Como usar o arquivo .htaccess para proteger, otimizar e controlar redirecionamentos no WordPress

O .htaccess é um importante arquivo central do WordPress que costuma ser usado para adicionar, modificar e substituir configurações de nível de servidor, parâmetros de segurança e desempenho.

Em muitos casos, você pode resolver muitos desafios e problemas operacionais no nível do servidor simplesmente atualizando / alterando as regras no arquivo .htaccess do WordPress. No entanto, muitos proprietários de sites não estão cientes de todo o potencial do .htaccess para WordPress e, portanto, perdem a oportunidade de otimizar seu servidor (e site) ao máximo.

Para ajudar todos esses WordPressers, destacarei várias coisas interessantes que você pode realizar usando o arquivo .htaccess no WordPress.

Nota: As regras e configurações mencionadas abaixo funcionam com Apache 2.4

O que é um arquivo .htaccess?

Um arquivo .htaccess é a sala de controle do seu site que contém regras essenciais que regem toda a comunicação com o servidor de hospedagem WordPress. Em particular, você pode usar o arquivo .htaccess no WordPress para tarefas como controlar o acesso às páginas do site, melhorando a segurança e o desempenho. Ele pode ser colocado em qualquer pasta do site para alterar o comportamento dessa pasta.

Precaução

Um único ponto perdido (.) Pode derrubar seu site. Portanto, antes de fazer qualquer alteração no arquivo .htaccess, primeiro faça backup do arquivo em um local externo. Se algo der errado ou você precisar de ajuda, entre em contato com seu provedor de hospedagem na web.

O arquivo .htaccess padrão do WordPress

O arquivo .htaccess vem com cada instalação do WordPress e geralmente está localizado no diretório raiz. Dada a importância do arquivo, ele geralmente fica oculto (não tem extensão de arquivo) e não aparece nas listas de arquivos e pastas, principalmente porque o gerenciador de arquivos o oculta por motivos de segurança.

Em casos raros, é possível que não haja um arquivo .htaccess na pasta raiz. Se este for o seu caso, você pode criar um arquivo .htaccess no WordPress usando o Notepad (ou qualquer editor de texto de sua escolha) e salvá-lo com o nome “ .htaccess ”. Defina “ Salvar como tipo ” para Todos os arquivos e carregue-o no diretório raiz de sua instalação do WordPress.

IMPORTANTE: Certifique-se de que o nome do arquivo NÃO seja “htaccess” - é htaccess com um ponto (.) No início.

Esta é a aparência do arquivo .htaccess padrão para WordPress:

 # BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]
RewriteCond% {REQUEST_FILENAME}! -F
RewriteCond% {REQUEST_FILENAME}! -D
RewriteRule. /index.php [L
</IfModule>
# END WordPress

Arquivo padrão do WordPress .htaccess

Outra forma de criar o arquivo .htaccess para WordPress é visitar o Painel do WordPress -> Configurações -> Links permanentes e clicar em ' Salvar alterações '.

Isso irá gerar o arquivo .htaccess padrão para WordPress dentro do diretório raiz.

O arquivo .htaccess padrão do WordPress lida apenas com permalinks do seu site. No entanto, isso pode ser alterado e regras adicionais podem ser adicionadas para controlar como o servidor da web Apache lida com as solicitações relacionadas às operações.

Como editar o arquivo .htaccess no WordPress?

Para editar o arquivo .htaccess no WordPress, vá para o diretório raiz. Isso pode ser feito usando o gerenciador de arquivos fornecido pelo seu provedor de hospedagem WordPress ou por meio de um cliente FTP como o FileZilla.

Faça login em sua conta de hospedagem na web, navegue até a pasta ' public_html ' e procure o arquivo .htaccess na instalação do WordPress.

Clique com o botão direito e clique na opção ' Exibir / Editar ' para abri-lo em seu editor de texto preferido.

Faça as alterações necessárias e salve o arquivo.

Outra forma de editar o arquivo .htaccess do WordPress é fazer uma cópia no sistema local. Quando terminar, substitua a versão ao vivo usando FTP ou gerenciador de arquivos.

Redirecionamentos WordPress htaccess

Conforme discutido acima, o arquivo .htaccess no WordPress pode ser usado para controlar redirecionamentos de sites. Aqui estão algumas regras usadas com frequência que ajudam você a configurar e controlar redirecionamentos em seus sites WordPress.

Redirecionamento 301 (Permanente)

Um redirecionamento 301 informa aos mecanismos de pesquisa que um URL foi movido permanentemente para outro local. Isso não se limita apenas a URLs e você pode redirecionar uma pasta, página ou até mesmo um site completo. O seguinte snippet redirecionará o oldpage.html para newpage.html:

 Redirect 301 /oldpage.html http://www.yourwebsite.com/newpage.html

302 (Temporário) Redirecionar

Ao contrário do 301, o Redirecionamento 302 informa aos mecanismos de pesquisa que esse redirecionamento é temporário. Essa é uma ótima maneira de desacelerar (ou até mesmo evitar) embaralhamento de SERP. Adicione a seguinte linha ao arquivo .htaccess:

 Redirect 302 /oldpage.html http://www.yourwebsite.com/newpage.html

Forçar URL para www

A seguinte regra .htaccess no WordPress forçará todos os visitantes em example.com a usar www.example.com

 RewriteEngine em
RewriteCond% {HTTP_HOST} ^ example.com [NC]
RewriteRule ^ (. *) $ Http://www.example.com/$1 [L, R = 301, NC]

Forçar URL para não www

A seguinte regra de .htaccess do WordPress forçará todos os visitantes em www.example.com a usar example.com

 RewriteEngine em
RewriteCond% {HTTP_HOST} ^ www.example.com [NC]
RewriteRule ^ (. *) $ Http://example.com/$1 [L, R = 301]

Forçar HTTPs

A regra a seguir no arquivo .htaccess do WordPress forçará todos os seus visitantes a usar HTTPS em vez de HTTP para todos os URLs.

 RewriteEngine On
RewriteCond% {HTTP: X-Forwarded-Proto}! Https
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

Leia mais: Aprenda como adicionar um certificado SSL a um site WordPress.

Forçar HTTP

A regra a seguir no arquivo htaccess para WordPress forçará seus visitantes a usar HTTP em vez de HTTPS para todos os URLs.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond% {HTTP: X-Forwarded-Proto} ^ https $
RewriteRule. * Http: //% {HTTP_HOST}% {REQUEST_URI} </IfModule>

Redirecionar domínio para subdiretório

A regra a seguir redirecionará o URL raiz do domínio para o subdiretório de sua escolha.

 RewriteCond% {HTTP_HOST} ^ example.com $
RewriteCond% {REQUEST_URI}! ^ / Nome-do-subdiretório /
RewriteRule (. *) / Subdir / $ 1

Redirecionar um URL

Se você tiver dois domínios servindo no mesmo site, a regra .htaccess mencionada abaixo redirecionará um domínio para o outro.

 Redirect 301 / http://www.mynewwebsite.com/

Dicas de segurança do WordPress htaccess

O arquivo htaccess também pode ser usado para proteger diretórios e arquivos do WordPress no servidor. Aqui estão algumas regras muito importantes que os usuários podem implantar para proteger sites do WordPress.

Proteger .htaccess

O arquivo .htaccess pode potencialmente controlar todo o site. Diante disso, é fundamental que o .htaccess seja protegido de usuários não autorizados. Usando o seguinte trecho, você pode restringir o acesso de todos os usuários não autorizados.

Basta copiar e colar o snippet no arquivo .htaccess.

 <arquivos ~ "^. * \. ([Hh] [Tt] [Aa])">
pedido permitir, negar
negar de todos
satisfazer todos
</files>

Restringir o acesso ao painel de administração do WordPress

Imagine o cenário (horrível) em que alguém obtém acesso ao painel de administração do WordPress? Esse tipo de ataque pode destruir seu site.

Para evitar isso, você deve restringir o acesso ao painel de administração do WordPress apenas a um (s) IP (s) específico (s).

Para isso, crie outro arquivo .htaccess e cole o seguinte trecho nele. Em seguida, carregue-o na pasta “www.yourwebsite.com/wp-admin/”.

 # Limitar logins e admin por IP
<Limite GET POST PUT>
pedido negar, permitir
negar de todos
permitir de xx.xx.xx.xx
</Limit>

Agora, se alguém que não estiver na lista de IPs aprovados, ele não conseguirá acessar o seu site. Em vez disso, o seguinte erro seria exibido:

Nota: Não se esqueça de substituir “xx.xx.xx.xx” pelo seu endereço IP permitido.

Você pode obter seu IP facilmente visitando “Qual é o meu ip”. Se você tem mais de um moderador, também pode adicionar vários IPs usando a seguinte variação:

 permitir de 12.34.56.78 98.76.54.32 19.82.73.64

Arquivos importantes seguros

Você pode usar .htaccess no WordPress para proteger arquivos importantes, como logs de erros, wp-config.php e php.ini. Para isso, use o seguinte snippet:

 <FilesMatch "^. * (Error_log | wp-config \ .php | php.ini | \. [HH] [tT] [aApP]. *) $">
Negar pedido, permitir
Negar de todos
</FilesMatch>

Proteja wp-config.php

No WordPress, wp-config.php é o arquivo onde a hospedagem, banco de dados e outras credenciais importantes são salvas. Nem é preciso dizer que esse arquivo deve ser protegido de todos os acessos não autorizados.

Para isso, basta copiar e colar as seguintes linhas no arquivo .htaccess.

 <arquivos wp-config.php>
pedido permitir, negar
negar de todos
</files>

Proteger / wp-content /

wp-content é a pasta que contém todos os arquivos importantes de seus temas, plug-ins, mídia e arquivos em cache. É por isso que esse diretório é o principal alvo de hackers e spammers. Para proteger esta pasta de acesso não autorizado, crie um arquivo .htaccess separado na pasta wp-content . Em seguida, copie e cole o seguinte snippet no arquivo:

 Negar pedido, permitir
Negar de todos
<Arquivos ~ ". (Xml | css | jpe? G | png | gif | js) $">
Permitir de todos
</Files>

Com a regra acima, os usuários só poderiam fazer upload de arquivos com as extensões permitidas (XML, CSS, JPG, JPEG, PNG, GIF e JavaScript). Todos os outros tipos de arquivo serão negados.

Proteger arquivos somente para inclusão

Algumas áreas da instalação do WordPress nunca devem ser acessíveis ao usuário médio. É sempre uma boa prática bloquear todo o acesso a esses arquivos. Você pode configurar as restrições de acesso adicionando o snippet ao arquivo .htaccess.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / includes / - [F, L]
RewriteRule! ^ Wp-includes / - [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]
</IfModule>

Desativar execução de PHP

Restringir a execução de código PHP para todos ou alguns diretórios do site WordPress é uma prática importante de segurança de sites WordPress. Crie um arquivo htaccess dentro de uma pasta onde você não deseja executar scripts PHP e adicione o trecho abaixo nele.

 <Arquivos * .php>
negar de todos
</Files>

Certas pastas do WordPress como / wp-includes / e / wp-content / uploads / são graváveis ​​por padrão. Este tipo de permissão permite que os usuários carreguem mídia ou diferentes tipos de arquivo. É sempre recomendável desabilitar a execução do PHP nesses diretórios.

Restrição de acesso ao arquivo

Restringir o acesso ao wp-admin é um requisito importante, principalmente quando vários membros da equipe estão envolvidos no gerenciamento e nas atualizações do site.

Em termos práticos, isso significa que os usuários não podem acessar arquivos confidenciais, como plug-ins, temas e pasta de ativos.

.htaccess é uma ótima maneira de proteger o acesso direto para editar arquivos PHP de plug-ins e temas, tornando mais difícil para os hackers injetar código malicioso. Para isso, basta adicionar as seguintes linhas ao arquivo:

 RewriteCond% {REQUEST_URI}! ^ / Wp-content / plugins / file / to / exclude \ .php
RewriteCond% {REQUEST_URI}! ^ / Wp-content / plugins / diretório / para / excluir /
RewriteRule wp-content / plugins / (. * \. Php) $ - [R = 404, L]
RewriteCond% {REQUEST_URI}! ^ / Wp-content / themes / file / to / exclude \ .php
RewriteCond% {REQUEST_URI}! ^ / Wp-content / themes / directory / to / exclude /
RewriteRule wp-content / themes / (. * \. Php) $ - [R = 404, L]

Proteção de injeção de script

A injeção de script é uma técnica notória em que o invasor “injeta” um código malicioso no código do site para extrair dados ou assumir o controle do site. Adicionar o seguinte trecho ao arquivo .htaccess do WordPress pode proteger seu site contra tais ataques.

 Opções + FollowSymLinks
RewriteEngine On
RewriteCond% {QUERY_STRING} (<|% 3C). * Script. * (> |% 3E) [NC, OR]
RewriteCond% {QUERY_STRING} GLOBALS (= | [|% [0-9A-Z] {0,2}) [OU]
RewriteCond% {QUERY_STRING} _REQUEST (= | [|% [0-9A-Z] {0,2})
RewriteRule ^ (. *) $ Index.php [F, L]

Bloquear endereço IP

Se alguém está abusando do seu site, continuamente enviando spam ou iniciando tentativas de hacking, o IP dele fica visível no painel de administração do WordPress. Para bloquear o IP, basta usar o arquivo .htaccess para controlar o acesso ao seu site. Simplesmente copie e cole o seguinte trecho no arquivo .htaccess do seu WordPress e este problema específico irá embora. Lembre-se de substituir o IP da amostra pelo do spammer.

 <Limite GET POST>
pedido permitir, negar
negar de 123.456.78.9
permitir de todos
</Limit>

Assim que o snippet estiver no lugar, o spammer verá a seguinte mensagem de erro em seu site:

Negar acesso a certos arquivos

Às vezes, você deseja restringir o acesso a certos arquivos. Use a seguinte regra .htaccess para bloquear o acesso a arquivos individuais.

 <arquivos seu-nome-de-arquivo.txt>
pedido permitir, negar
negar de todos
</files>

Desativar a navegação no diretório

O acesso não autorizado a arquivos e pastas de sites é um grande risco de segurança que pode derrubar todo o site.

Ao adicionar o seguinte snippet ao seu arquivo .htaccess do WordPress, o acesso aos diretórios do site pode ser controlado / desabilitado para todos os usuários.

 # desativa a navegação no diretório
Opções Todos - Índices

Regras de desempenho do htaccess do WordPress

O arquivo .htaccess no WordPress também pode ser usado para melhorar o desempenho do seu site. Basta copiar e colar os trechos relevantes no arquivo .htaccess.

Habilitar Cache do Navegador

O cache do navegador é um armazenamento temporário em seu sistema para os arquivos baixados por seu navegador para renderizar sites corretamente. Esses arquivos podem incluir HTML, CSS, JavaScript, bem como imagens e outros conteúdos multimídia.

No arquivo .htaccess do WordPress, você pode definir regras de quanto tempo certos arquivos devem ser armazenados em cache. Os seguintes limites de expiração são definidos com base no uso popular. Para habilitar o cache do navegador, adicione o seguinte trecho no arquivo htaccess para WordPress.

 <IfModule mod_expires.c>
        ExpiresActive em
        ExpiresDefault "acesso mais 1 mês"

    # CSS
        ExpiresByType text / css "acesso mais 1 ano"

    # Intercâmbio de dados
        ExpiresByType application / json "acesso mais 0 segundos"
        ExpiresByType application / xml "acesso mais 0 segundos"
        ExpiresByType text / xml "acesso mais 0 segundos"

    # Favicon (não pode ser renomeado!)
        ExpiresByType image / x-icon "acesso mais 1 semana"

    # Componentes HTML (HTCs)
        ExpiresByType text / x-component "acesso mais 1 mês"

    # HTML
        ExpiresByType text / html "acesso mais 0 segundos"

    # JavaScript
        ExpiresByType application / javascript "access plus 1 year"

    # Arquivos de manifesto
        ExpiresByType application / x-web-app-manifest + json "acesso mais 0 segundos"
        ExpiresByType text / cache-manifest "acesso mais 0 segundos"

    # Meios de comunicação
        ExpiresByType audio / ogg "acesso mais 1 mês"
        ExpiresByType image / gif "acesso mais 1 mês"
        ExpiresByType image / jpeg "acesso mais 1 mês"
        ExpiresByType image / png "acesso mais 1 mês"
        ExpiresByType video / mp4 "acesso mais 1 mês"
        ExpiresByType video / ogg "acesso mais 1 mês"
        ExpiresByType video / webm "acesso mais 1 mês"

    # Feeds da web
        ExpiresByType application / atom + xml "acesso mais 1 hora"
        ExpiresByType application / rss + xml "acesso mais 1 hora"

    # Fontes da web
        ExpiresByType application / font-woff2 "acesso mais 1 mês"
        ExpiresByType application / font-woff "acesso mais 1 mês"
        ExpiresByType application / vnd.ms-fontobject "acesso mais 1 mês"
        ExpiresByType application / x-font-ttf "acesso mais 1 mês"
        ExpiresByType font / opentype "acesso mais 1 mês"
        ExpiresByType image / svg + xml "acesso mais 1 mês"

</IfModule>

Leia mais: Aprenda como aproveitar o cache do navegador no WordPress para otimizar o tempo de carregamento da página

Habilitar compactação Gzip

Gzip é um algoritmo de compactação extremamente poderoso que localiza strings semelhantes em um arquivo de texto e os substitui temporariamente para reduzir o tamanho geral do arquivo. Como resultado, o Gzip é frequentemente usado como uma importante ferramenta de otimização da velocidade de carregamento da página de um site.

A compactação Gzip é frequentemente usada no nível do servidor e muitos provedores de hospedagem como Cloudways a habilitam por padrão. No entanto, se por algum motivo o htaccess não estiver funcionando, tente adicionar o seguinte snippet ao arquivo .htaccess do WordPress ou entre em contato com seu provedor de hospedagem na web.

 <IfModule mod_deflate.c>

  # Comprime HTML, CSS, JavaScript, Texto, XML e fontes
  AddOutputFilterByType DEFLATE application / javascript
  AddOutputFilterByType DEFLATE application / rss + xml
  AddOutputFilterByType DEFLATE application / vnd.ms-fontobject
  AddOutputFilterByType DEFLATE application / x-font
  AddOutputFilterByType DEFLATE application / x-font-opentype
  AddOutputFilterByType DEFLATE application / x-font-otf
  AddOutputFilterByType DEFLATE application / x-font-truetype
  AddOutputFilterByType DEFLATE application / x-font-ttf
  AddOutputFilterByType DEFLATE application / x-javascript
  AddOutputFilterByType DEFLATE application / xhtml + xml
  AddOutputFilterByType DEFLATE application / xml
  AddOutputFilterByType DEFLATE fonte / opentype
  AddOutputFilterByType DEFLATE font / otf
  AddOutputFilterByType DEFLATE font / ttf
  AddOutputFilterByType DEFLATE image / svg + xml
  AddOutputFilterByType DEFLATE image / x-icon
  AddOutputFilterByType DEFLATE text / css
  AddOutputFilterByType DEFLATE text / html
  AddOutputFilterByType DEFLATE text / javascript
  AddOutputFilterByType DEFLATE text / plain
  AddOutputFilterByType DEFLATE text / xml

  # Remova bugs do navegador (necessário apenas para navegadores realmente antigos)
  BrowserMatch ^ Mozilla / 4 gzip-only-text / html
  BrowserMatch ^ Mozilla / 4 \ .0 [678] no-gzip
  BrowserMatch \ bMSIE! No-gzip! Gzip-only-text / html
  Cabeçalho anexar Vary User-Agent

</IfModule>

Control / Restrict Image Hotlinking

O hotlinking de imagens pode afetar significativamente o uso da largura de banda, porque toda vez que um recurso externo solicita uma imagem, a largura de banda do servidor é utilizada para entregar a imagem.

Para reduzir o consumo de largura de banda devido ao hotlinking de imagens, você pode adicionar o seguinte snippet de código ao arquivo .htaccess:

 RewriteEngine em
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Seudominio.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

htaccess para WordPress Multisite (WPMU)

O arquivo .htaccess padrão para WordPress Multisite é um pouco diferente do arquivo .htaccess padrão do WordPress.

Htaccess padrão para subpastas WPMU

Se sua rede WordPress Multisite for baseada em subpastas, o arquivo .htaccess padrão deve ser semelhante a:

 RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]

# adicione uma barra final a / wp-admin
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? Wp-admin $ $ 1wp-admin / [R = 301, L]

RewriteCond% {REQUEST_FILENAME} -f [OR]
RewriteCond% {REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? (Wp- (conteúdo | admin | inclui). *) $ 2 [L]
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? (. * \. Php) $ $ 2 [L]
RewriteRule. index.php [L]

Htaccess padrão para subdomínios WPMU

Se sua rede WordPress Multisite for baseada em subdomínios, o arquivo .htaccess padrão deve ser semelhante a:

 RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]

# adicione uma barra final a / wp-admin
RewriteRule ^ wp-admin $ wp-admin / [R = 301, L]

RewriteCond% {REQUEST_FILENAME} -f [OR]
RewriteCond% {REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^ (wp- (conteúdo | admin | inclui). *) $ 1 [L]
RewriteRule ^ (. * \. Php) $ $ 1 [L]
RewriteRule. index.php [L]

Pensamentos finais!

Quando se trata de configuração de servidor, o arquivo .htaccess do WordPress é um dos arquivos mais importantes em seu servidor. Geralmente é usado para configurar seu servidor da web e proteger várias áreas do seu site. Se você acha que esqueci um importante caso de uso .htaccess, deixe um comentário abaixo e atualizarei esta lista.