Как использовать файл .htaccess для защиты, оптимизации и управления перенаправлениями в WordPress

.Htaccess - это важный файл ядра WordPress, который часто используется для добавления, изменения и переопределения конфигураций на уровне сервера, параметров безопасности и производительности.

Во многих случаях вы можете решить многие операционные проблемы и проблемы на уровне сервера, просто обновив / изменив правила в файле WordPress .htaccess. Однако многие владельцы веб-сайтов не осознают весь потенциал .htaccess для WordPress и поэтому упускают возможность оптимизировать свой сервер (и веб-сайт) в полной мере.

Чтобы помочь всем подобным WordPressers, я выделю несколько интересных вещей, которых вы могли бы достичь, используя файл .htaccess в WordPress.

Примечание: правила и конфигурации, упомянутые ниже, работают с Apache 2.4.

Что такое файл .htaccess?

Файл .htaccess - это диспетчерская для вашего веб-сайта, содержащая основные правила, регулирующие всю связь с вашим сервером веб-хостинга WordPress. В частности, вы можете использовать файл .htaccess в WordPress для таких задач, как контроль доступа к страницам веб-сайта, повышение безопасности и производительности. Его можно поместить в любую папку веб-сайта, чтобы изменить поведение этой папки.

Меры предосторожности

Одна неуместная точка (.) Может вывести из строя ваш сайт. Таким образом, прежде чем вносить какие-либо изменения в файл .htaccess, сначала создайте резервную копию файла в удаленном месте. Если что-то пойдет не так или вам понадобится помощь, обратитесь к своему провайдеру веб-хостинга.

Файл .htaccess WordPress по умолчанию

Файл .htaccess поставляется с каждой установкой WordPress и обычно находится в корневом каталоге. Учитывая важность файла, он обычно скрыт (у него нет расширения файла) и не отображается в списках файлов и папок, главным образом потому, что файловый менеджер скрывает его из соображений безопасности.

В редких случаях возможно, что в корневой папке нет файла .htaccess. В этом случае вы можете создать файл .htaccess в WordPress с помощью Блокнота (или любого текстового редактора по вашему выбору) и сохранить его под именем « .htaccess ». Установите для параметра « Тип файла » значение « Все файлы» и загрузите его в корневой каталог установки WordPress.

ВАЖНО: Убедитесь, что имя файла НЕ «htaccess» - это htaccess с точкой (.) В начале.

Вот как выглядит файл .htaccess по умолчанию для WordPress:

 # НАЧАТЬ WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]
RewriteCond% {REQUEST_FILENAME}! -F
RewriteCond% {REQUEST_FILENAME}! -D
RewriteRule. /index.php [L
</IfModule>
# КОНЕЦ WordPress

Файл .htaccess WordPress по умолчанию

Другой способ создания файла .htaccess для WordPress - это посетить панель управления WordPress -> Настройки -> Постоянные ссылки и нажать « Сохранить изменения ».

Это сгенерирует файл .htaccess по умолчанию для WordPress внутри корневого каталога.

Файл .htaccess WordPress по умолчанию обрабатывает только постоянные ссылки вашего веб-сайта. Однако это можно изменить, и можно добавить дополнительные правила для управления тем, как веб-сервер Apache обрабатывает запросы, связанные с операциями.

Как отредактировать файл .htaccess в WordPress?

Чтобы отредактировать файл .htaccess в WordPress, перейдите в корневой каталог. Это можно сделать с помощью файлового менеджера, предоставленного вашим хостинг-провайдером WordPress, или через FTP-клиент, например FileZilla.

Войдите в свою учетную запись веб-хостинга, перейдите в папку public_html и найдите файл .htaccess в установке WordPress.

Щелкните правой кнопкой мыши и выберите параметр « Просмотр / редактирование », чтобы открыть его в предпочитаемом текстовом редакторе.

Внесите необходимые изменения и сохраните файл.

Другой способ редактирования файла .htaccess WordPress - это сделать копию в локальной системе. Как только вы закончите, замените живую версию с помощью FTP или файлового менеджера.

Перенаправления WordPress htaccess

Как обсуждалось выше, файл .htaccess в WordPress можно использовать для управления переадресацией веб-сайтов. Вот несколько часто используемых правил, которые помогут вам настроить перенаправления на ваших сайтах WordPress и управлять ими.

301 (постоянное) перенаправление

301 Redirect сообщает поисковым системам, что URL-адрес был навсегда перемещен в другое место. Это не ограничивается только URL-адресами, и вы можете перенаправить папку, страницу или даже целый веб-сайт. Следующий фрагмент перенаправит oldpage.html на newpage.html:

 Перенаправить 301 /oldpage.html http://www.yourwebsite.com/newpage.html

302 (временное) перенаправление

В отличие от 301, 302 Redirect сообщает поисковым системам, что это перенаправление является временным. Это отличный способ замедлить (или даже предотвратить) перемешивание результатов поисковой выдачи. Добавьте следующую строку в файл .htaccess:

 Перенаправление 302 /oldpage.html http://www.yourwebsite.com/newpage.html

Сделать URL-адрес www

Следующее правило .htaccess в WordPress заставит всех посетителей на example.com использовать www.example.com.

 RewriteEngine на
RewriteCond% {HTTP_HOST} ^ example.com [NC]
RewriteRule ^ (. *) $ Http://www.example.com/$1 [L, R = 301, NC]

Принудительно указывать URL без www

Следующее правило WordPress .htaccess заставит всех посетителей www.example.com использовать example.com

 RewriteEngine на
RewriteCond% {HTTP_HOST} ^ www.example.com [NC]
RewriteRule ^ (. *) $ Http://example.com/$1 [L, R = 301]

Принудительно использовать HTTP

Следующее правило в файле WordPress .htaccess заставит всех ваших посетителей использовать HTTPS вместо HTTP для всех URL-адресов.

 RewriteEngine On
RewriteCond% {HTTP: X-Forwarded-Proto}! Https
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST} / $ 1 [R = 301, L]

Подробнее: Узнайте, как добавить сертификат SSL на сайт WordPress.

Принудительно использовать HTTP

Следующее правило в файле htaccess для WordPress заставит ваших посетителей использовать HTTP вместо HTTPS для всех URL-адресов.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond% {HTTP: X-Forwarded-Proto} ^ https $
RewriteRule. * Http: //% {HTTP_HOST}% {REQUEST_URI} </IfModule>

Перенаправить домен в подкаталог

Следующее правило перенаправит корневой URL-адрес домена в подкаталог по вашему выбору.

 RewriteCond% {HTTP_HOST} ^ example.com $
RewriteCond% {REQUEST_URI}! ^ / Имя-подкаталога /
RewriteRule (. *) / Subdir / $ 1

Перенаправить URL

Если у вас есть два домена, обслуживающих один и тот же веб-сайт, указанное ниже правило .htaccess перенаправит один домен на другой.

 Перенаправление 301 / http://www.mynewwebsite.com/

Советы по безопасности WordPress htaccess

Файл htaccess также можно использовать для защиты каталогов и файлов WordPress на сервере. Вот несколько очень важных правил, которые пользователи могут использовать для защиты веб-сайтов WordPress.

Защитить .htaccess

Файл .htaccess потенциально может контролировать весь веб-сайт. Учитывая это, крайне важно, чтобы .htaccess был защищен от неавторизованных пользователей. Используя следующий фрагмент, вы можете ограничить доступ для всех неавторизованных пользователей.

Просто скопируйте и вставьте фрагмент в файл .htaccess.

 <files ~ "^. * \. ([Hh] [Tt] [Aa])">
заказ разрешить, запретить
отрицаю от всех
удовлетворить все
</files>

Ограничить доступ к панели администратора WordPress

Представьте себе (ужасный) сценарий, когда кто-то получает доступ к вашей панели администратора WordPress? Такая атака может нанести вред вашему сайту.

Чтобы предотвратить это, вы должны ограничить доступ к панели администратора WordPress только определенным IP-адресом.

Для этого создайте еще один файл .htaccess и вставьте в него следующий фрагмент. Затем загрузите его в папку «www.yourwebsite.com/wp-admin/».

 # Ограничить логины и администратора по IP
<Ограничить GET POST PUT>
заказ отклонить, разрешить
отрицаю от всех
разрешить от xx.xx.xx.xx
</Limit>

Теперь, если кто-либо не входит в список одобренных IP-адресов, он не сможет войти на ваш сайт. Вместо этого будет отображаться следующая ошибка:

Примечание. Не забудьте заменить «xx.xx.xx.xx» на свой разрешенный IP-адрес.

Вы можете легко получить свой IP-адрес, посетив «Какой у меня IP-адрес». Если у вас более одного модератора, вы также можете добавить несколько IP-адресов, используя следующий вариант:

 разрешить с 12,34,56,78 98,76,54,32 19,82,73,64

Защитите важные файлы

Вы можете использовать .htaccess в WordPress для защиты важных файлов, таких как журналы ошибок, wp-config.php и php.ini. Для этого используйте следующий фрагмент:

 <FilesMatch "^. * (Error_log | wp-config \ .php | php.ini | \. [HH] [tT] [aApP]. *) $»>
Заказать отказать, разрешить
Запретить всем
</FilesMatch>

Защитить wp-config.php

В WordPress wp-config.php - это файл, в котором хранятся хостинг, база данных и другие важные учетные данные. Само собой разумеется, что этот файл должен быть защищен от любого несанкционированного доступа.

Для этого просто скопируйте и вставьте следующие строки в файл .htaccess.

 <файлы wp-config.php>
заказ разрешить, запретить
отрицаю от всех
</files>

Защитить / wp-content /

wp-content - это папка, содержащая все важные файлы ваших тем, плагинов, мультимедиа и кешированных файлов. Вот почему этот каталог является основной целью хакеров и спамеров. Чтобы защитить эту папку от несанкционированного доступа, создайте отдельный файл .htaccess в папке wp-content . Затем скопируйте и вставьте в файл следующий фрагмент:

 Заказать отказать, разрешить
Запретить всем
<Файлы ~ ". (Xml | css | jpe? G | png | gif | js) $">
Разрешить от всех
</Files>

С помощью приведенного выше правила пользователи смогут загружать файлы только с разрешенными расширениями (XML, CSS, JPG, JPEG, PNG, GIF и JavaScript). Все остальные типы файлов будут отклонены.

Защитить файлы, доступные только для включения

Некоторые области установки WordPress никогда не должны быть доступны для обычных пользователей. Всегда рекомендуется блокировать любой доступ к этим файлам. Вы можете настроить ограничения доступа, добавив фрагмент в файл .htaccess.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / includes / - [F, L]
RewriteRule! ^ Wp-includes / - [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]
</IfModule>

Отключить выполнение PHP

Ограничение выполнения кода PHP для всех или выбранных каталогов веб-сайта WordPress является важной практикой безопасности веб-сайта WordPress. Создайте файл htaccess внутри папки, в которой вы не хотите запускать сценарии PHP, и добавьте в него приведенный ниже фрагмент.

 <Файлы * .php>
отрицаю от всех
</Files>

Некоторые папки WordPress, такие как / wp-includes / и / wp-content / uploads /, по умолчанию доступны для записи. Этот тип разрешения позволяет пользователям загружать мультимедиа или файлы различных типов. Всегда рекомендуется отключать выполнение PHP в этих каталогах.

Ограничение доступа к файлам

Ограничение доступа к wp-admin является важным требованием, особенно когда несколько членов команды участвуют в управлении и обновлениях веб-сайта.

На практике это означает, что пользователи не могут получить доступ к конфиденциальным файлам, таким как плагины, темы и папки с ресурсами.

.htaccess - отличный способ защитить прямой доступ к редактированию PHP-файлов плагинов и тем, что усложняет хакерам внедрение вредоносного кода. Для этого просто добавьте в файл следующие строки:

 RewriteCond% {REQUEST_URI}! ^ / Wp-content / plugins / file / в / exclude \ .php
RewriteCond% {REQUEST_URI}! ^ / Wp-content / plugins / directory / в / exclude /
RewriteRule wp-content / plugins / (. * \. Php) $ - [R = 404, L]
RewriteCond% {REQUEST_URI}! ^ / Wp-content / themes / file / в / exclude \ .php
RewriteCond% {REQUEST_URI}! ^ / Wp-content / themes / directory / в / exclude /
RewriteRule wp-content / themes / (. * \. Php) $ - [R = 404, L]

Защита от внедрения скриптов

Внедрение сценария - это широко известный метод, при котором злоумышленник «внедряет» вредоносный фрагмент кода в код веб-сайта, чтобы извлечь данные или захватить веб-сайт. Добавление следующего фрагмента в файл .htaccess WordPress может защитить ваш сайт от таких атак.

 Параметры + FollowSymLinks
RewriteEngine On
RewriteCond% {QUERY_STRING} (<|% 3C). * Script. * (> |% 3E) [NC, OR]
RewriteCond% {QUERY_STRING} GLOBALS (= | [|% [0-9A-Z] {0,2}) [ИЛИ]
RewriteCond% {QUERY_STRING} _REQUEST (= | [|% [0-9A-Z] {0,2})
RewriteRule ^ (. *) $ Index.php [F, L]

Заблокировать IP-адрес

Если кто-то злоупотребляет вашим сайтом, постоянно рассылает спам или предпринимает попытки взлома, его IP-адрес виден в панели администратора WordPress. Чтобы заблокировать IP, просто используйте файл .htaccess для управления доступом к вашему сайту. Просто скопируйте и вставьте следующий фрагмент в файл .htaccess вашего WordPress, и эта конкретная проблема исчезнет. Не забудьте заменить образец IP на IP спамера.

 <Ограничить GET POST>
заказ разрешить, запретить
отклонить от 123.456.78.9
разрешить от всех
</Limit>

После размещения фрагмента спамер увидит на вашем сайте следующее сообщение об ошибке:

Запретить доступ к определенным файлам

Иногда вы хотите ограничить доступ к определенным файлам. Используйте следующее правило .htaccess, чтобы заблокировать доступ к отдельным файлам.

 <файлы your-file-name.txt>
заказ разрешить, запретить
отрицаю от всех
</files>

Отключить просмотр каталогов

Несанкционированный доступ к файлам и папкам веб-сайта представляет собой серьезную угрозу безопасности, которая потенциально может вывести из строя весь сайт.

Добавив следующий фрагмент в свой файл WordPress .htaccess, можно контролировать / отключать доступ к каталогам веб-сайтов для всех пользователей.

 # отключить просмотр каталогов
Параметры Все -Индексы

Правила WordPress htaccess для повышения производительности

Файл .htaccess в WordPress также можно использовать для повышения производительности вашего сайта. Просто скопируйте и вставьте соответствующие фрагменты в файл .htaccess.

Включить кеш браузера

Кеш браузера - это временное хранилище в вашей системе для файлов, загружаемых вашим веб-браузером для правильного отображения веб-сайтов. Эти файлы могут включать HTML, CSS, JavaScript, а также изображения и другой мультимедийный контент.

В файле WordPress .htaccess вы можете установить правила, определяющие, как долго определенные файлы должны храниться в кеше. Следующие ограничения по сроку действия установлены в зависимости от популярного использования. Чтобы включить кеширование браузера, добавьте следующий фрагмент в файл htaccess для WordPress.

 <IfModule mod_expires.c>
        Срок действия истекает
        ExpiresDefault «доступ плюс 1 месяц»

    # CSS
        ExpiresByType text / css "доступ плюс 1 год"

    # Обмен данными
        ExpiresByType application / json "доступ плюс 0 секунд"
        ExpiresByType application / xml "доступ плюс 0 секунд"
        ExpiresByType text / xml "доступ плюс 0 секунд"

    # Фавикон (переименовать нельзя!)
        ExpiresByType image / x-icon "доступ плюс 1 неделя"

    # HTML-компоненты (HTC)
        ExpiresByType текст / x-компонент "доступ плюс 1 месяц"

    # HTML
        ExpiresByType text / html "доступ плюс 0 секунд"

    # JavaScript
        Приложение ExpiresByType / javascript "доступ плюс 1 год"

    # Файлы манифеста
        ExpiresByType application / x-web-app-manifest + json «доступ плюс 0 секунд»
        ExpiresByType text / cache-manifest "доступ плюс 0 секунд"

    # СМИ
        ExpiresByType audio / ogg "доступ плюс 1 месяц"
        ExpiresByType image / gif "доступ плюс 1 месяц"
        ExpiresByType image / jpeg "доступ плюс 1 месяц"
        ExpiresByType image / png "доступ плюс 1 месяц"
        ExpiresByType video / mp4 "доступ плюс 1 месяц"
        ExpiresByType video / ogg "доступ плюс 1 месяц"
        ExpiresByType video / webm "доступ плюс 1 месяц"

    # Веб-новости
        ExpiresByType application / atom + xml "доступ плюс 1 час"
        ExpiresByType application / rss + xml "доступ плюс 1 час"

    # Веб-шрифты
        Приложение ExpiresByType / font-woff2 "доступ плюс 1 месяц"
        Приложение ExpiresByType / font-woff "доступ плюс 1 месяц"
        Приложение ExpiresByType / vnd.ms-fontobject "доступ плюс 1 месяц"
        Приложение ExpiresByType / x-font-ttf "доступ плюс 1 месяц"
        ExpiresByType font / opentype "доступ плюс 1 месяц"
        ExpiresByType image / svg + xml "доступ плюс 1 месяц"

</IfModule>

Подробнее: Узнайте, как использовать кеширование браузера в WordPress для оптимизации времени загрузки страницы

Включить сжатие Gzip

Gzip - чрезвычайно мощный алгоритм сжатия, который находит похожие строки в текстовом файле и временно заменяет их, чтобы уменьшить общий размер файла. В результате Gzip часто используется в качестве важного инструмента оптимизации скорости загрузки страниц веб-сайта.

Сжатие Gzip часто используется на уровне сервера, и многие хостинг-провайдеры, такие как Cloudways, включают его по умолчанию. Однако, если по какой-либо причине htaccess не работает, попробуйте добавить следующий фрагмент в файл WordPress .htaccess или обратитесь к своему провайдеру веб-хостинга.

 <IfModule mod_deflate.c>

  # Сжатие HTML, CSS, JavaScript, текста, XML и шрифтов
  AddOutputFilterByType DEFLATE application / javascript
  AddOutputFilterByType DEFLATE application / rss + xml
  AddOutputFilterByType DEFLATE application / vnd.ms-fontobject
  AddOutputFilterByType DEFLATE application / x-font
  AddOutputFilterByType DEFLATE application / x-font-opentype
  AddOutputFilterByType DEFLATE application / x-font-otf
  AddOutputFilterByType DEFLATE application / x-font-truetype
  AddOutputFilterByType DEFLATE application / x-font-ttf
  AddOutputFilterByType DEFLATE application / x-javascript
  AddOutputFilterByType DEFLATE application / xhtml + xml
  AddOutputFilterByType DEFLATE application / xml
  AddOutputFilterByType DEFLATE font / opentype
  AddOutputFilterByType DEFLATE font / otf
  AddOutputFilterByType DEFLATE font / ttf
  AddOutputFilterByType DEFLATE image / svg + xml
  AddOutputFilterByType DEFLATE изображение / значок x
  AddOutputFilterByType DEFLATE text / css
  AddOutputFilterByType DEFLATE text / html
  AddOutputFilterByType DEFLATE текст / javascript
  AddOutputFilterByType DEFLATE текст / простой
  AddOutputFilterByType DEFLATE текст / xml

  # Удалите ошибки браузера (требуется только для действительно старых браузеров)
  BrowserMatch ^ Mozilla / 4 gzip-only-text / html
  BrowserMatch ^ Mozilla / 4 \ .0 [678] no-gzip
  BrowserMatch \ bMSIE! No-gzip! Gzip-only-text / html
  Добавление заголовка Варьируется User-Agent

</IfModule>

Контроль / ограничение ссылок на изображения

Горячие ссылки на изображения могут существенно повлиять на использование полосы пропускания, поскольку каждый раз, когда внешний ресурс запрашивает изображение, пропускная способность вашего сервера используется для доставки изображения.

Чтобы снизить потребление полосы пропускания из-за хотлинкинга изображений, вы можете добавить следующий фрагмент кода в файл .htaccess:

 RewriteEngine на
RewriteCond% {HTTP_REFERER}! ^ $
RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Yourdomain.com [NC]
RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

htaccess для WordPress Multisite (WPMU)

Файл .htaccess по умолчанию для WordPress Multisite немного отличается от стандартного файла .htaccess WordPress.

Htaccess по умолчанию для вложенных папок WPMU

Если ваша многосайтовая сеть WordPress основана на подпапках, файл .htaccess по умолчанию должен выглядеть примерно так:

 RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]

# добавить косую черту к / wp-admin
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? Wp-admin $ 1wp-admin / [R = 301, L]

RewriteCond% {REQUEST_FILENAME} -f [ИЛИ]
RewriteCond% {REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? (Wp- (content | admin | includes). *) $ 2 [L]
RewriteRule ^ ([_ 0-9a-zA-Z -] + /)? (. * \. Php) $ 2 [L]
RewriteRule. index.php [L]

Htaccess по умолчанию для поддоменов WPMU

Если ваша многосайтовая сеть WordPress основана на субдомене, файл .htaccess по умолчанию должен выглядеть примерно так:

 RewriteEngine On
RewriteBase /
RewriteRule ^ index \ .php $ - [L]

# добавить косую черту к / wp-admin
RewriteRule ^ wp-admin $ wp-admin / [R = 301, L]

RewriteCond% {REQUEST_FILENAME} -f [ИЛИ]
RewriteCond% {REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^ (wp- (content | admin | includes). *) $ 1 [L]
RewriteRule ^ (. * \. Php) $ 1 [L]
RewriteRule. index.php [L]

Последние мысли!

Когда дело доходит до конфигурации сервера, файл WordPress .htaccess является одним из самых важных файлов на вашем сервере. Он часто используется для настройки вашего веб-сервера и защиты различных областей вашего веб-сайта. Если вы думаете, что я упустил из виду важный вариант использования .htaccess, оставьте комментарий ниже, и я обновлю этот список.