Настройка плагина

Код

Отключить JSON REST API

В WP 4.4 появился интерфейс REST API для взаимодействия с сайтом. Вместе с ним появились страницы /wp-json/, которые успешно индексируются поисковыми системами, и таких страниц десятки тысяч. Кроме того, через данный интерфейс появилась возможность узнать пользователей сайта (что не очень хорошо для безопасности), возможность отправлять комментарии и не только. В 99% случае этот интерфейс можно смело отключать.

Данным интерфейсом пользуются некоторые плагины, поэтому их мы не отключаем, это Contact Form 7 и Google Site Kit. Если ваш плагин перестал работать — попробуйте временно отключить данную опцию, возможно его тоже нужно добавить в исключения. Если нашли такой — напишите нам. Можно добавить самостоятельно через этот хук.

Clearfy Pro удаляет все ссылки на wp-json из кода страницы. Дополнительно устанавливает редирект с данных страниц на главную для неавторизованных пользователей. Если вы зашли в админку — REST API будет работать, т.к. уже много плагинов используют его в своей работе.

Отключить Emoji

отключить emoji

WordPress заменяет emoji на картинки с помощью JS и внешних ресурсов. Этот код был добавлен в 2015 году, когда не все браузеры могли правильно отображать эмоджи. С помощью данного кода emoji меняются на картинки, которые находятся на внешнем ресурсе s.w.org. Сейчас в этом необходимости нет, данный код можно смело отключать. Вместе с чистым кодом, вы убираете загрузку ненужных внешних ресурсов.

Удалить dns-prefetch

Ссылки dns-prefetch появились с WP 4.6.1, они позволяет определить IP адрес ресурса еще до того, как он будет запрошен. Это позволяет чуть-чуть ускорить загрузку ресурсов.

Сами по себе ссылки не плохие, но иногда там попадаются ресурсы, которые нам не потребуются. Например, ссылка на s.w.org, используется для картинок emoji, необходимость в которых уже давно отпала. Рекомендуем или полностью отключить dns-prefetch, или удалить ресурсы, которые вам будут не нужны (как минимум s.w.org).

Удалить jquery-migrate.min.js

Скрипт jquery-migrate.min.js нужен для поддержки старого кода jQuery. Если вы используете свежую версию WP, шаблонов и плагинов — необходимости подключать этот скрипт нет. Безжалостно отключайте его.

Если у вас старый шаблон, есть плагины, которые не обновлялись 5 лет — все равно отключайте, но проверьте потом работоспособность сайта.

Удалить RSD ссылку

удалить RSD ссылку

RSD (Really Simple Discovery) — это XML формат для публикации материалов на блог, нужен для работы с внешними приложениями. Можно смело удалять, если вы не используете приложения для публикации материалов на сайт (это 99% случаев).

Если ссылка не удаляется после активации опции — проверьте файл шаблона header.php, возможно она прописана там, тогда удалит придется вручную.

Удалить WLW ссылку

удалить WLW ссылку

Эта ссылка нужна для приложения Windows Live Writer, которое позволяет публиковать материалы на сайт. Если вы не пользуетесь этим приложением, ссылку лучше отключить.

Если ссылка не удаляется после активации опции — проверьте файл шаблона header.php, возможно она прописана там, тогда удалит придется вручную.

удалить короткую ссылку

Для каждой записи WordPress формирует короткую ссылку вида: /?p=ID_записи, данные ссылки дублируют основные страницы и иногда попадают в индекс. Лучше такие ссылки отключить, необходимости в них нет.

Если ссылка не удаляется после активации опции — проверьте файл шаблона header.php, возможно она прописана там, тогда удалит придется вручную.

В WordPress 5.6 удалена из ядра и больше не подключается. Если по какой-то причине вы не обновляетесь и используете старую версию WP — удалить эти ссылки будет не лишним, никакой пользы они не несут.

Удалить стили .recentcomments

стили recentcomments

WP по умолчанию для виджета Последние комментарии прописывает в коде стили, которые практически невозможно поменять, т.к. к ним применяется !important. Обычно в шаблонах нужные стили уже прописаны и в этих нет необходимости. Рекомендуем удалять.

Код в <head>

В данный раздел вы можете добавить код, который необходимо вывести в секции <head> вашего сайта. Например, коды верификации вебмастера Яндекса или Google, код ретаргета, JS виджеты или счетчики, которые требуют расположения в <head>.

Эта опция удобна, т.к. не требует редактирования шаблона и при обновлении темы вы ничего не потеряете.

Работает через хук wp_head.

Код перед </body>

В данный раздел обычно помещают коды аналитики, метрики, ретаргета и другие JS скрипты, которые необходимо расположить на странице.

Работает через хук wp_footer.

Минификация

минификация HTML

Это удаление неважных символов в исходном коде для уменьшения итогового веса страницы. Удаляются пробелы, табуляция, переносы строк. Положительно влияет на баллы в PageSpeed, т.к. уменьшает вес страницы на 20-30%.

Не удаляются:

  • Пробелы и переносы в JavaScript, т.к. это в большинстве случаев приводит к ошибкам
  • HTML-комментарии, т.к. иногда влияет на счетчики и рекламу
  • Условные теги для IE
  • Содержимое <textarea> <pre> <script>

Если вам нужно исключить какой-то блок из минификации — добавьте в начало и конец комментарий <!--dont minify-->.

Если у вас есть плагины кеширования — не забудьте сбросить кеш после активации данной опции.

SEO

Last-Modified

last-modified

Дата в Last-Modified берется из даты модификации поста (post_modified_gmt). Если есть более свежие комментарии — берется дата самого последнего комментария.

Для архивов (рубрик, тегов и т.д.) берется дата последнего поста, т.к. сами по себе архивы не имеют даты создания или изменения.

При активации данной опции браузер будет кешировать страницы, поэтому при внесении любых изменений, необходимо обновлять страницу со сбрасыванием кеша, горячие клавиши для разных браузеров можно посмотреть здесь.

Last Modified отключен на страницах поиска, в WooCommerce корзине, чекауте и аккаунте.

На главной обычно Last-Modified не отдается, только если для главной не установлена отдельная страница в Настройки > Чтение.

Протестировать работу можно в сервисе LastModified.ru

If-Modified-Since

if modified since

Поисковая система обращается к нашим страницам с указанием последней даты индексации, если документ был обновлен за это время — страница должна отдать код ответа 200, тогда поисковая система заново проиндексирует страницу.

Если страница не была изменена за это время, Clearfy Pro вернет ответ: 304 Not Modified, значит страница не менялась. Робот пропустит эту страницу и перейдет к следующей. Это ускоряет индексацию новых материалов на сайте, т.к. робот не тратит время на выкачивание старых страниц. Уменьшает нагрузку на сервер, т.к. страница не загружается, а только отдаются заголовки.

Протестировать работу можно в сервисе LastModified.ru

Если 304 заголовок не отдается, но при этом есть Last-Modified — уточните у хостера, есть ли поддержка If-Modified-Since.

Автоматически проставить alt

автоматический alt

Проставляет автоматически атрибут alt у картинок, у которых этот атрибут пустой. В качестве alt-текста устанавливается заголовок записи.

Если данного атрибута у изображения нет — свой не добавляется.

Работает только в контенте, т.к. используется хук the_content. Поэтому для изображений в шапке сайта, сайдбаре, подвале и др. местах alt нужно проставить вручную в шаблоне.

Лучше всего — этот атрибут проставлять вручную, указывая разные ключевые слова для статьи. Особенно актуально, если изображений в статье много. Чтобы не было одинаковых alt у каждой картинки.

маскировка ссылок в комментариях

Прячет внешние ссылки в тексте комментария с помощью JS кода. Тег ссылки заменяется на <span>. Псевдо-ссылкам прописываются стили, которые можно переопределить через хук по инструкции ниже.

спрятать ссылку автора

Прячет ссылку у автора комментария с помощью JS кода. Тег ссылки заменяется на <span>.

Работает только со стандартной формой комментариев, т.к. использует хук get_comment_author_link.

Стили для псевдо-ссылок в Clearfy Pro можно переопределить по инструкции ниже.

Noindex для пагинации

noindex для пагинации

Добавляет <meta name="robots" content="noindex,follow"> для страниц пагинации (/page/2/ и т.д.).

Поддерживает плагин All in One SEO Pack и Yoast SEO. Если установлены эти плагины, работает через их хуки. Если их нет, добавляет код через wp_head.

noindex — запрещает индексировать страницу, follow — разрешает переходить по ссылкам на странице.

Создать правильный robots.txt

WordPress умеет создавать виртуальный robots.txt, то есть файл в браузере будет открываться, но на самом деле в директории сайта его не существует. По умолчанию, виртуальный robots.txt такой:

User-agent: *
Disallow: /wp-admin/
Allow: /wp-admin/admin-ajax.php

Sitemap: https://clearfy.ru/wp-sitemap.xml

В нем не учитывается много страниц, которые могут попасть в индекс и их лучше закрыть.

Clearfy Pro меняет виртуальный robots.txt на свой. При этом можно отредактировать или добавить свои правила в форму. Этот robots.txt тоже виртуальный и его в директории нет.

Редирект с http на https

⚠️ На вашем сайте уже должен быть установлен SSL и сайт должен открываться по протоколу https.

Перенаправляет все запросы с http на https. Это не полноценная настройка SSL, а только редирект с http на https. Инструкцию по правильной установке SSL и переходу на https читайте здесь.

Работает через хук init, если нужно, чтобы редирект срабатывал до того, как дойдет до PHP и WP — воспользуйтесь .htaccess и кодом из статьи выше.

Эта опция не экспортируется, чтобы случайно не сломать сайт без https.

Убрать дублирование заголовка в хлебных крошках Yoast SEO

удалить дубли в хлебных крошках

Работает только для плагина Yoast SEO, удаляет последний элемент хлебных крошек, чтобы избежать дублирования заголовка.

Заменить название записи на title в хлебных крошках Yoast SEO

seo заголовок в хлебных крошках

Работает только для плагина Yoast SEO, заменяет последний элемент хлебных крошек на <title> записи, чтобы избежать дублирования заголовка.

Опция добавлена по предложениям клиентов. Обычно последний элемент просто удаляют предыдущей опцией.

Удалить тег <image:image> из XML карты сайта

Опция больше не актуальна и скоро будет удалена. Раньше Яндекс ругался на элементы <image> в XML карте сайта от Yoast SEO, больше не ругается.

Удалить комментарий Yoast SEO из секции <head>

удалить комментарии Yoast SEO

Плагин Yoast SEO добавляет свой комментарий в исходный код сайта такого вида:

<!-- This site is optimized with the Yoast SEO plugin v16.0.2 - https://yoast.com/wordpress/plugins/seo/ -->

Clearfy Pro удаляет данный комментарий из кода страницы.

Canonical на страницах пагинации

canonical на страницах пагинации

Работает только для Yoast SEO.

Еще один способ борьбы со страницами пагинации — это установка на них canonical главной или самой рубрики без /page/2 и др.

Поддерживает рубрики, все таксономии, авторов и главную страницу.

Удалить application/ld+json

yoast seo json ld микроразметка

Yoast SEO добавляет микроразметку через JSON-LD в секцию <head>. Эта микроразметка достаточно ограничена и содержит только информацию по сайту (название, описание), ссылку на поиск по сайту и может содержать хлебные крошки.

Если вы используете шаблон с поддержкой микроразметки — можете смело включить данную опцию, чтобы не дублировать микроразметку в разных форматах на сайте.

JSON-LD не поддерживается Яндексом.

Дубли

Удалить архивы дат

В WordPress есть три вида архивов записей по датам — по годам, по месяцам и по дням. Если мы опубликовали запись 1 апреля 2021 года, то ее можно будет найти по трем адресам. /2021/, /2021/04/ и /2021/04/01/. Это без учета того, что эта же запись у нас и так будет на главной и в рубриках.

Архивы по датам являются дублями страниц и негативно влияют на SEO сайта, рекомендуется их отключать.

Clearfy Pro добавляет редирект на главную страницу со всех архивов дат.

Удалить архивы пользователей

У каждого пользователя на сайте есть своя страница, например: /author/admin/ или /author/sergey/. На данных страница отображаются все записи данного пользователя.

Если у вас на сайте только один пользователь или команда авторов — нет смысла оставлять эти страницы, т.к. они являются дублями. Архивы пользователей нужны только в случае, если у вас на сайте много авторов и нужно оставить возможность просмотреть записи отдельных авторов.

Clearfy Pro добавляет редирект на главную страницу со всех архивов пользователей.

Удалить архивы тегов

Для каждой записи можно поставить метки (они же теги), например: /tag/travel/, /tag/cooking/ Иногда их расставляют для плагинов похожих записей, редко они действительно нужны на сайте. Но с точки зрения SEO — это очередные дубли, которые лучше удалить.

Clearfy Pro добавляет редирект на главную страницу со всех архивов тегов.

Удалить страницы вложений

Для каждого медиафайла, который вы загружаете на сайт, создается своя страница с этим медиафайлом. Если для статьи вы добавили 10 картинок — у вас на сайте появится 10 дополнительных страниц с этими картинками.

Чтобы это проверить — можно перейти в раздел Медиафайлы, открыть любую картинку и нажать на ссылку Просмотреть страницу вложения.

Адреса у таких страниц могут быть с указанием записи /post/image/ или просто /image/, если медиафайл был загружен в разделе Медиафайлы. Либо /?attachment_id=337, если ЧПУ отключены (Настройки > Постоянные ссылки установлены Простые).

В любом случае это страницы, которые не несут никакой ценности ни для посетители, ни для поисковых систем — их нужно убирать.

Clearfy Pro добавляет редирект на главную страницу, если медиафайл не привязан к записи или на саму запись, если медиафайл был загружен для записи.

Удалить дубли пагинации постов

В WordPress 5.5 эту проблему устранили, опцию можно не активировать.

Любую запись можно разбить на несколько частей c помощью <!--nextpage-->. Если адрес записи /post/, то дополнительные страницы будут доступны по адресам /post/2/, /post/3/ и т.д. Однако и без разбивки для любой страницы можно дописать в адрес /2/, /3//30/ и откроется сама запись, страница будет полным дублем.

Clearfy Pro выполняет редирект с несуществующих страниц пагинации постов на саму запись.

Удалить ?replytocom

удалить replytocom

Ссылки ?replytocom знакомы многим вебмастерам, т.к. очень часто попадают в индекс в огромном количестве. Данные ссылки выводятся на кнопке Ответить в комментариях.

Если вы используете один из шаблонов WPShop.ru, в них эти ссылки уже удалены, опцию можно не активировать.

Clearfy Pro удаляет ?replytocom= из ссылок и устанавливает редирект на саму запись.

Защита

Спрятать wp-login.php

У WordPress адрес админки известен всем, это /wp-login.php и его аналог /wp-admin/. На эти адреса часто идут атаки и злоумышленники пытаются подобрать логин и пароль. Активация данной опции позволяет скрыть админку и прекратить подбор паролей.

После этого доступ в панель администратора будет только по новому адресу. При этом после входа вы будете перемещены на /wp-admin/, это нормально и происходит только после ввода правильного логина и пароля.

Убрать возможность узнать логин администратора

Если в адресной строке вбить /?author=1 (вместо 1 может быть другой ID пользователя) — произойдет редирект на страницу пользователя, на которой будет раскрыт логин, с которым можно будет подбирать пароль.

Если в адресной строке есть GET-параметр author — плагин Clearfy Pro выполнит редирект на главную.

Спрятать ошибки при входе на сайт

ошибки при входе на сайт

WP показывает подробные ошибки на форме входа, что именно не подошло: логин или пароль. При неправильном вводе логина выводит ошибку — неизвестный логин, что говорит злоумышленникам: ищите следующий логин. А при вводе неправильного пароля говорит — неправильный пароль, что значит: логин правильный, осталось подобрать пароль. Тем самым данные ошибки упрощают подбор доступов к админке.

Правильно здесь выводить единое сообщение об ошибке: Логин или пароль не подошли. И не уточнять что именно не подошло. Это и делает данная настройка в Clearfy Pro.

Отключить xmlrpc.php

Это протокол для работы внешних приложений. Например, официальное приложение WordPress для iPhone или какие-то собственные скрипты. Но у этого файла есть 2 уязвимости.

1. С помощью Pingback злоумышленники могут организовать DDOS-атаку на сайт.
2. Запустить перебор паролей (брутфорс) с помощью метода wp.getUsersBlogs.

Как это выглядит: на адрес /xmlrpc.php выполняется XML-запрос такого вида:

Если файл доступен и доступны эти методы — на сайт может выполняться DDOS-атака, либо подбор пароля.

В 99% случаев вам не нужен этот файл и лучше xml-rpc.php отключить.

Защита от перебора паролей

защита от подбора паролей

Появилась в 3.4.2. Позволяет защититься от брутфорса (подбора пароля) к админке с помощью блокировки IP, которые вводят неправильные данные.

Если выставить стандартные настройки, то после 5 неправильных попыток входа на сайт (неправильный логин или пароль) вход в админку будет заблокирован на 15 минут для этого IP. Если таких блокировок будет 3, то доступ блокируется уже на 24 часа. То есть при стандартных настройках за 24 часа можно ввести неправильный логин/пароль только 15 раз (для примера, при брутфорсе 1 пароль раз в 2 секунды будет 43000 раз).

Есть список белых IP, в который вы можете добавить свои IP адреса, для которых защита будет отключена. Каждый IP с новой строчки, маски и диапазоны не работают.

Есть список черных IP, доступ которым будет закрыт независимо от количества попыток. Каждый IP с новой строчки, маски и диапазоны не работают.

Удалить meta generator

 

Удалить версию у стилей

Удалить версию у скриптов

Модули

Транслитерация заголовков и файлов

Комментарии

Отключить комментарии

Данная опция позволяет отключить вывод и добавление новых комментариев на вашем сайте. При этом вы можете отключить их для определенных типов постов, например, только для страниц. Сами комментарии остаются в базе данных и не удаляются, потом вы сможете отключить опцию и все комментарии вернутся.

Отключить комментирование XML-RPC

Комментарии в WordPress можно оставлять с помощью внешних приложений, используя XML-RPC. Часто этой возможностью пользуются спамеры. Чтобы закрыть возможность оставлять комментарии через XML-RPC, активируйте данную настройку.

Отключить комментирование REST API

Аналогичная ситуация и с REST API, он дает возможность оставлять комментарии не с самого сайта, а через свой интерфейс. Если вы его не используете (это 99% случаев) — активируйте данную опцию.

Защита контента

Чтобы защитить контент от копирования, запретить выделение текста, запретить контекстные меню, кнопки CTRL+C и другие — активируйте данную опцию. Данная опция не мешает поисковым системам индексировать сайт, никак не кодирует и не прячет сам текст. В исходном коде остается все как и было. Изменения касаются только поведения пользователя в браузере.

Конечно, данная опция не является 100% защитой. Контент будет доступен для роботов (иначе его бы не видели поисковые системы) и будет доступен через исходный код, если посетитель обладает навыками разработки. Но от простых способов копирования защитит.

Другое

После активации плагина все ошибки остались.

Скорей всего дело в кеше, попробуйте сбросить кеш в Вашем плагине кеширования и повторить проверку. Иногда проблемные места есть в самой теме, если сброс кеша не помог – для выявления и устранения их – напишите нам в поддержку.

Из исходного кода страницы не пропала ссылка на xmlrpc.php

Скорей всего ссылка жестко прописана в коде, попробуйте открыть Внешний вид > Редактор, открыть файл Заголовок (header.php) и найти в нем строчку с xmlrpc.php. Если такой строчки нет, напишите нам в поддержку, предоставив доступ в админку.

  • Код
  • Отключить JSON REST API
  • Отключить Emoji
  • Удалить dns-prefetch
  • Удалить jquery-migrate.min.js
  • Удалить RSD ссылку
  • Удалить WLW ссылку
  • Удалить короткую ссылку /?p=
  • Удалить ссылки на предыдущую, следующую запись
  • Удалить стили .recentcomments
  • Код в <head>
  • Код перед </body>
  • Минификация
  • SEO
  • Last-Modified
  • If-Modified-Since
  • Автоматически проставить alt
  • Спрятать внешние ссылки в комментариях в JS
  • Спрятать внешние ссылки авторов комментариев в JS
  • Noindex для пагинации
  • Создать правильный robots.txt
  • Редирект с http на https
  • Убрать дублирование заголовка в хлебных крошках Yoast SEO
  • Заменить название записи на title в хлебных крошках Yoast SEO
  • Удалить тег <image:image> из XML карты сайта
  • Удалить комментарий Yoast SEO из секции <head>
  • Canonical на страницах пагинации
  • Удалить application/ld+json
  • Дубли
  • Удалить архивы дат
  • Удалить архивы пользователей
  • Удалить архивы тегов
  • Удалить страницы вложений
  • Удалить дубли пагинации постов
  • Удалить ?replytocom
  • Защита
  • Спрятать wp-login.php
  • Убрать возможность узнать логин администратора
  • Спрятать ошибки при входе на сайт
  • Отключить xmlrpc.php
  • Защита от перебора паролей
  • Удалить meta generator
  • Удалить версию у стилей
  • Удалить версию у скриптов
  • Модули
  • Транслитерация заголовков и файлов
  • Комментарии
  • Отключить комментарии
  • Отключить комментирование XML-RPC
  • Отключить комментирование REST API
  • Защита контента
  • Другое
  • После активации плагина все ошибки остались.
  • Из исходного кода страницы не пропала ссылка на xmlrpc.php