Cum se folosește fișierul .htaccess pentru a securiza, optimiza și controla redirecționările în WordPress

.Htaccess este un fișier de bază important WordPress care este adesea folosit pentru a adăuga, modifica și suprascrie configurații la nivel de server, parametri de securitate și performanță.

În multe cazuri, puteți rezolva multe probleme și provocări operaționale la nivel de server prin simpla actualizare / modificare a regulilor din fișierul .htaccess WordPress. Cu toate acestea, mulți proprietari de site-uri web nu sunt conștienți de potențialul complet al .htaccess pentru WordPress și, prin urmare, ratează optimizarea serverului (și a site-ului web) la maximum.

Pentru a ajuta toți acești WordPress, voi evidenția câteva lucruri interesante pe care le-ați putea realiza utilizând fișierul .htaccess din WordPress.

Notă: Regulile și configurațiile menționate mai jos funcționează cu Apache 2.4

Ce este un fișier .htaccess?

Un fișier .htaccess este camera de control pentru site-ul dvs. web care conține reguli esențiale care guvernează toate comunicările cu serverul dvs. de găzduire web WordPress. În special, puteți utiliza fișierul .htaccess în WordPress pentru sarcini precum controlul accesului la paginile site-ului web, îmbunătățirea securității și performanței. Poate fi plasat în orice folder al site-ului pentru a schimba comportamentul acelui folder.

Precauție

Un singur punct deplasat greșit (.) Poate duce la deteriorarea site-ului dvs. web. Astfel, înainte de a efectua modificări la fișierul .htaccess, faceți mai întâi copii de siguranță ale fișierului într-o locație offsite. Dacă ceva nu merge bine sau aveți nevoie de ajutor, contactați furnizorul dvs. de găzduire web.

Fișierul implicit WordPress .htaccess

Fișierul .htaccess vine cu fiecare instalare WordPress și se află în general în directorul rădăcină. Având în vedere importanța fișierului, acesta este în general ascuns (nu are nicio extensie de fișier) și nu apare în listele de fișiere și foldere, în principal pentru că managerul de fișiere îl ascunde din motive de securitate.

În cazuri rare, este posibil să nu existe un fișier .htaccess în folderul rădăcină. Dacă acesta este cazul dvs., puteți crea fișierul .htaccess în WordPress folosind Notepad (sau orice editor de text la alegere) și salvați-l cu numele „ .htaccess ”. Setați „ Salvare ca tip ” la Toate fișierele și încărcați-l în directorul rădăcină al instalării dvs. WordPress.

IMPORTANT: Asigurați-vă că numele fișierului NU este „htaccess” - htaccess-ul său cu o punctă (.) La început.

Iată cum arată fișierul .htaccess implicit pentru WordPress:

 # ÎNCEPE WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]
RewriteCond% {REQUEST_FILENAME}! -F
RewriteCond% {REQUEST_FILENAME}! -D
Rescrie Regula. /index.php [L
</IfModule>
# END WordPress

Fișier implicit WordPress .htaccess

Un alt mod de a crea fișierul .htaccess pentru WordPress este să accesați tabloul de bord WordPress -> Setări -> Legături permanente și să faceți clic pe „ Salvați modificările ”.

Aceasta va genera fișierul implicit .htaccess pentru WordPress în directorul rădăcină.

Fișierul implicit WordPress .htaccess gestionează numai legăturile permanente ale site-ului dvs. web. Cu toate acestea, acest lucru poate fi modificat și pot fi adăugate reguli suplimentare pentru a controla modul în care serverul web Apache gestionează solicitările legate de operațiuni.

Cum se editează fișierul .htaccess în WordPress?

Pentru a edita fișierul .htaccess în WordPress, accesați directorul rădăcină. Acest lucru se poate face folosind managerul de fișiere furnizat de furnizorul dvs. de găzduire WordPress sau printr-un client FTP precum FileZilla.

Conectați-vă la contul dvs. de găzduire web, navigați la folderul „ public_html ” și căutați fișierul .htaccess în instalarea WordPress.

Faceți clic dreapta și faceți clic pe opțiunea „ Vizualizare / Editare ” pentru a o deschide în editorul de text preferat.

Efectuați modificările necesare și salvați fișierul.

Un alt mod de editare a fișierului .htaccess WordPress este de a face o copie la sistemul local. După ce ați terminat, înlocuiți versiunea live folosind FTP sau managerul de fișiere.

Redirecționări WordPress htaccess

După cum sa discutat mai sus, fișierul .htaccess din WordPress poate fi utilizat pentru a controla redirecționările site-ului web. Iată câteva reguli frecvent utilizate care vă ajută să configurați și să controlați redirecționările pe site-urile dvs. WordPress.

301 (permanent) Redirecționare

O redirecționare 301 spune motoarelor de căutare că o adresă URL a fost mutată definitiv într-o altă locație. Acest lucru nu se limitează doar la adresele URL și puteți redirecționa un dosar, o pagină sau chiar un site web complet. Următorul fragment va redirecționa vechea pagină.html către noua pagină.html:

 Redirecționează 301 /oldpage.html http://www.yourwebsite.com/newpage.html

302 (temporar) Redirecționare

Spre deosebire de 301, Redirecția 302 spune motoarelor de căutare că această redirecționare este temporară. Acesta este un mod excelent de a încetini (sau chiar de a preveni) amestecurile SERP. Adăugați următoarea linie în fișierul .htaccess:

 Redirecționează 302 /oldpage.html http://www.yourwebsite.com/newpage.html

Forțează adresa URL la www

Următoarea regulă .htaccess din WordPress îi va obliga pe toți vizitatorii de pe example.com să folosească www.example.com

 RewriteEngine on
RewriteCond% {HTTP_HOST} ^ example.com [NC]
RewriteRule ^ (. *) $ Http://www.example.com/$1 [L, R = 301, NC]

Forțează adresa URL să nu fie www

Următoarea regulă WordPress .htaccess va forța toți vizitatorii de pe www.example.com să utilizeze example.com

 RewriteEngine on
RewriteCond% {HTTP_HOST} ^ www.example.com [NC]
RewriteRule ^ (. *) $ Http://example.com/$1 [L, R = 301]

Forțează HTTP-urile

Următoarea regulă din fișierul .htaccess WordPress îi va obliga pe toți vizitatorii dvs. să utilizeze HTTPS în loc de HTTP pentru toate adresele URL.

 RewriteEngine On
RewriteCond% {HTTP: X-Forwarded-Proto}! Https
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

Citiți mai multe: Aflați cum să adăugați un certificat SSL pe un site web WordPress.

Forțează HTTP

Următoarea regulă din fișierul htaccess pentru WordPress vă va forța vizitatorii să utilizeze HTTP în loc de HTTPS pentru toate adresele URL.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond% {HTTP: X-Forwarded-Proto} ^ https $
RewriteRule. * Http: //% {HTTP_HOST}% {REQUEST_URI} </IfModule>

Redirecționați domeniul către subdirector

Următoarea regulă va redirecționa adresa URL rădăcină a domeniului către subdirectorul ales de dvs.

 RewriteCond% {HTTP_HOST} ^ example.com $
RewriteCond% {REQUEST_URI}! ^ / Sub-director-nume /
RewriteRule (. *) / Subdir / $ 1

Redirecționați o adresă URL

Dacă aveți două domenii care deservesc același site web, regula .htaccess menționată mai jos va redirecționa un domeniu către celălalt.

 Redirecționare 301 / http://www.mynewwebsite.com/

Sfaturi de securitate WordPress htaccess

Fișierul htaccess poate fi, de asemenea, utilizat pentru a securiza directoare și fișiere WordPress pe server. Iată câteva reguli foarte importante pe care utilizatorii le pot implementa pentru securizarea site-urilor web WordPress.

Protejați .htaccess

Fișierul .htaccess poate controla întregul site web. Având în vedere acest lucru, este esențial ca .htaccess să fie protejat de utilizatorii neautorizați. Utilizând următorul fragment, puteți restricționa accesul pentru toți utilizatorii neautorizați.

Copiați și lipiți fragmentul în fișierul .htaccess.

 <files ~ "^. * \. ([Hh] [Tt] [Aa])">
comanda permite, nega
nega de la toti
satisface pe toți
</files>

Limitați accesul la panoul de administrare WordPress

Imaginați-vă scenariul (oribil) în care cineva obține acces la panoul dvs. de administrare WordPress? Un astfel de atac vă poate distruge site-ul.

Pentru a preveni acest lucru, ar trebui să restricționați accesul la panoul de administrare WordPress doar la un anumit IP.

Pentru aceasta, creați un alt fișier .htaccess și lipiți următorul fragment în el. Apoi, încărcați-l în folderul „www.yourwebsite.com/wp-admin/”.

 # Limitați datele de conectare și administratorul prin IP
<Limită GET POST PUT>
ordona nega, permite
nega de la toti
permite de la xx.xx.xx.xx
</Limit>

Acum, dacă cineva care nu se află pe lista IP aprobată, nu se va putea conecta la site-ul dvs. În schimb, ar fi afișată următoarea eroare:

Notă: Nu uitați să înlocuiți „xx.xx.xx.xx” cu adresa dvs. IP permisă.

Vă puteți obține cu ușurință adresa IP accesând „Care este ip-ul meu”. Dacă aveți mai mult de un moderator, puteți adăuga mai multe IP-uri folosind următoarea variantă:

 permite de la 12.34.56.78 98.76.54.32 19.82.73.64

Securizați fișierele importante

Puteți utiliza .htaccess în WordPress pentru a proteja fișiere importante, cum ar fi jurnalele de erori, wp-config.php și php.ini. Pentru aceasta, utilizați următorul fragment:

 <FilesMatch "^. * (Error_log | wp-config \ .php | php.ini | \. [HH] [tT] [aApP]. *) $">
Comanda refuza, permite
Negati de la toti
</FilesMatch>

Protejați wp-config.php

În WordPress, wp-config.php este fișierul în care sunt salvate găzduirea, baza de date și alte acreditări importante. Este de la sine înțeles că acest fișier ar trebui protejat de orice acces neautorizat.

Pentru aceasta, pur și simplu copiați și lipiți următoarele rânduri în fișierul .htaccess.

 <files wp-config.php>
comanda permite, nega
nega de la toti
</files>

Protejați / wp-content /

wp-content este folderul care conține toate fișierele importante ale temelor, pluginurilor, fișierelor media și fișierelor cache. De aceea, acest director este principala țintă pentru hackeri și spam. Pentru a proteja acest folder de accesul neautorizat, creați un fișier .htaccess separat în folderul wp-content . Apoi, copiați și lipiți următorul fragment în fișier:

 Comanda refuza, permite
Negati de la toti
<Fișiere ~ ". (Xml | css | jpe? G | png | gif | js) $">
Permiteți tuturor
</Files>

Cu regula de mai sus, utilizatorii ar putea încărca fișiere numai cu extensiile permise (XML, CSS, JPG, JPEG, PNG, GIF și JavaScript). Toate celelalte tipuri de fișiere vor fi refuzate.

Protejați fișierele numai cu includere

Unele zone ale instalării WordPress nu ar trebui să fie niciodată accesibile de către utilizatorii obișnuiți. Este întotdeauna o bună practică să blocați tot accesul la aceste fișiere. Puteți configura restricțiile de acces adăugând fragmentul în fișierul .htaccess.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / include / - [F, L]
RewriteRule! ^ Wp-includes / - [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]
</IfModule>

Dezactivați Execuția PHP

Restricționarea execuției codului PHP pentru toate sau directoarele selectate ale site-ului WordPress este o practică importantă de securitate a site-ului WordPress. Creați un fișier htaccess într-un folder în care nu doriți să rulați scripturi PHP și adăugați fragmentul de mai jos în el.

 <Fișiere * .php>
nega de la toti
</Files>

Anumite foldere WordPress precum / wp-includes / și / wp-content / uploads / se pot scrie în mod implicit. Acest tip de permisiune permite utilizatorilor să încarce fișiere media sau diferite. Este întotdeauna recomandat să dezactivați execuția PHP pe aceste directoare.

Restricție de acces la fișiere

Restricționarea accesului la wp-admin este o cerință importantă, mai ales atunci când mai mulți membri ai echipei sunt implicați în gestionarea și actualizarea site-ului web.

În termeni practici, aceasta înseamnă că utilizatorii nu pot accesa fișiere sensibile, cum ar fi plugin-uri, teme și folderul active.

.htaccess este o modalitate excelentă de a proteja accesul direct la editarea fișierelor PHP de pluginuri și teme, ceea ce face ca hackerii să injecteze mai greu codul rău intenționat. Pentru aceasta, trebuie doar să adăugați următoarele linii în fișier:

 RewriteCond% {REQUEST_URI}! ^ / Wp-content / plugins / file / to / exclude \ .php
RewriteCond% {REQUEST_URI}! ^ / Wp-content / plugins / directory / to / exclude /
RewriteRule wp-content / plugins / (. * \. Php) $ - [R = 404, L]
RewriteCond% {REQUEST_URI}! ^ / Wp-content / themes / file / to / exclude \ .php
RewriteCond% {REQUEST_URI}! ^ / Wp-content / themes / directory / to / exclude /
RewriteRule wp-content / themes / (. * \. Php) $ - [R = 404, L]

Protecție injectare script

Script Injection este o tehnică notorie în care atacatorul „injectează” o bucată de cod rău intenționată în codul site-ului pentru a extrage date sau pentru a prelua site-ul web. Adăugarea următorului fragment în fișierul .htaccess WordPress vă poate proteja site-ul de astfel de atacuri.

 Opțiuni + FollowSymLinks
RewriteEngine On
RewriteCond% {QUERY_STRING} (<|% 3C). * Script. * (> |% 3E) [NC, SAU]
RewriteCond% {QUERY_STRING} GLOBALS (= | [|% [0-9A-Z] {0,2}) [SAU]
RewriteCond% {QUERY_STRING} _REQUEST (= | [|% [0-9A-Z] {0,2})
RewriteRule ^ (. *) $ Index.php [F, L]

Blocați adresa IP

Dacă cineva abuzează de site-ul dvs., spamming continuu sau lansează încercări de hacking, adresa IP este vizibilă în panoul de administrare WordPress. Pentru a bloca adresa IP, pur și simplu utilizați fișierul .htaccess pentru a controla accesul la site-ul dvs. web. Pur și simplu copiați și lipiți următorul fragment în fișierul .htaccess al WordPress-ului dvs. și această problemă specială va dispărea. Nu uitați să înlocuiți exemplul de IP cu cel al spamului.

 <Limită GET POST>
comanda permite, nega
refuza din 123.456.78.9
permite de la toți
</Limit>

Odată ce fragmentul este la locul său, spam-ul va vedea următorul mesaj de eroare pe site-ul dvs.:

Refuzați accesul la anumite fișiere

Uneori, doriți să restricționați accesul la anumite fișiere. Utilizați următoarea regulă .htaccess pentru a bloca accesul la fișiere individuale.

 <înregistrează numele-fișierului-dvs..txt>
comanda permite, nega
nega de la toti
</files>

Dezactivați navigarea prin directoare

Accesul neautorizat la fișiere și foldere ale site-ului web reprezintă un risc major de securitate care poate duce la deteriorarea întregului site.

Prin adăugarea următorului fragment în fișierul dvs. WordPress .htaccess, accesul la directoarele site-ului web poate fi controlat / dezactivat pentru toți utilizatorii.

 # dezactivați navigarea în director
Opțiuni Toate -Indexele

Reguli de htaccess WordPress pentru performanță

Fișierul .htaccess din WordPress poate fi, de asemenea, utilizat pentru a îmbunătăți performanța site-ului web. Copiați și lipiți fragmentele relevante în fișierul .htaccess.

Activați memoria cache a browserului

Cache-ul browserului este stocarea temporară pe sistemul dvs. pentru ca fișierele descărcate de browserul dvs. web să redea corect site-urile web. Aceste fișiere pot include HTML, CSS, JavaScript, precum și imagini și alt conținut multimedia.

În fișierul .htaccess WordPress, puteți seta reguli pentru cât timp ar trebui stocate în cache anumite fișiere. Următoarele limite de expirare sunt stabilite pe baza utilizării populare. Pentru a activa cache-ul browserului, adăugați următorul fragment în fișierul htaccess pentru WordPress.

 <IfModule mod_expires.c>
        Expiră Activ pe
        ExpiresDefault "acces plus 1 lună"

    # CSS
        ExpiresByType text / css "acces plus 1 an"

    # Schimb de date
        Aplicația ExpiresByType / json „acces plus 0 secunde”
        Aplicația ExpiresByType / xml „acces plus 0 secunde”
        ExpiresByType text / xml "acces plus 0 secunde"

    # Favicon (nu poate fi redenumit!)
        ExpiresByType image / x-icon "acces plus 1 săptămână"

    # Componente HTML (HTC)
        ExpiresByType text / x-component „acces plus 1 lună”

    # HTML
        ExpiresByType text / html "acces plus 0 secunde"

    # JavaScript
        Aplicație ExpiresByType / javascript „acces plus 1 an”

    # Fișiere manifest
        ExpiresByType application / x-web-app-manifest + json "acces plus 0 secunde"
        ExpiresByType text / cache-manifest "acces plus 0 secunde"

    # Mass-media
        ExpiresByType audio / ogg "acces plus 1 lună"
        ExpiresByType image / gif "acces plus 1 lună"
        ExpiresByType image / jpeg "acces plus 1 lună"
        ExpiresByType image / png "acces plus 1 lună"
        ExpiresByType video / mp4 "acces plus 1 lună"
        ExpiresByType video / ogg "acces plus 1 lună"
        ExpiresByType video / webm "acces plus 1 lună"

    # Fluxuri web
        Application ExpiresByType / atom + xml "acces plus 1 oră"
        Aplicație ExpiresByType / rss + xml "acces plus 1 oră"

    # Fonturi web
        Application ExpiresByType / font-woff2 "acces plus 1 lună"
        Aplicație ExpiresByType / font-woff "acces plus 1 lună"
        ExpiresByType application / vnd.ms-fontobject "acces plus 1 lună"
        Application ExpiresByType / x-font-ttf "acces plus 1 lună"
        ExpiresByType font / opentype "acces plus 1 lună"
        ExpiresByType image / svg + xml "acces plus 1 lună"

</IfModule>

Citiți mai multe: Aflați cum să utilizați cache-ul browserului în WordPress pentru a optimiza timpul de încărcare a paginii

Activați compresia Gzip

Gzip este un algoritm de compresie extrem de puternic care localizează șiruri similare într-un fișier text și le înlocuiește temporar pentru a reduce dimensiunea totală a fișierului. Drept urmare, Gzip este adesea folosit ca un instrument important de optimizare a vitezei de încărcare a paginii site-ului web.

Compresia Gzip este adesea utilizată la nivel de server și mulți furnizori de găzduire precum Cloudways o permit în mod implicit. Cu toate acestea, dacă din orice motiv htaccess nu funcționează, încercați să adăugați următorul fragment în fișierul .htaccess WordPress sau contactați furnizorul de găzduire web.

 <IfModule mod_deflate.c>

  # Comprimă HTML, CSS, JavaScript, Text, XML și fonturi
  AddOutputFilterByType DEFLATE application / javascript
  AddOutputFilterByType DEFLATE application / rss + xml
  AddOutputFilterByType DEFLATE application / vnd.ms-fontobject
  AddOutputFilterByType DEFLATE application / x-font
  AddOutputFilterByType DEFLATE application / x-font-opentype
  AddOutputFilterByType DEFLATE application / x-font-otf
  AddOutputFilterByType DEFLATE application / x-font-truetype
  AddOutputFilterByType DEFLATE application / x-font-ttf
  AddOutputFilterByType DEFLATE application / x-javascript
  AddOutputFilterByType DEFLATE application / xhtml + xml
  AddOutputFilterByType DEFLATE application / xml
  AddOutputFilterByType DEFLATE font / opentype
  AddOutputFilterByType DEFLATE font / otf
  AddOutputFilterByType DEFLATE font / ttf
  AddOutputFilterByType DEFLATE imagine / svg + xml
  AddOutputFilterByType DEFLATE imagine / pictogramă x
  AddOutputFilterByType DEFLATE text / css
  AddOutputFilterByType DEFLATE text / html
  AddOutputFilterByType DEFLATE text / javascript
  AddOutputFilterByType DEFLATE text / simplu
  AddOutputFilterByType DEFLATE text / xml

  # Eliminați erorile browserului (este necesar doar pentru browserele foarte vechi)
  BrowserMatch ^ Mozilla / 4 gzip-only-text / html
  BrowserMatch ^ Mozilla / 4 \ .0 [678] no-gzip
  BrowserMatch \ bMSIE! No-gzip! Gzip-only-text / html
  Se adaugă antetul Vary User-Agent

</IfModule>

Control / Restricționare Hotlinking imagine

Hotlinkingul imaginilor poate afecta în mod semnificativ utilizarea lățimii de bandă, deoarece de fiecare dată când o resursă externă solicită o imagine, lățimea de bandă a serverului dvs. este utilizată pentru livrarea imaginii.

Pentru a reduce consumul de lățime de bandă din cauza legăturilor rapide la imagine, puteți adăuga următorul fragment de cod în fișierul .htaccess:

 RewriteEngine on
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourdomain.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

htaccess pentru WordPress Multisite (WPMU)

Fișierul implicit .htaccess pentru WordPress Multisite este ușor diferit de fișierul standard .htaccess WordPress.

Htaccess implicit pentru subfoldere WPMU

Dacă rețeaua dvs. WordPress Multisite se bazează pe subfoldere, fișierul implicit .htaccess ar trebui să arate ca:

 RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]

# adăugați o bară finală la / wp-admin
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? Wp-admin $ $ 1wp-admin / [R = 301, L]

RewriteCond% {REQUEST_FILENAME} -f [SAU]
RewriteCond% {REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? (Wp- (conținut | admin | include). *) $ 2 [L]
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? (. * \. Php) $ $ 2 [L]
Rescrie Regula. index.php [L]

Htaccess implicit pentru subdomeniile WPMU

Dacă rețeaua dvs. WordPress multisite se bazează pe subdomeniu, fișierul .htaccess implicit ar trebui să arate ca:

 RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]

# adăugați o bară finală la / wp-admin
RewriteRule ^ wp-admin $ wp-admin / [R = 301, L]

RewriteCond% {REQUEST_FILENAME} -f [SAU]
RewriteCond% {REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^ (wp- (conținut | admin | include). *) $ 1 [L]
RewriteRule ^ (. * \. Php) $ 1 $ [L]
Rescrie Regula. index.php [L]

Gânduri finale!

Când vine vorba de configurarea serverului, fișierul .htaccess WordPress este unul dintre cele mai importante fișiere de pe server. Este adesea folosit pentru configurarea serverului dvs. web și pentru securizarea diverselor zone ale site-ului dvs. web. Dacă credeți că am trecut cu vederea un important caz de utilizare .htaccess, lăsați un comentariu mai jos și voi actualiza această listă.