Post · 22
Co zrobić po instalacji WordPressa — checklist 15 czynności
Świeży WordPress po instalacji ma 15-20% tego co potrzeba do produkcji. Default settings są bezpieczne dla WordPress.com, ale dla self-hosted to mało. Niżej checklist 15 czynności które robię po każdej instalacji — od permalinks (krytyczne dla SEO), przez security headers i 2FA, po cache i backup. Cała konfiguracja w 60-90 minut, raz na zawsze.
- WordPress
- instalacja
- konfiguracja
Bezpieczeństwo i admin (5 czynności)
**1. Zmień login admin z 'admin' na coś unikalnego.** WordPress 5.0+ wymaga to przy instalacji, ale stare instalacje często mają 'admin'. Botnety próbują brute force na tym loginie. Stwórz nowego admina z nietypowym username, usuń starego. Dla profesjonalnego setup tworzenia stron WordPress ten krok robię razem z innymi security hardening w pierwszym tygodniu wdrożenia.
**2. Włącz 2FA dla wszystkich kont admin/editor.** Wordfence Login Security (free) lub WP 2FA. Wymóg w 2026, brak 2FA = spora luka security.
**3. Zainstaluj Wordfence (lub Solid Security, MalCare).** Free tier wystarcza dla małej-średniej strony. Włącz: firewall, brute force protection, login lockdown po 5 nieudanych próbach, 2FA, malware scanner.
**4. Hardening wp-config.php** — dodaj `define('DISALLOW_FILE_EDIT', true);` (blokuje edytor pluginów/motywów z poziomu admin), `define('FORCE_SSL_ADMIN', true);`, klucze i salty z api.wordpress.org/secret-key.
**5. Ustaw security headers w .htaccess** — X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Strict-Transport-Security. Sprawdź wynik na securityheaders.com.
SEO podstawy (4 czynności)
**6. Permalinks — KRYTYCZNE.** Settings → Permalinks → wybierz 'Post name' (`/sample-post/`). Default to `?p=123` co jest SEO-killer. Zrób to PRZED publikacją pierwszego posta — zmiana później generuje 404 jeśli URL-e już zindeksowane.
**7. Zainstaluj Yoast SEO lub Rank Math** (oba free w wersji podstawowej). Yoast bardziej popularny w PL, Rank Math więcej funkcji w free. Skonfiguruj: title separator, default meta, sitemap, schema.org Organization/Person, integracja z Google Search Console.
**8. Wygeneruj i wyślij sitemap.xml** — w Yoast: SEO → General → Features → XML sitemaps ON. URL: `twojadomena.pl/sitemap_index.xml`. Wyślij do Search Console (`https://search.google.com/search-console`). Dla pełnej strategii SEO strony usługowej zobacz pozycjonowanie strony usługowej — 7 kroków.
**9. Robots.txt — sprawdź lub dodaj.** WordPress generuje virtual robots.txt. Sprawdź `twojadomena.pl/robots.txt`. Powinien zawierać `Sitemap: https://twojadomena.pl/sitemap_index.xml`. Dodaj jeśli brak — przez plugin SEO lub ręcznie.
Performance i cache (3 czynności)
**10. Zainstaluj cache plugin.** Jeśli hosting ma LiteSpeed (Cyber_folks, dhosting, niektóre Hostinger) — LiteSpeed Cache (free, najlepszy z LiteSpeed serverem). Inaczej WP Rocket (60$/rok, najlepszy ogólnie) lub WP Optimize (free). Pełna lista must-have wtyczek: 25 must-have wtyczek WordPress 2026.
**11. Optymalizacja obrazków.** Smush (free, do 2 MB obrazek), ShortPixel (płatne ale lepsze, 30$ za 10k obrazków), Imagify. Konwersja JPG/PNG → WebP, lossless lossy compression, lazy loading.
**12. CDN setup** — Cloudflare (free tier wystarcza dla małej strony) lub BunnyCDN ($1/mc minimum). Skraca TTFB dla użytkowników z dalej, dodatkowy security layer.
Backup i compliance (3 czynności)
**13. Backup automatyczny.** UpdraftPlus (free, codzienny backup do Google Drive / Dropbox / S3), Duplicator, Migrate Guru. Minimum: codzienny backup całej strony (database + uploads), retention 30 dni, test restore raz na kwartał.
**14. Cookie consent (RODO).** Cookiebot (płatny, automatic scanning), Klaro (free, open-source), Real Cookie Banner (najpopularniejszy w PL, free podstawowy). Bez tego ryzyko kary do 3% obrotu rocznego.
**15. Polityka prywatności + regulamin.** Settings → Privacy → wygeneruj template Privacy Policy, dostosuj do RODO. Dla sklepu internetowego WooCommerce — regulamin sklepu zgodny z UoPK (Ustawa o Prawach Konsumenta). Generator: prywatnosc24.pl, gotowe.pl.
Bonus: czego NIE robić
**Nie instaluj 30 pluginów na start.** Każdy plugin to potencjalna luka security i ciężar dla performance. Reguła: minimum potrzebne, dodawaj tylko gdy realnie potrzeba.
**Nie używaj Hello Dolly i innych default pluginów-zabawek.** Usuń od razu Akismet (jeśli nie używasz Jetpack), Hello Dolly, Twenty Twenty-One/Two/Three motywy które nie używasz.
**Nie zostawiaj wp-admin.php pod default URL** dla projektów wymagających podwyższonego security. Wordfence pozwala zmienić URL admina (np. `/sekretne-wejscie/`).
**Nie używaj 'admin' jako username, '12345' jako hasła, 'admin@admin.com' jako email.** To podstawa którą botnety atakują pierwsze.
**Nie aktualizuj pluginów / motywów / WP core 'kiedyś'.** Włącz auto-update dla minor releases, manual review dla major. Czek WP-Admin → Updates raz w tygodniu.
FAQ
Najczęstsze pytania.
- Ile czasu zajmuje pełna konfiguracja WordPressa po instalacji?
- 60-90 minut dla doświadczonego dewelopera. Dla początkującego: 3-5 godzin (czas na research każdego pluginu, decyzje, błędy). Pojedyncze rzeczy można rozłożyć w czasie, ale permalinks i security MUSZĄ być pierwsze.
- Czy muszę kupować pluginy premium na start?
- Nie. Free tier większości kluczowych pluginów (Wordfence, Yoast, UpdraftPlus, LiteSpeed Cache, Smush) wystarcza dla małej-średniej strony. Premium dopiero gdy realnie potrzebujesz (np. ShortPixel dla 10k+ obrazków, Yoast Pro dla redirect manager).
- Co jest najważniejsze gdyby mam tylko 30 minut?
- Top 5: 1) permalinks na 'Post name', 2) Wordfence + 2FA, 3) Yoast SEO podstawowa konfiguracja + Search Console, 4) cache plugin, 5) UpdraftPlus codzienny backup do chmury.
- Czy mogę pominąć cookie consent jeśli nie używam analytics?
- Jeśli używasz JAKICHKOLWIEK third-party scripts (Google Fonts, YouTube embed, Twitter embed, Facebook Pixel) — nie. Praktycznie każda strona wymaga cookie consent w 2026.
- Jak często aktualizować plugin / motyw / WP?
- Auto-update dla minor releases (security patches). Major releases — manual review w środowisku staging, deploy w 1-2 tygodnie. Codziennie czek WP-Admin → Updates dla aktualnych projektów (1-2 minuty pracy).
- Czy WordPress wymaga PHP 8.x?
- WordPress 6.5+ rekomenduje PHP 8.1+. Działa na 7.4 ale wolniejszy o 30-50%. Sprawdź wersję PHP na hostingu (Cyber_folks pozwala wybrać per domena), zaktualizuj jeśli stary.
Powiązane usługi
Usługa
Tworzenie stron WordPress
WordPress wybiera się gdy klient chce sam edytować treści bez zaglądania do kodu. Zrobiony dobrze, jest szybki, bezpieczny i indeksowalny. Zrobiony źle, jest lagiem, dziurą bezpieczeństwa i duplikatem 800 innych stron z Elementora.
Zobacz→Usługa
Sklepy internetowe WooCommerce
WooCommerce robi 30% sklepów online na świecie. Działa, jest tani, integruje się ze wszystkim co potrzebujesz w polskim e-commerce. Wymaga jednak osoby która wie jak go skonfigurować pod konwersję, nie tylko jak go zainstalować.
Zobacz→Usługa
Headless WordPress
Headless WordPress łączy najlepsze z dwóch światów: WordPress jako edytor treści (znany każdemu redaktorowi) plus Next.js jako frontend (szybki, SEO-friendly, deploy na CDN). Idealny dla firm które już mają redakcję pracującą na WP, ale chcą wydajności jak na Vercel.
Zobacz→
Pogadajmy