Cómo utilizar el archivo .htaccess para proteger, optimizar y controlar las redirecciones en WordPress

El .htaccess es un archivo central importante de WordPress que se usa a menudo para agregar, modificar y anular configuraciones a nivel de servidor, parámetros de seguridad y rendimiento.

En muchos casos, puede resolver muchos problemas y desafíos operativos a nivel de servidor simplemente actualizando / cambiando las reglas en el archivo .htaccess de WordPress. Sin embargo, muchos propietarios de sitios web no son conscientes de todo el potencial de .htaccess para WordPress y, por lo tanto, pierden la oportunidad de optimizar su servidor (y sitio web) al máximo.

Para ayudar a todos los usuarios de WordPress, destacaré varias cosas interesantes que podría lograr utilizando el archivo .htaccess en WordPress.

Nota: Las reglas y configuraciones que se mencionan a continuación funcionan con Apache 2.4

¿Qué es un archivo .htaccess?

Un archivo .htaccess es la sala de control de su sitio web que contiene reglas esenciales que gobiernan toda la comunicación con su servidor de alojamiento web WordPress. En particular, puede utilizar el archivo .htaccess en WordPress para tareas como controlar el acceso a las páginas del sitio web, mejorar la seguridad y el rendimiento. Se puede colocar en cualquier carpeta del sitio web para cambiar el comportamiento de esa carpeta.

Precaución

Un solo punto (.) Fuera de lugar puede hacer que su sitio web se caiga. Por lo tanto, antes de realizar cambios en el archivo .htaccess, primero haga una copia de seguridad del archivo en una ubicación externa. Si algo sale mal o necesita ayuda, comuníquese con su proveedor de alojamiento web.

El archivo .htaccess predeterminado de WordPress

El archivo .htaccess viene con cada instalación de WordPress y generalmente se encuentra en el directorio raíz. Dada la importancia del archivo, generalmente está oculto (no tiene ninguna extensión de archivo) y no aparece en los listados de archivos y carpetas, principalmente porque el administrador de archivos lo oculta por razones de seguridad.

En raras ocasiones, es posible que no haya ningún archivo .htaccess en la carpeta raíz. Si este es su caso, puede crear un archivo .htaccess en WordPress usando el Bloc de notas (o cualquier editor de texto de su elección) y guardarlo con el nombre " .htaccess ". Establezca " Guardar como tipo " en Todos los archivos y cárguelo en el directorio raíz de su instalación de WordPress.

IMPORTANTE: asegúrese de que el nombre del archivo NO sea "htaccess", es htaccess con un punto (.) Al principio.

Así es como se ve el archivo .htaccess predeterminado para WordPress:

 # COMIENZO WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]
RewriteCond% {REQUEST_FILENAME}! -F
RewriteCond% {REQUEST_FILENAME}! -D
RewriteRule. /index.php [L
</IfModule>
# FIN WordPress

Archivo .htaccess predeterminado de WordPress

Otra forma de crear el archivo .htaccess para WordPress es visitar el Panel de WordPress -> Configuración -> Enlaces permanentes y hacer clic en ' Guardar cambios '.

Esto generará el archivo .htaccess predeterminado para WordPress dentro del directorio raíz.

El archivo .htaccess predeterminado de WordPress solo maneja los enlaces permanentes de su sitio web. Sin embargo, esto se puede cambiar y se pueden agregar reglas adicionales para controlar cómo el servidor web Apache maneja las solicitudes relacionadas con las operaciones.

¿Cómo editar un archivo .htaccess en WordPress?

Para editar el archivo .htaccess en WordPress, vaya a su directorio raíz. Esto se puede hacer utilizando el administrador de archivos proporcionado por su proveedor de alojamiento de WordPress o mediante un cliente FTP como FileZilla.

Inicie sesión en su cuenta de alojamiento web, navegue hasta la carpeta ' public_html ' y busque el archivo .htaccess en la instalación de WordPress.

Haga clic derecho y haga clic en la opción ' Ver / Editar ' para abrirla en su editor de texto preferido.

Realice los cambios necesarios y guarde el archivo.

Otra forma de editar el archivo .htaccess de WordPress es hacer una copia en el sistema local. Una vez que haya terminado, reemplace la versión en vivo usando FTP o administrador de archivos.

Redirecciones de WordPress htaccess

Como se mencionó anteriormente, el archivo .htaccess en WordPress se puede usar para controlar los redireccionamientos de sitios web. Aquí hay algunas reglas de uso frecuente que lo ayudan a configurar y controlar las redirecciones en sus sitios web de WordPress.

Redireccionamiento 301 (permanente)

Un redireccionamiento 301 le dice a los motores de búsqueda que una URL se ha movido permanentemente a otra ubicación. Esto no se limita solo a las URL y puede redirigir una carpeta, página o incluso un sitio web completo. El siguiente fragmento redirigirá oldpage.html a newpage.html:

 Redirigir 301 /oldpage.html http://www.yourwebsite.com/newpage.html

Redireccionamiento 302 (temporal)

A diferencia del 301, el redireccionamiento 302 le dice a los motores de búsqueda que este redireccionamiento es temporal. Esta es una excelente manera de ralentizar (o incluso prevenir) la reproducción aleatoria de SERP. Agregue la siguiente línea al archivo .htaccess:

 Redirigir 302 /oldpage.html http://www.yourwebsite.com/newpage.html

Forzar URL a www

La siguiente regla .htaccess en WordPress obligará a todos los visitantes de example.com a utilizar www.example.com

 RewriteEngine encendido
RewriteCond% {HTTP_HOST} ^ example.com [NC]
RewriteRule ^ (. *) $ Http://www.example.com/$1 [L, R = 301, NC]

Forzar URL a no www

La siguiente regla .htaccess de WordPress obligará a todos los visitantes de www.example.com a utilizar example.com

 RewriteEngine encendido
RewriteCond% {HTTP_HOST} ^ www.example.com [NC]
RewriteRule ^ (. *) $ Http://example.com/$1 [L, R = 301]

Forzar HTTP

La siguiente regla en el archivo .htaccess de WordPress obligará a todos sus visitantes a usar HTTPS en lugar de HTTP para todas las URL.

 RewriteEngine On
RewriteCond% {HTTP: X-Fordered-Proto}! Https
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

Leer más: Aprenda a agregar un certificado SSL a un sitio web de WordPress.

Forzar HTTP

La siguiente regla en el archivo htaccess para WordPress obligará a sus visitantes a usar HTTP en lugar de HTTPS para todas las URL.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond% {HTTP: X-Forward-Proto} ^ https $
RewriteRule. * Http: //% {HTTP_HOST}% {REQUEST_URI} </IfModule>

Redirigir el dominio al subdirectorio

La siguiente regla redirigirá la URL raíz del dominio al subdirectorio de su elección.

 RewriteCond% {HTTP_HOST} ^ example.com $
RewriteCond% {REQUEST_URI}! ^ / Nombre-subdirectorio /
RewriteRule (. *) / Subdir / $ 1

Redirigir una URL

Si tiene dos dominios que prestan servicio al mismo sitio web, la regla .htaccess que se menciona a continuación redirigirá un dominio al otro.

 Redirigir 301 / http://www.mynewwebsite.com/

Consejos de seguridad de WordPress htaccess

El archivo htaccess también se puede utilizar para proteger los directorios y archivos de WordPress en el servidor. Aquí hay algunas reglas muy importantes que los usuarios pueden implementar para proteger los sitios web de WordPress.

Proteger .htaccess

El archivo .htaccess puede potencialmente controlar todo el sitio web. Dado esto, es primordial que .htaccess se proteja de usuarios no autorizados. Al utilizar el siguiente fragmento, puede restringir el acceso a todos los usuarios no autorizados.

Simplemente copie y pegue el fragmento en el archivo .htaccess.

 <archivos ~ "^. * \. ([Hh] [Tt] [Aa])">
orden permitir, negar
Negar todo
satisfacer a todos
</files>

Restringir el acceso al panel de administración de WordPress

¿Imagina el (horrible) escenario en el que alguien accede a tu panel de administración de WordPress? Un ataque de este tipo puede dañar su sitio web.

Para evitar esto, debe restringir el acceso al panel de administración de WordPress solo a una IP específica.

Para ello, cree otro archivo .htaccess y pegue el siguiente fragmento en él. A continuación, cárguelo en la carpeta “www.yourwebsite.com/wp-admin/”.

 # Limitar inicios de sesión y administración por IP
<Límite GET POST PUT>
orden denegar, permitir
Negar todo
permitir desde xx.xx.xx.xx
</Limit>

Ahora, si alguien que no está en la lista de IP aprobadas, no podrá iniciar sesión en su sitio. En su lugar, se mostraría el siguiente error:

Nota: No olvide reemplazar "xx.xx.xx.xx" con su dirección IP permitida.

Puede obtener fácilmente su IP visitando “¿Cuál es mi IP?”. Si tiene más de un moderador, también puede agregar varias IP mediante la siguiente variación:

 permitir desde 12.34.56.78 98.76.54.32 19.82.73.64

Proteger archivos importantes

Puede usar .htaccess en WordPress para proteger archivos importantes como registros de errores, wp-config.php y php.ini. Para ello, utilice el siguiente fragmento:

 <FilesMatch "^. * (Error_log | wp-config \ .php | php.ini | \. [HH] [tT] [aApP]. *) $">
Orden denegar, permitir
Negar todo
</FilesMatch>

Proteger wp-config.php

En WordPress, wp-config.php es el archivo donde se guardan el alojamiento, la base de datos y otras credenciales importantes. No hace falta decir que este archivo debe protegerse contra todo acceso no autorizado.

Para esto, simplemente copie y pegue las siguientes líneas en el archivo .htaccess.

 <archivos wp-config.php>
orden permitir, negar
Negar todo
</files>

Proteger / wp-content /

wp-content es la carpeta que contiene todos los archivos importantes de sus temas, complementos, medios y archivos en caché. Es por eso que este directorio es el principal objetivo de los piratas informáticos y los spammers. Para proteger esta carpeta del acceso no autorizado, cree un archivo .htaccess separado en la carpeta wp-content . A continuación, copie y pegue el siguiente fragmento en el archivo:

 Orden denegar, permitir
Negar todo
<Archivos ~ ". (Xml | css | jpe? G | png | gif | js) $">
Permitir de todos
</Files>

Con la regla anterior, los usuarios solo podrán cargar archivos con las extensiones permitidas (XML, CSS, JPG, JPEG, PNG, GIF y JavaScript). Se rechazarán todos los demás tipos de archivos.

Proteger archivos de solo inclusión

Algunas áreas de la instalación de WordPress nunca deberían ser accesibles para los usuarios promedio. Siempre es una buena práctica bloquear todo acceso a estos archivos. Puede configurar las restricciones de acceso agregando el fragmento al archivo .htaccess.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / includes / - [F, L]
RewriteRule! ^ Wp-includes / - [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]
</IfModule>

Deshabilitar la ejecución de PHP

Restringir la ejecución del código PHP para todos o directorios seleccionados del sitio web de WordPress es una práctica importante de seguridad del sitio web de WordPress. Cree un archivo htaccess dentro de una carpeta donde no desea ejecutar scripts PHP y agregue el siguiente fragmento.

 <Archivos * .php>
Negar todo
</Files>

Ciertas carpetas de WordPress como / wp-includes / y / wp-content / uploads / se pueden escribir de forma predeterminada. Este tipo de permiso permite a los usuarios cargar medios o diferentes tipos de archivos. Siempre se recomienda deshabilitar la ejecución de PHP en estos directorios.

Restricción de acceso a archivos

Restringir el acceso a wp-admin es un requisito importante, particularmente cuando varios miembros del equipo están involucrados en la administración y las actualizaciones del sitio web.

En términos prácticos, esto significa que los usuarios no pueden acceder a archivos confidenciales como complementos, temas y carpetas de activos.

.htaccess es una excelente manera de proteger el acceso directo para editar archivos PHP de complementos y temas, lo que dificulta que los piratas informáticos inyecten código malicioso. Para esto, simplemente agregue las siguientes líneas al archivo:

 RewriteCond% {REQUEST_URI}! ^ / Wp-content / plugins / file / to / exclude \ .php
RewriteCond% {REQUEST_URI}! ^ / Wp-content / plugins / directorio / a / excluir /
RewriteRule wp-content / plugins / (. * \. Php) $ - [R = 404, L]
RewriteCond% {REQUEST_URI}! ^ / Wp-content / themes / file / to / exclude \ .php
RewriteCond% {REQUEST_URI}! ^ / Wp-content / themes / directory / to / exclude /
RewriteRule wp-content / themes / (. * \. Php) $ - [R = 404, L]

Protección de inyección de secuencias de comandos

La inyección de secuencias de comandos es una técnica notoria en la que el atacante "inyecta" un fragmento de código malicioso en el código del sitio web para extraer datos o apoderarse del sitio web. Agregar el siguiente fragmento en el archivo .htaccess de WordPress puede proteger su sitio de tales ataques.

 Opciones + FollowSymLinks
RewriteEngine On
RewriteCond% {QUERY_STRING} (<|% 3C). * Script. * (> |% 3E) [NC, OR]
RewriteCond% {QUERY_STRING} GLOBALS (= | [|% [0-9A-Z] {0,2}) [O]
RewriteCond% {QUERY_STRING} _REQUEST (= | [|% [0-9A-Z] {0,2})
RewriteRule ^ (. *) $ Index.php [F, L]

Bloquear dirección IP

Si alguien está abusando de su sitio web, enviando spam continuamente o lanzando intentos de piratería, su IP es visible en el panel de administración de WordPress. Para bloquear la IP, simplemente use el archivo .htaccess para controlar el acceso a su sitio web. Simplemente copie y pegue el siguiente fragmento en el archivo .htaccess de su WordPress y este problema en particular desaparecerá. Recuerde reemplazar la IP de muestra con la del spammer.

 <Límite OBTENER PUBLICACIÓN>
orden permitir, negar
negar desde 123.456.78.9
permitir de todos
</Limit>

Una vez que el fragmento esté en su lugar, el spammer verá el siguiente mensaje de error en su sitio:

Denegar el acceso a determinados archivos

A veces, desea restringir el acceso a ciertos archivos. Utilice la siguiente regla .htaccess para bloquear el acceso a archivos individuales.

 <archivos su-nombre-de-archivo.txt>
orden permitir, negar
Negar todo
</files>

Deshabilitar la exploración de directorios

El acceso no autorizado a los archivos y carpetas del sitio web es un riesgo de seguridad importante que potencialmente puede derribar todo el sitio.

Al agregar el siguiente fragmento a su archivo .htaccess de WordPress, el acceso a los directorios del sitio web se puede controlar / deshabilitar para todos los usuarios.

 # deshabilitar la exploración de directorios
Opciones de todos los índices

Reglas de rendimiento de WordPress htaccess

El archivo .htaccess en WordPress también se puede utilizar para mejorar el rendimiento de su sitio web. Simplemente copie y pegue los fragmentos relevantes en el archivo .htaccess.

Habilitar la caché del navegador

La caché del navegador es un almacenamiento temporal en su sistema para los archivos descargados por su navegador web para representar los sitios web correctamente. Estos archivos pueden incluir HTML, CSS, JavaScript, así como imágenes y otro contenido multimedia.

En el archivo .htaccess de WordPress, puede establecer reglas sobre cuánto tiempo deben almacenarse en caché ciertos archivos. Los siguientes límites de caducidad se establecen según el uso popular. Para habilitar el almacenamiento en caché del navegador, agregue el siguiente fragmento en el archivo htaccess para WordPress.

 <IfModule mod_expires.c>
        Caduca Activo en
        ExpiresDefault "acceso más 1 mes"

    # CSS
        ExpiresByType text / css "acceso más 1 año"

    # Intercambio de datos
        ExpiresByType application / json "acceso más 0 segundos"
        ExpiresByType application / xml "acceso más 0 segundos"
        ExpiresByType text / xml "acceso más 0 segundos"

    # Favicon (¡no se puede cambiar el nombre!)
        ExpiresByType image / x-icon "acceso más 1 semana"

    # Componentes HTML (HTC)
        ExpiresByType text / x-component "acceso más 1 mes"

    # HTML
        ExpiresByType text / html "acceso más 0 segundos"

    # JavaScript
        ExpiresByType application / javascript "acceso más 1 año"

    # Archivos de manifiesto
        ExpiresByType application / x-web-app-manifest + json "acceso más 0 segundos"
        ExpiresByType text / cache-manifest "acceso más 0 segundos"

    # Medios
        ExpiresByType audio / ogg "acceso más 1 mes"
        ExpiresByType image / gif "acceso más 1 mes"
        ExpiresByType image / jpeg "acceso más 1 mes"
        ExpiresByType image / png "acceso más 1 mes"
        ExpiresByType video / mp4 "acceso más 1 mes"
        ExpiresByType video / ogg "acceso más 1 mes"
        ExpiresByType video / webm "acceso más 1 mes"

    # Web feeds
        ExpiresByType application / atom + xml "acceso más 1 hora"
        ExpiresByType application / rss + xml "acceso más 1 hora"

    # Fuentes web
        ExpiresByType application / font-woff2 "acceso más 1 mes"
        ExpiresByType application / font-woff "acceso más 1 mes"
        ExpiresByType application / vnd.ms-fontobject "acceso más 1 mes"
        Aplicación ExpiresByType / x-font-ttf "acceso más 1 mes"
        ExpiresByType font / opentype "acceso más 1 mes"
        ExpiresByType image / svg + xml "acceso más 1 mes"

</IfModule>

Leer más: Aprenda cómo aprovechar el almacenamiento en caché del navegador en WordPress para optimizar el tiempo de carga de la página

Habilitar la compresión Gzip

Gzip es un algoritmo de compresión extremadamente poderoso que ubica cadenas similares dentro de un archivo de texto y las reemplaza temporalmente para reducir el tamaño general del archivo. Como resultado, Gzip se utiliza a menudo como una importante herramienta de optimización de la velocidad de carga de la página del sitio web.

La compresión Gzip se utiliza a menudo a nivel de servidor y muchos proveedores de alojamiento como Cloudways la habilitan de forma predeterminada. Sin embargo, si por alguna razón htaccess no funciona, intente agregar el siguiente fragmento al archivo .htaccess de WordPress o comuníquese con su proveedor de alojamiento web.

 <IfModule mod_deflate.c>

  # Comprimir HTML, CSS, JavaScript, Texto, XML y fuentes
  AddOutputFilterByType DESINFLAR la aplicación / javascript
  AddOutputFilterByType DESINFLAR la aplicación / rss + xml
  AddOutputFilterByType DESINFLAR la aplicación / vnd.ms-fontobject
  AddOutputFilterByType DESINFLAR la aplicación / x-font
  AddOutputFilterByType DESINFLAR la aplicación / x-font-opentype
  AddOutputFilterByType DESINFLAR la aplicación / x-font-otf
  AddOutputFilterByType DESINFLAR la aplicación / x-font-truetype
  AddOutputFilterByType DESINFLAR la aplicación / x-font-ttf
  AddOutputFilterByType DEFLATE aplicación / x-javascript
  AddOutputFilterByType DESINFLAR la aplicación / xhtml + xml
  AddOutputFilterByType DESINFLAR la aplicación / xml
  AddOutputFilterByType DEFLATE fuente / opentype
  AddOutputFilterByType DEFLATE fuente / otf
  AddOutputFilterByType DEFLATE fuente / ttf
  AddOutputFilterByType DESINFLAR imagen / svg + xml
  AddOutputFilterByType DESINFLAR imagen / icono x
  AddOutputFilterByType DESINFLAR texto / css
  AddOutputFilterByType DESINFLAR texto / html
  AddOutputFilterByType DEFLATE texto / javascript
  AddOutputFilterByType DESINFLAR texto / sin formato
  AddOutputFilterByType DESINFLAR texto / xml

  # Elimina los errores del navegador (solo es necesario para navegadores realmente antiguos)
  BrowserMatch ^ Mozilla / 4 gzip-solo-texto / html
  BrowserMatch ^ Mozilla / 4 \ .0 [678] sin gzip
  BrowserMatch \ bMSIE! No-gzip! Gzip-only-text / html
  Encabezado anexar Vary User-Agent

</IfModule>

Controlar / restringir el enlace directo de imágenes

El enlace directo de imágenes puede afectar significativamente el uso del ancho de banda porque cada vez que un recurso externo solicita una imagen, el ancho de banda de su servidor se utiliza para entregar la imagen.

Para reducir el consumo de ancho de banda debido al enlace directo de imágenes, puede agregar el siguiente fragmento de código al archivo .htaccess:

 RewriteEngine encendido
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourdomain.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

htaccess para WordPress Multisitio (WPMU)

El archivo .htaccess predeterminado para WordPress Multisite es ligeramente diferente del archivo .htaccess estándar de WordPress.

Htaccess predeterminado para subcarpetas WPMU

Si su red de WordPress Multisitio está basada en subcarpetas, el archivo .htaccess predeterminado debería verse así:

 RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]

# agregue una barra al final a / wp-admin
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? Wp-admin $ $ 1wp-admin / [R = 301, L]

RewriteCond% {REQUEST_FILENAME} -f [OR]
RewriteCond% {REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? (Wp- (contenido | administración | incluye). *) $ 2 [L]
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? (. * \. Php) $ $ 2 [L]
RewriteRule. index.php [L]

Htaccess predeterminado para subdominios WPMU

Si su red multisitio de WordPress está basada en subdominios, el archivo .htaccess predeterminado debería verse así:

 RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]

# agregue una barra al final a / wp-admin
RewriteRule ^ wp-admin $ wp-admin / [R = 301, L]

RewriteCond% {REQUEST_FILENAME} -f [OR]
RewriteCond% {REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^ (wp- (contenido | administración | incluye). *) $ 1 [L]
RewriteRule ^ (. * \. Php) $ $ 1 [L]
RewriteRule. index.php [L]

¡Pensamientos finales!

Cuando se trata de la configuración del servidor, el archivo .htaccess de WordPress es uno de los archivos más importantes de su servidor. A menudo se utiliza para configurar su servidor web y proteger varias áreas de su sitio web. Si cree que he pasado por alto un caso de uso importante de .htaccess, deje un comentario a continuación y actualizaré esta lista.