dell’installazione di WP il seguente codice:
# block access to license.txt
<files license.txt >
order allow,deny
deny from all
</files>
# END block access to license.txt
Roberto Iacono – robertoiacono.it 35
NON USARE CORRETTAMENTE CATEGORIE E TAG Al primo approccio con WordPress potresti non conoscere la differenza tra categorie e tag. Io ho
iniziato a creare un po’ di tutto, in maniera completamente casuale e non ordinata, con il risultato
di? Di dover passare dopo qualche mese a risistemare tutti i tag e le categorie… esperienza che
non consiglio a nessuno
È molto importante progettare anche l’utilizzo delle categorie giuste e decidere quali saranno i tag
più importanti, senza esagerare nel numero.
La differenza sostanziale tra Categorie e Tag è che le Categorie sono dei macrodescrittori dell’argomento del post, ad esempio “guadagnare“, mentre i Tag sono le parole chiave che descrivono il contenuto del post stesso, ad esempio “soldi facili, tradedoubler, metodi“.
Quindi in un buon blog dovrebbero esserci poche categorie, ad esempio 10-20, mentre il numero di tag può essere infinito (nei limiti del possibile).
Un’altra differenza fondamentale è che le categorie sono gerarchizzabili, i tag no! Cosa
significa?
Significa che per ogni categoria posso creare una sottocategoria, più descrittiva della precedente
ma meno descrittiva di un tag.
Riprendendo l’esempio, posso creare delle sottocategorie come “con un blog, con un forum, con
le email”, che sono allo stesso tempo più descrittive di una categoria, ma meno rispetto ad un tag.
Ma quindi, quando scegliere l’uno piuttosto che l’altro?
In linea generale ti puoi porre queste due domande:
La categoria comprende una buona quantità di argomenti (è o potrà essere associata ad almeno 20 post)? Se sì, allora creala, altrimenti lascia stare!
Il tag, è o potrà essere associato ad almeno 4-5 post? Se sì, crealo pure, altrimenti lascia perdere!
Avere categorie e tag con uno o due post associati, può risultare sia scomodo per l’utente che avere problemi di duplicazione dei contenuti. Fai attenzione!
PS: per evitare possibili problemi di contenuti duplicati, il mio consiglio è di indicizzare solamente la
categorie. In alternativa, puoi indicizzare solamente i tag, ma mai entrambi contemporaneamente.
Roberto Iacono – robertoiacono.it 36
NON MODIFICARE I FILE DALL’EDITOR DI WP Questo è un consiglio, non è un errore. Anche se spesso scrivo nei miei articoli (e anche in questo
ebook) di modificare i file tramite l’editor di WordPress, sia per il tema che per i plugin, accessibili
rispettivamente da Aspetto > Editor > e Plugin > Editor > , è preferibile modificare i file scaricandoli
sul computer via FTP, per avere una maggiore sicurezza in caso di modifiche errate.
Praticamente bisognerebbe scaricare il file da modificare, apportare le modifiche e ricaricarlo sullo
spazio web, sovrascrivendo quello precedente. Perché?
Perché in questo modo si evita di bloccare il sito in caso di una modifica non corretta del codice.
Non ti è mai capitato di vedere comparire un’agghiacciante schermata bianca dopo aver
aggiornato un tuo file dall’editor di WordPress? Beh, non te lo auguro. Sei fregato! Non puoi più
accedere né al pannello di amministrazione, né visualizzare il sito… è una situazione orribile.
Anche modificando il file dal computer può portarti a questa situazione, certo. Ma in un secondo,
rispristini lo stato originale del file, salvi e lo carichi… et voilà, il sito è nuovamente funzionante e
raggiungibile.
Quindi modificare i file scaricandoli sul computer, è un po’ più lungo come procedimento e un po’
più complesso (è per questi motivi che consiglio di apportare le modifiche tramite l’editor di
WordPress), ma sicuramente ti salverà la vita in caso di problemi.
Roberto Iacono – robertoiacono.it 37
INSTALLARE TEMI E PLUGIN SOSPETTI L’enorme popolarità di WordPress e la sua natura Open Source, ha permesso lo sviluppo di
22.743+ plugin, solamente nella repository ufficiale!
Chiunque può sviluppare un plugin e renderlo disponibile alla community, ma siamo sicuri che
“chiunque” sia in grado di creare un buon codice per il plugin? Ovviamente no.
Lo stesso discorso vale per i temi. Nella repository ufficiale di wordpress.org, sono presenti 1.648+
temi gratuiti. Questi sono quelli gratuiti ufficiali, ma ce ne saranno qualche altra decina di migliaia
in giro.
La domanda che ti faccio è, ma saranno tutti affidabili?
Sicuramente no. Ci saranno plugin e temi sviluppati da gente non competente, che avranno un
codice pieno di bug, di falle di sicurezza. È proprio da questi che devi stare lontano.
Sicuramente sii diffidente dai plugin e temi non presenti nella repository ufficiale che vengono resi
disponibili su un sito web sconosciuto.
Non utilizzare un plugin che abbia pochissimi Download, ancora non è affidabile al 100% e
potrebbe essere pieno di bug, aspetta qualche mese.
Se proprio vuoi installare un tema gratuito, scaricalo da una fonte sicura, come la directory ufficiale
di WordPress.
Non è detto che un tema professionale a pagamento, non sia realizzato con un codice pessimo,
informati sul designer e controlla sempre i commenti lasciati dagli utenti prima di acquistarne uno.
Diffida da chi utilizza un codice criptato all’interno del tema e del plugin (sto andando sul
complicato, lo so, pardon), perché potrebbe venir caricato qualsiasi cosa.
Questo è un codice criptato:
Roberto Iacono – robertoiacono.it 38
MODIFICARE I FILE DEL TEMA È un errore tipico di chi è alle prime armi con WordPress e vuole provare ad apportare nuove
modifiche al tema. Non modificare mai direttamente i file del tema!
Nel caso utilizzi un tema a pagamento, o comunque un tema che è soggetto ad aggiornamenti, è
molto importante poter effettuare gli aggiornamenti ogni volta che vengono resi disponibili, per
migliorare la sicurezza ed avere delle nuove funzionalità in più.
Ma cosa succede se modifichi un tema e poi lo aggiorni (magari senza aver fatto il backup)?
Ti uccidi. Perdi tutte le modifiche che hai fatto, ore ed ore del tuo lavoro buttate in cambio di nuove funzionalità e maggior sicurezza… ne vale davvero la pena?
I temi child servono proprio per avere la possibilità di mantenere le personalizzazioni che hai apportato al tema e contemporaneamente avere la possibilità di aggiornare il tema padre accedendo alle nuove funzionalità ed a migliorarne la sicurezza.
Creare un tema child è semplice, ma ho creato lo stesso questo articolo per maggiori informazioni, che riassumerò qui brevemente.
COME CREARE UN TEMA CHILD
É possibile creare un tema child per qualsiasi tema ed è molto semplice e veloce, al contrario di quello che si possa immaginare.
Crea sul tuo desktop (o dove vuoi te) una cartella per il tema child, ad esempio twentyeleven-child.
Crea un nuovo file con il blocco note ed incolla il seguente codice:
/* Theme Name: Twenty Eleven Child Theme URI: http://www.robertoiacono.it/ Description: Tema Child per Twenty Eleven Author: Roberto Iacono Template: twentyeleven Version: 0.1 */
Aggiungi al file questo codice:
@import url("../twentyeleven/style.css");
É importante non inserire nient’altro tra questo codice e quello precedente, altrimenti non
funzionerà.
Ora salva il file all’interno della cartella twentyeleven-child e chiamalo style.css.
Copia l’intera cartella twentyeleven-child sul tuo spazio web via FTP (oppure puoi testarlo in locale) nel percorso /wp-content/themes/ . Da notare che non va inserito come sottocartella della cartella twentyeleven, bensì va aggiunto solamente in /wp-content/themes/.
Roberto Iacono – robertoiacono.it 39
Ora vai su Aspetto > Temi > e cerca il tema dal nome Twenty Eleven child, attivalo e continua ad usare e modificare questo tema.
AGGIUNGERE/ELIMINARE DEGLI ELEMENTI
Per aggiungere/eliminare degli elementi al sito, come ad esempio i pulsanti sociali a fine articolo, è errore comune quello di modificare direttamente la struttura tramite la modifica dei file del tema.
Ma cosa accadrà al prossimo aggiornamento del tema?
Dovrai rimodificare la struttura del sito andando a modificare nuovamente i file del tema. Ha senso? Direi proprio di no.
Quando è possibile, è opportuno aggiungere/eliminare degli elementi in un sito utilizzando gli hooks, gli “agganci”, apposite istruzioni che permettono di agganciare del codice (la funzione che mostrerà/eliminerà gli elementi) in punti o momenti ben precisi in WordPress.
I tipi di aggancio sono due, action e filter. Action, va ad agganciarsi ad eventi generati da WordPress, ad esempio quando viene pubblicato un nuovo articolo, mentre Filter modifica solamente i dati da salvare nel database oppure l’output visuale (puoi modificare il contenuto dopo che è stato letto dal database, ma prima che venga visualizzato a schermo).
Ad esempio, per inserire del codice nella sezione <head> del codice HTML del sito, puoi usare
function ri_funzione() { CODICE PER AGGIUNGERE/ELIMINARE DEGLI ELEMENTI NELL’HEAD
} add_action('wp_head', 'ri_funzione);
Roberto Iacono – robertoiacono.it 40
NON CONTROLLARE IL SITO DOPO AVER MODIFICATO QUALCOSA Hai modificato qualche codice del tema, cliccato su aggiorna e chiuso la finestra fiero del tuo
lavoro senza neanche dare un’occhiata al sito? Malissimo!
Ti consiglio di controllare sempre qualsiasi modifica che apporti al sito, anche la più banale come
può essere il cambio di colore di un link, perché a volte può capitare che il tuo codice css abbia
priorità inferiore rispetto ad un altro codice presente nel tuo sito, e quindi non venga eseguito.
Apporti le modifiche e non le vedi a schermo sul sito? Prima di perdere ore a provare e riprovare a
cambiare il codice, cancella la cache di qualche plugin che stai usando (come W3 Total Cache) e
cancella anche la cache del Browser. Aggiorna la pagina del sito e se non vedi niente adesso,
ricontrolla per bene il codice.
Soddisfatto del tuo lavoro? Aspetta a cantare vittoria!
Prova a visualizzare le nuove modifiche con tutti i Browser popolari come FireFox, Chrome,
Internet Explorer, Safari, Opera… non tutti i browser interpretano il codice alla stessa maniera
(purtroppo).
Roberto Iacono – robertoiacono.it 41
USARE NOMI STRANI PER LA SOTTO-CARTELLA Vuoi aggiungere il blog al tuo sito web? Questo andrà caricato in una sotto-cartella (se il sito non è
stato realizzato in WordPress), il cui nome sarà visualizzato nell’URL per accedere al blog stesso,
ad esempio www.nome-sito.it/sotto-cartella/.
La prima cosa a cui devi prestare attenzione è il nome di questa sotto-cartella.
Riflettici bene prima di crearla, è una scelta che non va presa con superficialità. Solitamente si
preferisce utilizzare il nome Blog. Quindi il tuo blog sarà raggiungibile da www.nome-sito.it/blog/.
L’errore da non commettere è quello di chiamare questa cartella WordPress o WP. Te sai cosa
vuol dire, ma l’utente che visita il tuo blog, di certo non capirà e si troverà un po’ spaesato.
Roberto Iacono – robertoiacono.it 42
NON RIMUOVERE INDEX.PHP DALL’URL Di default gli indirizzi generati da WordPress includono la stringa index.php, ad esempio
www.nome-sito.it/index.php/nome-categoria/nome-articolo/.
Ai fini SEO, l’ottimizzazione per i motori di ricerca, più una parola chiave è vicina all’inizio dell’URL
(l’indirizzo), più ha valore. Per questo motivo la stringa index.php, occupando uno spazio vicino
all’inizio dell’URL, fa diminuire il peso delle parole chiave per cui vuoi posizionare l’articolo o la
pagina.
In più, è anche abbastanza brutto da vedere!
L’idea è quella di avere un permalink di questo tipo:
www.nome-sito.it/nome-categoria/nome-articolo/.
Se il tuo hosting supporta il mod_rewrite (per capirlo basta provare ad inserire il seguente codice),
crea o modifica il file .htaccess direttamente nella root della tua installazione di WordPress, ed
aggiungi questo codice:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Se il tuo hosting non supporta il mod_rewrite, tipicamente server Windows IIS, contatta prima di
tutto il tuo hosting provider e chiedi informazioni al riguardo. Se hai pieno controllo del server, puoi
usare il modulo URL Rewrite di Microsoft. Una volta installato, aggiungi al file web.config il
seguente codice all’elemento system.webServer:
<rewrite>
<rules>
<rule name="Main Rule" stopProcessing="true">
<match url=".*" />
<conditions logicalGrouping="MatchAll">
<add input="{REQUEST_FILENAME}" matchType="IsFile" negate="true"
/>
<add input="{REQUEST_FILENAME}" matchType="IsDirectory"
negate="true" />
</conditions>
<action type="Rewrite" url="index.php/{R:0}" />
</rule>
</rules>
</rewrite>
Roberto Iacono – robertoiacono.it 43
NON RIMUOVERE CATEGORY DALL’URL Di default gli indirizzi generati da WordPress includono la stringa category per gli URL delle
categorie, ad esempio www.nome-sito.it/category/nome-categoria/.
Come ho detto prima, più la parola chiave per cui vuoi indicizzare qualcosa (in questo caso la
categoria) è vicina all’inizio dell’URL, più acquista valore. Ecco che la stringa category occupa solo
spazio e ruba “valore” alle parole chiave. Inoltre è in inglese, ed in un sito interamente in italiano,
non fa una bella figura.
Per questi motivi consiglio di eliminare “category” dall’URL.
Come?
Usando un semplice plugin, No category parents, una volta attivato penserà immediatamente e in
automatico ad eliminare la scritta category dall’url. Davvero molto comodo e funzionale!
In alternativa, se utilizzi già WordPress SEO by Yoast, devi solamente selezionare la casella
Elimina la parola categoria (di solito /categoria/) dall'URL della categoria da SEO > Permalinks
>.
Roberto Iacono – robertoiacono.it 44
NON IMPOSTARE UNA FAVICON PERSONALIZZATA La favicon è l’icona 16x16 associata ad una pagina web.
È molto comoda quando si hanno molte schede aperte nello stesso browser così da ritrovare
immediatamente tutte le pagine e/o articoli associati ad un determinato sito.
Inoltre permette di instaurare un rapporto, seppur debole, con l’utente, che vede il sito meno
anonimo e più professionale rispetto a chi non possiede nessuna favicon personalizzata.
Quindi dai un tocco di professionalità in più al tuo blog WordPress, aggiungi una favicon
personalizzata, sostituendo quella che ti viene assegnata dall’hosting o quella standard di WP.
Ho creato un articolo di approfondimento sull’argomento, che riassumerò qui.
Per creare una favicon, preferisco usare un programma di fotoritocco come Gimp (è gratuito) e
ridimensionare il logo con dimensione 16x16.
Salva l’immagine con il nome favicon.ico (attenzione all’estensione .ico).
Dopodiché carica la favicon sul tuo spazio web tramite FTP nella root (solitamente dove sono
presenti le cartelle di WordPress e tutti i file).
Fai un backup del ile functions.php del tema e da Aspetto > Editor > functions.php aggiungi questo
codice prima della chiusura dell’ultimo tag ?> :
/* Aggiungi la favicon al tuo Blog * by Roberto Iacono di robertoiacono.it */ function ri_wp_favicon() { ?> <link rel="shortcut icon" type="image/x-icon" href="URL FAVICON" /> <?php } add_action('wp_head', 'ri_wp_favicon');
Al posto di URL FAVICON devi inserire l’URL della tua favicon, che dipende da dove hai caricato
la tua favicon. Se l’hai inserita nella root, l’URL dovrà essere del tipo: http://www.nome-
sito.it/favicon.ico .
