Dmitryi K

Используйте современные форматы изображений JPEG 2000, JPEG XR и WebP

Для этого существует тэг picture с source, в котором и можно использовать webp. Если не будет поддерживаться, то и не будет использоваться этот source

Устраните ресурсы, блокирующие отображение

Советую почитать по critical-css, т.е. css который необходим для отображения первого экрана. Весь остальной css можно подключать как раз внизу сайта.

Настройте подходящий размер изображений

но на мобильном нет таких размеров. в лучшем случае 375px и @2x, что соответствует 750px, нужно подгружать те форматы и размеры изображения, которые будут подходить текущему разрешению экрана, через тот же вышеупомянутый тег source внутри picture

Задайте правила эффективного использования кеша для статических объектов

Так как мы не можем повлиять на установку кеша на серверах яндекса - можно использовать ленивую загрузку яндекс карт, например решение с промисом, который вы уже будете запускать по окончанию загрузки страницы. Или сделать комбо - первоначально отдаем скриншот, а если уже нужен интерактив - подгружаем скрипты через промис и рендерим карту.

Как это можно исправить, или это не так важно...? Как вы поступаете в таких ситуациях? Вы придерживаетесь рекомендациям google?

Как было написано - это всего лишь рекомендация. Руководствоваться этими рекомендациями или нет, решать лично вам. Однако гугл уже давно использует данные PageSpeedInsights, и учитывает их при ранжировании

Книги по SEO устаревают еще до того, как попадут в типографию.

Вот готовое решение

Правильный путь - следовать API wordpress и особенностям CMS.

Выкинуть всё из стандартной темы и забить туда свой код - это значит либо обречь тему на гибель после того, как кто-то нажмёт на кнопочку "обновить", либо сделать тему необновляемой. Ну и, соответственно, это не WP-way.

Прежде чем делать что-то с темой, нужно разобраться, делаете вы тему с нуля, или обновляете существующую.

Существующую тему используют, если
а) требуется лишь несколько фиксов - поправить вёрстку, добавить несколько блоков
б) по какой-то причине даже глубокая кастомизация получается проще (быстрее, легче) чем разработка с нуля. Скажем, диз темы похож на то, что вам нужно, вы чуть меняете подвал-шапку, а остальное закидываете через Visual Composer или похожее решение.

В этом случае создаётся дочерняя тема, в которой происходит основная работа. В результате обновление исходной темы совершается относительно безболезненно для вашего кода, а дочерняя тема поддерживается на уровне совместимости с исходной (требует доработок где-то раз в год при активно обновляемой теме).

Если в планах разработка темы с нуля - то, как уже отметили, оптимальным будет взять готовую стартер-тему вроде underscores. Делать тему с нуля имеет смысл, если вы не хотите тащить кучу мусора из существующей темы, или разрабатываете что-то, что плохо встроится в существующие варианты.

Изменяемые блоки делаются или через визуальный редактор (Visual Composer или другие), или через механизм опций, или через плагины вроде ACF. Причём ACF использовать не обязательно, у WP есть интерфейс для произвольных полей.

В плане того, что использоваться - ACF, фреймворки, или ещё что, логика примерно такая:
1. Общие элементы темы вроде лого, копирайта, контактных данных - это опции (свой код для страницы настроек), фреймворки опций (Redux, ACF-про ) или кастомайзер WP. Последнее кажется наиболее правильным и соответствующим развитию WP - там почти рукой подать до визуального редактирования уже.
2. Контент страниц - стандартный интерфейс для произвольных полей, ACF или другие решения. С ACF причём нужно быть аккуратным, он может упереться в ограничения сервера по количеству полей или давать неверные данные (писал бакенд для мобильного приложения через WP REST API и хлебнул лиха от сохранённых через ACF данных, привязанных к таксономиям)

В плане кода - всё, что должно решаться через API, решается через API. wp_enqueue_script/style для скриптов и стилей, wp_head(), wp_footer() в соответствующих местах. Вариантов превратить разработку темы в извращение тут очень много, доводилось видеть много всякого от неопытных разрабочтиков. И какого-то универсального решения всего этого избежать, возможно, просто нет. Кроме как учиться, смотреть гайды и лучшие практики, следить за обновлениями WP и рекомендациями для разработчиков.

Честно говоря, сейчас Лиса и Хром совершенно одинаково отрабатывают флексы. А все остальное уж подавно.

Есть некоторые особенности у каждого браузера (можно сказать — баги), но они встречаются редко, очень незначительные и легко гуглятся.

Да и IE новый не выделяется ничем особо. Только вот с ES6 местами беда, но это решаемо.

P.S. И да — если есть возможность отказаться от проекта с поддержкой старых браузеров — сделайте это. Вы не получите ничего, кроме головной боли. Опыта полезного вам это не даст, только время потратите на динозавров.

Можно так:

<script>
$( 'button' ).click(function() {
  if ( $( "#box" ).is( ":hidden" ) ) {
    $( "#box" ).show( "slow" );
  } else {
    $( "#box" ).slideUp();
  }
});
</script>

<button>показать ещё</button>
<div id="box">тут картинки</div>

Если картинки тяжёлые, по мегабайту каждая или более, лучше через:

else ...
$( "#box" ).load( "ajax/image.html  #target" );
...

<div id="box">
      <div id="target"></div>
</div>

вот тут функция
вот тут

if ( is_user_logged_in() ) {
wp_loginout( );
}

Аутентификация по паролям — позапрошлый век.

В той-же статье, на которую вы дали ссылку, прошу обратить внимание на раздел "Аутентификация по токенам".

ВКонтакте, Facebook, Яндекс, Google, Mail.ru и др. — выберите себе провайдера учетных записей по душе и не нужно париться вам с хранением и передачей паролей, а пользователям — с придумыванием этих паролей, их забыванием, восстановлением, вводом с клавиатуры и прочим геморроем.

Наберите в поисковике: oauth <мой любимый провайдер>, и получите подробную инструкцию, как это реализовать.

Запакуй все скрипты вордпреса и свои в один файл, минифицируй и сожми. Подключи в конце документа и радуйся улучшившейся производительности. Тем самым твои скрипты загрузятся один раз и будут доступны из кеша браузера. И при переходе на другие страницы, ничего дополнительного загружать не придется.

• Определите точку взлома. Постарайтесь локализовать причину взлома, определив примерное время взлома и читайте логи.
  
• Установите новую версию рядом из сохраненных бекапов, просканируйте на наличие malaware например с помощью онлайн сервисов https://wpscans.com/ или offline типа дистриба kali linux
  
• Смените все пароли в БД , в частности для доступа к самой БД
  
• Посмотрите список юзеров в WP
  
• Настройте корректные права на доступ к файлам и директориям
  
• Проверьте движок и плагины на возможность обновления
  
• Включите на веб сервере расширенное логирование
  
• Сделайте бекап текущей версии
  
• Замените взломанную версию на новую
  

Если взломы повторятся, то восстановите сайт из свежесделанного бекапа и попробуйте отключать плагины по одному, самая часа причина взломов - это плагины, которые не обновляются , а их уже давно взломали.

P.S.: Как выше написали - так же стоит закрыть админку, я бы еще добавил блокировку при вводе нескольких не верных паролей с помощью fail2ban.