Cargando…
Después de haber instalado WordPress y otros CMS un número de veces que ni me atrevo a pensar, he ido creándome una checklist de cosas que no quiero olvidar para dejar la instalación a mi gusto.
Dicen que cada maestrillo tiene su librillo y, de forma casi literal, pienso compartir el mío contigo para que tú también lo tengas.
En este artículo distingo tres tipos de ajustes según considero que es su sencillez: básicos, avanzados y core. Imagino que podrás hacerte una idea de por dónde van los tiros.
Si ya tienes cierta experiencia en WordPress quizá te resulte aburrido el principio, en ese caso sólo puedo decirte que entiendas que los primeros puntos están orientados a los más nuevos.
Dicho esto, te acompaño punto por punto detallándote en qué consiste cada uno y su importancia.
Ajustes básicos: el comienzo
1. Cambiar título, descripción y zona horaria
Lo primero que haremos una vez instalado nuestro WordPress será confirmar que tanto la descripción como el título de nuestra página web o blog es correcto acorde a lo que queremos. Para ello lo comprobamos en Ajustes -> Generales.
Una vez aquí, ajustamos la zona horaria y otros detalles que afectarán a nuestro blog. No tiene mucho misterio, pero es necesario.
2. Establecer dominio principal
Todavía en “ajustes generales” estableceremos nuestro dominio principal. Aquí deberemos no sólo indicarle cuál es nuestro dominio sino tomar la decisión de si queremos utilizar las “www” o no hacerlo.
Sí, esto es importante, y una decisión que se tendrá que corresponder en un futuro con lo que le informes a Google mediante Webmaster Tools. ¿Cuál es la decisión acertada? Eso dependerá de ti, el rendimiento será el mismo tomes la opción que tomes.
3. Cambiar estructura de enlaces permanentes
Los permalinks son enlaces amigables que ayudan a comprender de qué se trata la página que vamos a visitar, además de aportar usabilidad y una mejora de estética.
Es fundamental y mi recomendación, como la de la mayoría, es utilizar enlaces del tipo “nombre de entrada” (ej. https://www.calfaro.es/como-crear-contenido).
4. Personalizar ajustes de comentarios
En la sección de “ajustes de comentarios” encontrarás referencias a pingbacks y trackbacks. Mi consejo es que los permitas pero únicamente apruebes aquellos que sean realmente importantes e ignores el resto. Con esto me refiero a los que provienen de páginas con autoridad.
En cuanto a los comentarios, rara vez querrás tenerlos deshabilitados ya que aportarán valor a tu contenido, sin embargo es aconsejable varios puntos:
- Requiere el nombre y correo electrónico del usuario
- No requieras registro de usuario, es una barrera que te hará perder comentarios
- Aprueba los comentarios manualmente. A menos que tengas un volumen considerable no te llevará demasiado tiempo y tendrás un control de lo que se publica
5. Utilizar Gravatar
Gravatar es un servicio que se utiliza desde hace mucho tiempo y que permite mediante el email asociar un avatar al usuario. Puedes encontrar más información en su página web.
Únicamente preocúpate de tenerlo activado.
6. Crea un perfil con información al final de cada entrada
Si lo deseas, puedes contar a los demás quién eres y por qué escribes. Hazlo modificando el perfil de tu usuario, donde también podrás personalizar toda la información relacionada con tu cuenta.
No todo el mundo opta por hacerlo, aunque si quieres que sepan algo más de ti ésta es una opción a tener en cuenta.
7. Seleccionar un theme o plantilla
Una vez tengas fijados los ajustes básicos de tu página web es hora de seleccionar una plantilla o template. Intenta no darle más importancia de la que tiene, con el tiempo y si tu blog evoluciona probablemente acabarás cambiándolo.
Encuentra uno que se adapte a tu necesidad. Los hay de todo tipos, de pago, gratuitos… Dentro de los de pago también verás algunos más complejos que otros, esto afectará al rendimiento de tu página, por lo que intenta que sea lo más ligero posible.
Si quieres gozar de un blog o página perfectamente optimizado y con una respuesta increíble lee mi artículo sobre Genesis Framework, te cuento cómo he reducido a un 50% el tiempo de carga de mi blog. Puedo ayudarte a tener uno de los blogs más rápidos que encontrarás 🙂
Repito, no le des más importancia de la que merece. Céntrate en el funcionamiento del blog e introducir contenido y ya tendrás tiempo de pulir los detalles visuales poco a poco.
8. Eliminar las plantillas que no utilices
Si ya has seleccionado un template a tu gusto elimina el resto que no utilices -y con esto me refiero también a las que vienen por defecto-. Todo elemento dentro de WordPress es potencialmente vulnerable, por lo que si no utilizas algo elimínalo sin miedo.
Constantemente las plantillas son actualizadas, en algunos casos por vulnerabilidades. ¿Qué sentido tiene mantener en nuestro servidor algo que no estamos utilizando?
9. Crea un icono representativo: favicon
Es hora de empezar a darle imagen a la página, tu imagen. Además de insertar tu logotipo y otros elementos corporativos, no olvides añadirle un favicon que ayude a reconocer tu página.
Una vez creado existen muchas maneras de incluirlo. Algunos templates cuentan con la opción para modificarlo desde el panel de administraciónn, si no cuentas con uno que lo permita simplemente añade la imagen al directorio raíz de tu sitio web. Existen otras maneras a través de filtros o plugins pero bastará con lo anterior.
Existen cientos de webs para generar favicons pero puedes hacerlo perfectamente con PhotoShop o cualquier otro programa de diseño.
10. Haz que tu página de contacto sea visible
Por último y antes de pasar a los ajustes más avanzados, date tiempo para crear las páginas más básicas y que Google tanto quiere: principalmente la página de contacto.
No temas mostrarte públicamente, ¡añade datos de contacto reales! A tus usuarios les gustará conocerte, saber quién eres y a quién están leyendo.
Además, al mostrarte sin pudor alguno generará confianza, al menos más que la que puede generar alguien anónimo, ¿no crees?
Ajustes avanzados: entrando en materia
Sí, hasta aquí todo ha sido muy básico, pero no quería dejar de lado a la gente que nunca ha instalado WordPress. Esto te gustará más, aunque lo mejor y lo que más me gusta todavía está por llegar.
11. Elimina el usuario admin que viene por defecto
El primer error y más básico que se comete al instalar WordPress es utilizar el nombre por defecto para el administrador. Sí, admin, eso es!
¿Cuántos blogs habré visto que utilizan a este usuario para todo? No, no lo permitas. Te voy a dar dos opciones igual de válidas:
- Dale permisos de suscriptor a la cuenta admin
- Elimina el usuario admin y crea uno diferente que sea el administrador
La razón es muy evidente. Partiendo de que el sistema de login de WordPress flojea en temas de seguridad -y esto lo solventaremos más adelante-, si utilizas como administrador un usuario que por defecto cualquier persona conoce, a base de fuerza bruta podrán acceder a tu panel de administración.
Asegúrate de utilizar un alias distinto al nombre que muestras públicamente también. Todo esto podrás arreglarlo desde el perfil de usuario.
12. Borrar plugins inútiles: ¡Hello, “Hello Dolly”!
Cuántos plugins inútiles tenemos en nuestro Blog… Realmente existen pocos que sean necesarios, esenciales, luego veremos unos cuantos. El resto en la mayoría de casos son prescindibles.
Elimina todo plugin que no utilices o que no te aporte algo que realmente te facilite una tarea. Empieza borrando el “Hello Dolly”, ¡seguro que todavía lo tienes porque te da pena!
Yo soy partidario de utilizar únicamente los esenciales, por eso en muchas ocasiones prefiero programarme los míos propios a instalar de terceros, más básicos pero mucho más ligeros 😉
¿Has borrado ya “Hello Dolly”? ¡Hazlo!
13. La nueva Ley de Cookies
Hace un tiempo nos tuvimos que adaptar a otra de esas leyes discutibles. Sea como sea tu web, es recomendable instalar un aviso de uso de cookies con el fin de evitar problemas.
Si bien es cierto que la mayoría de plugins no cumplen con la normativa al cien por cien, seguro que encuentras alguno que lo haga. Yo, de momento, no le he dado demasiada importancia y utilizo uno que modifiqué hasta que la cosa se ponga tensa.
Probablemente en un futuro a corto plazo haga un plugin propio y lo comparta.
¡Permanece atento!
14. Plugins esenciales: tres de ellos
¡Bien! Plugins esenciales, estos son los únicos que necesitas sí o sí, los que te harán todo más fácil y mejor. A mi parecer -aunque igual me dejo alguno en el tintero-, son tres: W3 Total Cache, Contact Form 7 y una de los dos clásicos de SEO a tu elección.
Si quieres leer mi recomendación, publiqué un artículo comparando All in One SEO Pack vs WordPress SEO by Yoast.
¿Por qué estos tres?
Bueno, en cuanto a los formularios de contacto es el más utilizado y bajo mi punto de vista el más sencillo y extendido. Es, sin duda, la mejor opción.
W3 Total Cache optimizará la carga de tu página muchísimo, notarás el cambio en el momento que lo tengas configurado correctamente. Tengo pendiente de pasar al blog una guía de configuración óptima, aunque todavía no está en mi calendario de publicaciones.
Respecto al plugin de SEO te aconsejo que pruebes los dos y te quedes con el que más te guste. Te facilitará la optimización en los motores de búsqueda y lo agradecerás. Cualquiera de los dos que elijas será una decisión acertada, eso sí, utilízalos correctamente!
15. Social Sharer: haz que compartir contenido sea fácil
Aunque no lo he incluido en el punto de plugins esenciales sí creo que es importante tener un buen sistema para que el usuario comparta tus contenidos.
Hoy en día existen un montón y podrás elegir entre muchísima variedad. Personalmente me gustan cuanto menos intrusivos mejor, por eso mantengo el de la barra lateral y ni siquiera tengo uno al final de cada entrada -aunque no descarto ponerlo en un futuro-.
Aquí te dejo unos cuantos:
16. Configurar sistema de Backups
Una vez tienes todo el blog como quieres, ¿qué te parecería perderlo y volver a empezar de cero? Pues aplícate y consigue un plugin de backups.
Existen algunas plantillas que incluyen un sistema de copias de seguridad, si no es tu caso te dejo algunas sugerencias:
Como recomendación, échale un vistazo a los Servicios de Amazon S3 si quieres olvidarte de problemas de espacio en Dropbox, Google Drive, etc.
En mi caso puedes imaginar cómo lo hago. Me gustan las copias de seguridad manuales sin utilizar plugins 😉
17. Añade Webmaster Tools y Google Analytics
Lo último que te recomiendo en esta sección es quizá lo más importante si quieres ver resultados en tu blog.
Añade cuanto antes tu página a Webmaster Tools, es una serie de herramientas que pone Google a tu disposición totalmente gratis y que te ayudarán a entender cómo evoluciona tu sitio. Si no conoces su funcionamiento te recomiendo que te empapes de información en su página web.
Comienza por verificar tu página y fijar tu dominio favorito -ya sabes, con www o no-. Envía un sitemap que hayas creado con la ayuda de los plugin SEO o utilizando el plugin Google XML Sitemaps y del resto mejor que investigues!
Además de Webmaster Tools, estoy seguro de que conoces Google Analytics, vital para medir el rendimiento que está teniendo tu sitio en cuanto a tráfico. Vincúlalo con Webmaster Tools y dale un tiempo para empezar a ver la evolución de tu tráfico web.
Tendrás que agregarlo a todas las páginas de tu blog, para ello puedes utilizar alguno de los plugins existentes o editar el fichero header.php, por ejemplo, e incluir el código de seguimiento.
Si te interesa este punto, suscríbete a mi blog y podrás leer artículos de analítica web pronto. Aprenderás a crear informes, filtros, objetivos y sobre todo cómo analizarlos para tomar las medidas oportunas.
Core: nos metemos con el código
Entramos en la parte más técnica y la que más me gusta. Si tienes experiencia en WordPress estoy seguro que todo lo anterior te ha resultado aburrido, pero eso es señal de que ya le has dedicado algo de tiempo al asunto.
A partir de aquí vamos a tocar partes de nuestro wp-config.php y functions.php, dos de los archivos más famosos de nuestro CMS. Cuando se trate de modificar el archivo functions.php intenta hacerlo siempre desde un tema hijo, tal y como expliqué en el artículo Lo que necesitas saber sobre los Child Theme para WordPress.
Aclarado esto, vamos a ello!
18. Generar claves de autentificación
WordPress utiliza una serie de keys para proteger toda la información de identificación que almacena en forma de cookies. Esta información encriptada es difícil de obtener dada la complejidad de estas claves, que se encuentran en el fichero wp-config.php.
Cuando instalamos WordPress veremos en el fichero algo así:
define('AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_KEY', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('SECURE_AUTH_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('LOGGED_IN_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
define('NONCE_SALT', 'pon aquí tu frase aleatoria'); // Cambia esto por tu frase aleatoria.
Para añadir keys y salts nuevas únicamente tendremos que entrar en el enlace que dejo a continuación y generar unas nuevas. Copia y pega unas nuevas. Ten en cuenta que cada vez que hagas esto todas las sesiones existentes en la página se eliminarán. Vamos, que forzarás a hacer login nuevamente a todo usuario registrado!
19. Deshabilitar HTML en comentarios
Algunas plantillas permiten el uso de ciertas etiquetas HTML en los comentarios: <em>, <strong>, <a>, etc. Aunque no debería suponer un problema si está correctamente implementado, es algo totalmente innecesario y que puedes eliminar para evitar riesgos si así lo crees conveniente.
Es muy sencillo, únicamente tienes que añadir un filtro al fichero functions.php de la siguiente forma:
add_filter( 'pre_comment_content', 'esc_html');
Esto convertirá el texto de forma que lo devolverá totalmente plano.
20. Eliminar información meta no necesaria
WordPress por defecto muestra información que no nos interesa compartir con los demás y que es visible a través del código fuente de nuestra página.
Encontrarás la info a la que me refiero en el header, por ejemplo la versión que estás utilizando de WordPress o algún que otro detalle más innecesario.
Añade este código a functions.php y arreglado.
remove_action('wp_head', 'wp_generator');
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'rsd_link');
21. Eliminar los Feeds RSS no esenciales
WordPress genera múltiples feeds por defecto que no son necesarios. Simplemente añade estas líneas para ocultarlos.
remove_action('wp_head', 'feed_links', 2);
remove_action('wp_head', 'feed_links_extra', 3);
22. Limitar revisiones
Ésta -y la siguiente- es una de las primeras cosas que hago antes de meter contenido a WordPress. Por defecto no limita el número de revisiones que guarda cuando estás creando una entrada o página, por lo que te puedes hacer una idea de la carga que puede suponer para tu base de datos.
Yo suelo limitarlo a 2 ó 3 porque nunca se sabe lo que puede pasar! Algunos simplemente prefieren desactivarlo. Lo dejo a tu elección, aquí tienes las dos opciones.
define( 'WP_POST_REVISIONS', false); // Deshabilita las revisiones
define( 'WP_POST_REVISIONS', 2); // Limita a 2 el número de revisiones
¡Ah! Tienes que añadirlo al fichero wp-config.php.
23. Cambiar el intervalo de tiempo del autosave
A esto me refería en el anterior punto. ¿Cada cuanto guarda WordPress una revisión? La respuesta es: ¡cada muy poco!
Vamos a poner un valor algo más sensato, por defecto creo recordar que es un minuto… ¿qué te parece si ponemos tres? Eso sí, en segundos.
define('AUTOSAVE_INTERVAL', 180);
24. ¿Sabías que WordPress adivina URLs?
¿Cómo? ¿Qué no conocías los dotes de adivino que se gasta WordPress?
Prueba a poner una URL muy parecida bajo tu dominio a la de una que exista y veamos si se va a un 404 o te busca la página existente. Para que me entiendas, un ejemplo:
Si yo no tuviera deshabilitada la magia de WordPress, si pusieras en tu navegador “https://www.calfaro.es/como-crear”, en lugar de devolverte un error 404 -no existe esa página como tal- te redirigiría a “https://www.calfaro.es/como-crear-contenido”.
Si quieres que deje de hacerlo, aquí tienes la función que lo evitará.
add_filter('redirect_canonical', 'stop_guessing');
function stop_guessing($url) {
if (is_404()) {
return false;
}
return $url;
}
25. Quita la barra de herramientas en tu página (opcional)
Esto es algo totalmente personal. Antes acostumbraba a quitar la barra de admin por defecto para todos los usuarios añadiendo un filtro, ahora no. En cualquier caso, te dejo cómo hacerlo.
add_filter('show_admin_bar', '__return_false');
Únicamente le estamos diciendo a WordPress que devuelva falso para la función que muestra la barra de herramientas, de manera que no lo muestre. Esto sólo afecta a la barra que aparece mientras visualizamos nuestra web, no la ocultará en el panel de administración.
Por cierto, esta opción también se puede deshabilitar desde el perfil de usuario 😉
26. Desactivar Editor de Ficheros de WordPress
Uno de los aspectos de seguridad que trataré en otro artículo más detallado junto a otros.
¿Alguna vez has utilizado el editor de ficheros que trae WordPress en el dashboard? Bueno, sinceramente yo alguna vez sí, pero pocas. Este editor te permite modificar cualquier fichero de plugins y themes, así que es altamente peligroso tenerlo habilitado en el caso de que alguien entre sin nuestro permiso al panel de administración.
Dado que raramente lo vas a utilizar y que una simple coma mal puesta puede tumbarte la web… vamos a deshabilitarlo, ¿te parece bien?
define( 'DISALLOW_FILE_EDIT', true );
En wp-config.php, of course! Así de fácil.
27. Oculta los errores de login, no quieres dar pistas
La última de seguridad que tocaré en este artículo. De verdad, si te interesa suscríbete al blog porque pronto haré un artículo sobre seguridad para WordPress que es muy recomendado seguir.
Con unos sencillos pasos te ahorrarás muchos posibles disgustos. Vamos con otro de ellos…
¿Alguna vez has intentado hacer login y te has equivocado?
Bueno, generalmente te da pistas sobre si estás poniendo un usuario que no existe o la contraseña no es correcta. Esto es malo, ¿vale? Cuantas menos pistas, mejor. Vamos a mostrar un mensaje genérico que utilizo en todas mis webs.
Dejémoslo en un simple “Ooooops!«.
function login_error_message() {
return 'Ooooops!';
}
add_filter('login_errors', 'login_error_message');
28. Aumenta el tiempo que WordPress se acuerda de ti
Y llegamos al último ajuste que, aunque no es necesario, puede resultarte útil. ¿Qué te parece si ampliamos la duración de la cookie para que WordPress no se olvide tan pronto de nosotros?
Pongamos un tiempo de un mes en nuestro functions.php:
add_filter('auth_cookie_expiration', 'remember_me_1_month');
function remember_me_1_month( $expire ) {
return 2678400; // 1 mes en segundos
}
Bueno, con esto conseguiremos tener un WordPress algo más seguro, práctico y optimizado en unos cuantos pasos. Realmente lleva más tiempo escribir todo esto que ponerlo en práctica, así que no tienes excusa para empezar a llevar a cabo los puntos que tengas pendientes 😉
Si quieres mejorar la seguridad de tu blog en WordPress te aconsejo pasarte por este artículo en el que profundizo más sobre ello.
Espero que te sea de utilidad ahora o en un futuro. Puedes descargar esta guía en PDF para que te sea más cómodo echarle un vistazo en cualquier otro momento… o para lo que quieras. ¡Únicamente te pido que te suscribas al blog para poder descargarla! Además, si lo crees oportuno, puedes compartirla en Twitter o cualquier otra red social.
Espero tu comentario con cualquier pregunta, sugerencia o rectificación.
¿Añadirías algún otro punto a esta guía? ¿Te ha sido útil?
Son consejos muy buenos Carlos.
Te comento que tienes un par de enlaces que devuelven 404 en Monarch y easy social share buttons (esto bórralo del comentario cuando lo publiques) 😉
Una duda que quiero plantearte, dices que es recomendable ocultar el editor del dashboard pero tan solo con el perfil de administrador está habilitado, así que para acceder al dashboard y modificarlo debería entrar como admin, si consiguiera un acceso como editor o suscriptor estaría oculto.
Suelo realizar los cambios de php o css mediante ftp utilizando brackets, pero a veces por comodidad (o pereza) los realizo directamente desde el editor. ¿Entonces es peligroso hacerlo?
Saludos.
Hola Edu!
Lo de los fallos es porque ahora mismo estoy cambiando el framework y se me ha quedado algo pendiente que no he cambiado en local. Gracias por avisar igualmente 😀
En cuanto a lo de desactivar el editor, es recomendable para evitar principalmente que cualquier persona que entre pueda tocar el código. Ten en cuenta que si consiguen entrar por fuerza bruta a tu dashboard lo más probable es que sea con la cuenta de admin.
Por otra parte, algunos de mis clientes han preferido mantener la cuenta de administrador en lugar de usar otra con menos privilegios y «por tocar» han acabado metiéndose en el editor sin saber lo que hacían y… te puedes imaginar. Por eso si no lo tienen es mejor 😉
Si tú controlas no deberías tener problemas pero es un editor poco amigable. Si es para algo sencillo bien, si no lo mejor es que acudas a Brackets!
Un saludo y gracias por comentar!