htaccess для wordpress — пример правильного файла
Файл .htaccess – это конфигурационный файл, который позволяет выполнить много различных действий на вашем сайте. Рассмотрим некоторые полезные способы настройки .htaccess для сайта WordPress, чтобы эффективно использовать ресурсы сервера и улучшить безопасность.
Что такое .htaccess файл, зачем нужен?
Файл .htaccess является файлом конфигурации сервера. Он позволяет определять правила, которые применяет хостинг-сервер Apache для обслуживания вашего интернет-ресурса. В частности, WordPress изменяет .htaccess, чтобы иметь возможность обрабатывать постоянные ссылки. В этом файле можно переопределить настройки веб-сервера, чтобы повысить безопасность и производительность вашего сайта.
Имя файла .htaccess является сокращением от «Hypertext Access», а точка перед именем означает, что это скрытый файл. Вы не сможете увидеть его при просмотре файлов, если файловый менеджер не отображает скрытые файлы на вашем компьютере.
Редактируя файл с помощью правильных команд, вы можете добавлять или отключать дополнительные функции для защиты вашего сайта от спамеров, хакеров и других угроз. Некоторые из полезных команд включают:
- переадресацию на другие страницы;
- блокировку внешнего доступа к отдельным файлам и папкам;
- закрытие доступа к сайту по IP-адресу;
- предотвращение использования изображений на других ресурсах.
Файл .htaccess находится в корневом каталоге сайта WordPress. Чтобы его отредактировать необходимо подключиться к серверу при помощи FTP-клиента, например, FileZilla. Перед редактированием файла .htaccess рекомендуется скопировать его на локальный компьютер в качестве бекапа. Вы сможете использовать эту резервную копию для восстановления системы при необходимости.
Код стандартного .htaccess файла вордпресс
В зависимости от процедуры установки WordPress, у вас может не быть файла . index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
При создании нового файла .htaccess разумно установить на него права доступа со значением 644 для защиты от возможных атак. Строки кода, начинающиеся с хэштега, являются комментариями и исключаются из обработки сервером. Поэтому при редактировании этого файла вы можете добавлять в него поясняющие комментарии.
Не рекомендуется добавлять или редактировать что-либо между строками # BEGIN WordPress и # END WordPress. Когда вы добавляете новые правила, включайте их выше или ниже приведенного кода.
Имейте в виду, что всего одна синтаксическая ошибка в коде .htaccess может сделать сайт неработоспособным. Если это произошло, загрузите на сервер резервную копию рабочего файла, предварительно сохраненную локально.
Как закрыть доступ по IP в .htaccess
Файл .htaccess можно использовать для защиты области администрирования WordPress, ограничивая доступ только выбранным IP-адресам. Добавьте следующий код:
ErrorDocument 401 default
ErrorDocument 403 default
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from ххх.ххх.ххх.хх localhost
</Files>
Замените значения ххх собственным IP-адресом, для выполнения этого правила IP должен быть постоянным. Если для доступа используется более одного IP, также пропишите их, аналогичным образом добавляя предпоследнюю строку. Первые две строки кода перенаправляют несанкционированные IP-адреса на страницу с ошибкой 404.
Если вы обнаружили слишком частые запросы на сайт с одного IP-адреса, возможно, это проявление действий злоумышленника. Вы можете предотвратить эти запросы, применяя блокировку по IP. Вставьте такой код в файл .htaccess:
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
Вместо ххх укажите IP-адрес, который требуется заблокировать.
Как защитить изображения от вставки на других ресурсах
Посторонние сайты, которые непосредственно ссылаются на ваш сайт, могут сделать его медленным и превысить ограничение вашего хостера по пропускной способности. http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Такой код позволяет отображать изображения только в том случае, если запрос отправляется с сайта site.ru или Google.com. Замените site.ru на доменное имя вашего сайта.
Настройка 301 редиректа wordpress
Применение переадресации с кодом 301 – это самый удобный для SEO способ информировать посетителей о том, что контент переместился в новое место. Чтобы правильно управлять 301 редиректом, допишите в файл .htaccess код для перенаправления пользователя на другую страницу:
Redirect 301/ http://www.site.ru/new-url
При переименовании категорий на сайте можно сначала указать старый URL и сделать с него редирект на новый URL:
Redirect 301/category/television/ http://www.site.ru/category/tv/
Переадресация также необходима между адресами вашего сайта с www и без него, поскольку поисковые системы считают эти URL разными. За основной адрес сайта может быть выбран только один из них, со второго необходимо сделать редирект на главный адрес. (.*)$ http://www.sait.ru/$1 [R=301,L]
Чтобы задать 301 редирект в обратном направлении, поменяйте местами URL-адреса в двух последних строках.
Как включить кеширование браузера правильно
С помощью кеширования вы можете указать браузеру, когда файлы сайта обычно изменяются, например, раз в месяц или каждую неделю. Это ускорит работу вашего сайта на стороне пользователя, поскольку браузер будет отправлять запросы на ваш сервер только после объявленного времени.
Когда файл понадобится снова, браузер извлечет его из своего локального кеша, а не будет запрашивать повторную загрузку с сервера. Это экономит трафик с вашего сайта и позволяет избежать ненужных HTTP-запросов при последующем просмотре страниц.
Установите дату истечения срока действия или максимальный период для статических ресурсов, таких как изображения, css-стили, js-скрипты, pdf, swf-файлы. После настройки кеширования сайт будет загружаться намного быстрее.
Включить кеширование браузера можно, если прописать в .
Header append Cache-Control "public"
FileETag MTime Size
ExpiresActive On
ExpiresDefault "access plus 0 minutes"
ExpiresByType image/ico "access plus 1 years"
ExpiresByType text/css "access plus 1 years"
ExpiresByType text/javascript "access plus 1 years"
ExpiresByType image/gif "access plus 1 years"
ExpiresByType image/jpg "access plus 1 years"
ExpiresByType image/jpeg "access plus 1 years"
ExpiresByType image/bmp "access plus 1 years"
ExpiresByType image/png "access plus 1 years"
iPipe – надёжный хостинг-провайдер с опытом работы более 15 лет.
Мы предлагаем:
- Виртуальные серверы с NVMe SSD дисками от 299 руб/мес
- Безлимитный хостинг на SSD дисках от 142 руб/мес
- Выделенные серверы в наличии и под заказ
- Регистрацию доменов в более 350 зонах
Htaccess WordPress: правильная настройка файла
Лайфхаки на WP
56.3k.
При первичной настройке блога важно разумно сделать все технические составляющие. В первую очередь исправить файл htaccess под WordPress, потому что он регулирует серверные настройки Apache. Статья написана как не нужно делать, а рекомендаций по внедрению кода минимум. Прочитайте внимательно и не делайте грубых ошибок.
Содержание
- Где лежит htaccess
- Как создать чистый htaccess
- Что нужно добавить в htaccess обязательно
- Стандартный htaccess
- 301 редирект на https
- Как должен выглядеть правильный htaccess
- Что еще можно подключить в htaccess
- Кэш браузера
- Gzip сжатие
- Для безопасности и защиты wp-config
- Вывод настройки
Где лежит htaccess
Htaccess обязательно должен находится в корневой папке сайта, вместе с каталогами типа wp-admin. У меня лежит как показано на снимке, иначе работать не будет, сервер его не найдет.
Где располагается объектКак создать чистый htaccess
По умолчанию WordPress 5 должен создать htaccess, либо хостер добавляет его в каталог ресурса. index\.php$ — [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress
Он проверен на множестве сайтов и работает безотказно. Никаких дублей, дыр в безопасности и остальных ошибок не наблюдали.
Этого достаточно для работы веб ресурса на вордпресс, единственный правильный htaccess. В других статьях интернета прописаны множество бесполезных директив, например для безопасности, кеширования и закрытия индексации. Они были написаны давно, и устарели не пользуйтесь их советами.
Разработчики WP сделали необходимые настройки в ядре и теперь не нужно вписывать в серверный документ непонятные строчки. В большинстве случаев блог перестанет отвечать, потому что в htaccess занесено много правил и они могут конфликтовать.
Что еще можно подключить в htaccess
Хостинги разные, поэтому не все предоставляют услуги внутренней оптимизации сервера, тогда приходится вручную прописывать правила в htaccess. Спросите заранее в поддержке хостера, включены ли такие услуги как:
- Кэш браузера
- Gzip сжатие
- Защита wp-config, нет ли доступа его просмотреть
Кэш браузера
Для начала проверим активен ли кэш браузера на сайте, переходим на сервис webpagetest, вводим в поле url главной страницы и находим start scan.
Ждем процесса проверки и смотрим на результаты. Ищем строчку Leverage browser caching и определяем кэшируются ли документы. В моем случае да, исключение – метрика, аналитика и vk, на них повлиять нельзя.
Есть ли кеш браузераПри условии если цифра равна нулю или маленькая, то напишите в поддержку хостинга с просьбой включить кэш браузера. При отказе вставляем такую запись в htaccess и проверяем заново.
<ifModule mod_headers.c> <FilesMatch "\.(html|htm)$">Header set Cache-Control "max-age=43100</FilesMatch> <FilesMatch "\.(js|css|txt)$">Header set Cache-Control "max-age=604700</FilesMatch> <FilesMatch "\.cgi-script$ </ifModule>
Такими встроенными возможностями обладают большинство провайдеров, например:
- Beget
- Timeweb
- Masterhost
Для безопасности и защиты wp-config
В 99,9% проблемы нет, но перестраховаться стоит. Заходим на сайт и приписываем к адресу /wp-admin.php
, смотрим что выдает браузер.
Должна открыться пустая страница или произойти 301 переадресация на главную. Если покажется код документа, то нужно срочно его закрывать, просим помощи в поддержке, или прописываем вот такой текст.
<Files wp-config.php> order allow,deny deny from all </Files>
youtube.com/embed/cJlxY_GFM2w?feature=oembed» frameborder=»0″ allow=»accelerometer; autoplay; encrypted-media; gyroscope; picture-in-picture» allowfullscreen=»»>Посетители спрашивают, а нужно ли добавлять правила для плагинов WooCommerce, BBPress, Elementor и им подобным. Отвечу – нет, все встроено в сами плагинах. Будет полезно прочитать как создавать robots txt. В заключении дам видео инструкцию, чтобы сделать процесс более понятным.
Вывод настройки
Настройка htaccess в WordPress не сложная, потому что разработчики и хостер сделали все условия, чтобы снизить количество ошибок. В статье показал правильный вариант, в котором только стандартные директивы и перенаправление на https, остальные функции должны быть встроены и работать изначально. В любом случае сначала пишем в поддержку, и только потом делаем сами.
Пожалуйста, оцените материал:
Валентин
Давно занимаюсь и разрабатываю сайты на WordPress. Считаю что лучшего решения для ведения бизнеса не найти, поэтому считаю долгом делиться информацией с остальными.
htaccess — Документация WordPress.org
.htaccess — это распределенный файл конфигурации, с помощью которого Apache обрабатывает изменения конфигурации для каждого каталога.
Опции
Любые опции, которым предшествуют + , добавляются к действующим в данный момент опциям, а любые опции, которым предшествуют – , удаляются из действующих опций.
Возможные значения директивы Options — любая комбинация:
Нет
Все параметры отключены.
Все
Все опции, кроме MultiViews. Это значение по умолчанию.
ExecCGI
Выполнение сценариев CGI с использованием mod_cgi разрешено.
FollowSymLinks
Сервер будет переходить по символическим ссылкам в этом каталоге.
Включения
Серверные включения, предоставляемые mod_include, разрешены.
Включает NOEXEC
Включения на стороне сервера разрешены, но команды #exec cmd и #exec cgi отключены.
Индексы
URL-адрес сопоставляется с каталогом, а не DirectoryIndex, форматированным списком каталога.
Контент, согласованный «MultiViews» разрешены с помощью mod_negotiation.
SymLinksIfOwnerMatch
Переходите по символическим ссылкам только в том случае, если цель принадлежит тому же идентификатору пользователя, что и ссылка.
Это отключит все опции, а затем включит только FollowSymLinks, что необходимо для mod_rewrite.
Опции Нет Параметры
DirectoryIndex
DirectoryIndex устанавливает файл, который Apache будет обслуживать, если будет запрошен каталог.
Можно указать несколько URL-адресов, и в этом случае сервер вернет первый найденный.
DirectoryIndex index.php index.html /index.php
DefaultLanguage
DefaultLanguage приведет к тому, что все файлы, с которыми еще не связан определенный языковой тег, будут использовать это.
Язык по умолчанию en
Кодировка по умолчанию
Установите кодировку символов по умолчанию, отправляемую в заголовке HTTP. См.: Настройка информации о кодировке в .htaccess
AddDefaultCharset UTF-8
Установить кодировку для определенных файлов
AddType 'text/html; кодировка=UTF-8' .html
Набор для определенных файлов
AddCharset UTF-8 .html
ServerSignature
Директива ServerSignature позволяет настроить завершающую строку нижнего колонтитула для документов, созданных сервером. При необходимости добавьте строку, содержащую версию сервера и имя виртуального хоста, на страницы, созданные сервером (внутренние документы об ошибках, списки каталогов FTP, вывод mod_status и mod_info и т. д., но не документы, сгенерированные CGI, или пользовательские документы об ошибках).
On
добавляет строку с номером версии сервера и ServerName обслуживающего виртуального хоста
Off
подавляет строку нижнего колонтитула
ссылочного документа
SetEnv SERVER_ADMIN admin@site. com Электронная почта для подписи сервера
Принудительная загрузка файлов
Нижеследующее приведет к тому, что любые запросы на файлы, оканчивающиеся на указанные расширения, не будут отображаться в браузере, а вместо этого вызовут диалоговое окно «Сохранить как», чтобы клиент мог загрузить.
Приложение AddType/октет-поток .avi .mpg .mov .pdf .xls .mp4
Сжатие HTTP
Директива AddOutputFilter сопоставляет расширение имени файла с фильтрами, которые будут обрабатывать ответы от сервера перед их отправкой клиенту. Это дополнение к любым фильтрам, определенным в других местах, включая SetOutputFilter и AddOutputFilterByType. Это сопоставление объединяется с уже действующими, переопределяя любые сопоставления, которые уже существуют для того же расширения. 9Mozilla/4\.0[678] без gzip BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
Принудительное сжатие для определенных файлов
SetOutputFilter DEFLATE
Директива Header позволяет отправлять заголовки HTTP для каждого запроса или только для определенных файлов. Вы можете просматривать HTTP-заголовки сайтов с помощью Firebug, Chrome Dev Tools, Wireshark или онлайн-инструмента.
Набор заголовков X-Pingback "http://www.askapache.com/xmlrpc.php" Заголовок устанавливает Content-Language "en-US"
Это удалит заголовки HTTP, используя всегда будет очень стараться их удалить.
Заголовок не установлен Pragma Заголовок всегда отключен WP-Super-Cache Заголовок всегда отключается
Защита паролем при входе в систему
Это очень полезно для защиты файла wp-login.php . Вы можете использовать этот генератор htpasswd.
Базовая аутентификация
AuthType Базовая AuthName "Защищено паролем" AuthUserFile /полный/путь/к/.htpasswd Требовать действительного пользователя Удовлетворить все
Дайджест-аутентификация
AuthType Дайджест AuthName "Защищено паролем" AuthDigestDomain /wp-login.php https://www. askapache.com/wp-login.php AuthUserFile /полный/путь/к/.htpasswd Требовать действительного пользователя Удовлетворить все
Требовать определенный IP-адрес
Это способ разрешить доступ только к определенным IP-адресам.
ErrorDocument 401 по умолчанию ErrorDocument 403 по умолчанию Отклонить заказ, разрешить Запретить от всех Разрешить с локального хоста 198.101.159.98
Защита конфиденциальных файлов
Это запрещает любой веб-доступ к вашему файлу wp-config, error_logs, php.ini и htaccess/htpasswds.
Запретить заказ, разрешить Запретить от всех
Требовать SSL
Это заставит использовать SSL и потребует точное имя хоста, иначе будет перенаправлено на версию SSL. Полезно в файле /wp-admin/.htaccess
.
SSLOptions +StrictRequire SSLRequireSSL SSLRequire %{HTTP_HOST} eq "www.wordpress.com" Документ об ошибке 403 https://www.wordpress.com
- Official Apache HTTP Server Tutorial: . htaccess files
- Official Htaccess Directive Quick Reference
- Htaccess Tutorial
- Google PageSpeed for Developers
- Stupid Htaccess Tricks
- Advanced Mod_Rewrite
- htaccess for subdirectories
- Using Permalinks
- Changing Права доступа к файлам
- Навыки оболочки UNIX
- API перезаписи
Как создать и использовать файл .htaccess в WordPress
Follow @Cloudways
.htaccess — это важный основной файл WordPress, который часто используется для добавления, изменения и переопределения конфигураций на уровне сервера, параметров безопасности и производительности.
В большинстве случаев вы можете решить операционные проблемы и проблемы на уровне сервера, просто обновив/изменив правила в файле .htaccess. Однако многие владельцы веб-сайтов не знают о реальном потенциале этого файла и упускают возможность максимально оптимизировать свои серверы (и веб-сайты).
Чтобы помочь всем WordPressers, я выделю несколько интересных вещей, которые вы можете сделать, используя файл .htaccess в WordPress.
Примечание. Приведенные ниже правила и конфигурации работают с Apache 2.4
Содержание
- Что такое файл .htaccess?
- Как найти .htaccess в WordPress?
- Файл WordPress .htaccess по умолчанию
- Как редактировать файл .htaccess в WordPress?
- WordPress .htaccess перенаправляет
- Советы по безопасности WordPress .htaccess
- Правила WordPress .htaccess для производительности
- .htaccess для мультисайта WordPress (WPMU)
Что такое файл .htaccess?
Файл .htaccess — это комната управления вашим веб-сайтом, содержащая основные правила, регулирующие всю связь с вашим сервером веб-хостинга WordPress.
В частности, вы можете использовать файл .htaccess в WordPress для таких задач, как контроль доступа к страницам веб-сайта и повышение безопасности и производительности. Вы можете поместить .htaccess в папку любого веб-сайта, чтобы изменить поведение этой папки.
Управляемый хостинг WordPress от 10 долларов в месяц
Платите только за ресурсы, которые вы используете в рамках тарифных планов с оплатой по мере использования, и получайте превосходные услуги облачного хостинга с дополнительными преимуществами. Никаких скрытых платежей.
Попробуйте бесплатно
Меры предосторожности
Одна неуместная точка (.) потенциально может вывести ваш веб-сайт из строя. Таким образом, прежде чем вносить какие-либо изменения в файл .htaccess, создайте его резервную копию в удаленном месте. Свяжитесь с вашим хостинг-провайдером, если что-то пойдет не так или вам понадобится помощь.
Как найти .htaccess в WordPress?
WordPress официально рекомендует NGINX и Apache для работы ваших сайтов. Если ваш сайт WordPress работает на NGINX, вы не увидите файл .htaccess, так как он не использует этот файл. Но если ваш сайт WordPress размещен на веб-сервере Apache, вы найдете файл . htaccess в корневом каталоге (public_html или www).
Чтобы получить доступ к файлу .htaccess, подключитесь к серверу через FTP-клиент, например FileZilla, и перейдите в корневую папку приложения.
В моем случае корневой путь — «/applications/sqzucfcyqb/public_html».
Кроме того, если вы не видите файл .htaccess, он может быть скрыт (у него нет расширения), главным образом потому, что файловый менеджер скрывает его из соображений безопасности.
Чтобы получить доступ к скрытому файлу .htaccess, перейдите к опции сервера (в FileZilla) и установите флажок Принудительно отображать скрытые файлы .
Файл WordPress по умолчанию .htaccess
Файл .htaccess по умолчанию находится в корневом каталоге приложения и в большинстве случаев скрыт, но к нему можно получить доступ через FTP-клиент, например FileZilla.
Если вы по-прежнему не можете найти файл .htaccess в корневой папке, вы можете создать пустой файл . htaccess с помощью Блокнота (или любого текстового редактора по вашему выбору) и сохранить его с именем «.htaccess» на рабочем столе. .
Установите « Сохранить как тип » для всех файлов и загрузите файл в корневой каталог вашей установки WordPress через FTP-клиент. 9индекс\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d Правило перезаписи. /index.php[L ЕслиМодуль> # END WordPress
Файл .htaccess для WordPress по умолчанию
Вы также можете создать файл .htaccess для WordPress, выполнив следующие действия:
- Посетите панель инструментов WordPress.
- Щелкните Настройки > Постоянные ссылки .
- Нажмите кнопку Сохранить изменения 9кнопка 0016.
Выполнение вышеуказанных шагов приведет к созданию файла .htaccess по умолчанию в корневом каталоге.
Файл WordPress по умолчанию . htaccess обрабатывает только постоянные ссылки вашего сайта. Однако вы можете изменить это и добавить дополнительные правила для управления тем, как веб-сервер Apache обрабатывает запросы, связанные с операциями.
Как редактировать файл .htaccess в WordPress?
Чтобы отредактировать файл .htaccess в WordPress, перейдите в корневой каталог с помощью файлового менеджера, предоставленного вашим хостинг-провайдером WordPress. Вы также можете использовать FTP-клиент, например FileZilla.
- Войдите в свой FTP-клиент.
- Перейдите в папку «public_html» и найдите файл .htaccess.
- Щелкните правой кнопкой мыши и выберите параметр «Просмотр/редактирование», чтобы открыть его в предпочитаемом вами текстовом редакторе.
- Внесите необходимые изменения и сохраните файл.
Другой способ редактирования файла WordPress .htaccess — создать его копию в локальной системе. Когда вы закончите, замените живую версию с помощью FTP или файлового менеджера.
WordPress .htaccess Redirects
Вы можете использовать файл .htaccess в WordPress для управления перенаправлениями веб-сайтов. Ниже приведены некоторые часто используемые правила, которые помогут вам настроить и контролировать перенаправления на ваших веб-сайтах WordPress.
301 (постоянное) перенаправление
Перенаправление 301 сообщает поисковым системам, что URL-адрес был окончательно перемещен в другое место. Это не ограничивается только URL-адресами; вы также можете перенаправить папку, страницу или даже весь веб-сайт. Следующий фрагмент перенаправит oldpage.html на newpage.html:
Перенаправление 301 /oldpage.html https://www.yourwebsite.com/newpage.html
302 (Временное) Перенаправление
В отличие от 301, перенаправление 302 сообщает поисковым системам, что перенаправление является временным. Использование перенаправления 302 помогает замедлить (или даже предотвратить) перетасовку поисковой выдачи.
Добавьте следующую строку в файл .htaccess:
Перенаправление 302 /oldpage.html http://www.yourwebsite.com/newpage.html
Принудительный URL к www
Следующее правило .htaccess в WordPress принудительно все посетители 9/имя-подкаталога/ RewriteRule (.*) /subdir/$1
Перенаправление URL-адреса
Если два домена обслуживают один и тот же веб-сайт, указанное ниже правило .htaccess перенаправит один домен на другой.
Перенаправление 301 / http://www.mynewwebsite.com/
Думаете, вы платите дополнительные расходы на хостинг?
Держитесь подальше от того, сколько вы платите за хостинг. Калькулятор экономии на веб-хостинге поможет вам мгновенно подобрать подходящее решение для облачного хостинга в соответствии с вашими требованиями.
Рассчитать сейчас
Советы по безопасности WordPress .htaccess
Поскольку WordPress является платформой с открытым исходным кодом, его сайты остаются уязвимыми для нарушений безопасности. Поэтому пользователи должны предпринимать упреждающие действия, например выбирать надежный веб-хостинг, такой как Cloudways, который уделяет первостепенное внимание безопасности своего веб-сайта и остается защищенным от вредоносного трафика и DDoS-атак.
Вы также можете защитить свои каталоги и файлы WordPress с помощью файла .htaccess. Следуйте следующим правилам, чтобы защитить свои веб-сайты WordPress. 9.*\.([Чч][Тт][Аа])"> порядок разрешить, запретить отрицать от всех удовлетворить всех
Ограничение доступа к панели администратора WordPress
Если кто-то получит доступ к вашей панели администратора WordPress, он сможет делать все, что захочет, и даже закрыть весь ваш сайт.
Чтобы предотвратить это, вы должны ограничить доступ к панели администратора WordPress только для определенных IP-адресов.
- Создайте еще один файл .htaccess и вставьте в него следующий фрагмент.
# Ограничение логинов и админов по IP <Ограничение ПОЛУЧИТЬ ПОСЛЕ ПОЛОЖЕНИЯ> запретить заказ, разрешить отрицать от всех разрешить от xx. xx.xx.xx #whitelist IP-адрес Фархана
- Загрузите его в папку «www.yourwebsite.com/wp-admin/».
Теперь, если пользователь попытается войти на ваш сайт с неутвержденного IP-адреса, он увидит следующую ошибку:
Примечание: Не забудьте заменить «xx.xx.xx.xx ” с вашим разрешенным IP-адрес .
Вы можете легко узнать свой IP-адрес, посетив раздел «Что такое мой IP-адрес». Если у вас более одного модератора, вы также можете добавить несколько IP-адресов, используя следующий вариант:
разрешить от 34.56.78 98.76.54.32 19.82.73.64
Защитить важные файлы
Вы можете использовать .htaccess в WordPress для защитить важные файлы, такие как functions.php, wp-config.php и php.ini, с помощью следующего кода:
Отклонить заказ, разрешить Запретить от всех
Защита файла wp-config.
phpВ WordPress файл wp-config.php — это файл, в котором сохраняются хостинг, база данных и другие важные учетные данные. Таким образом, вы должны защитить файл от любого несанкционированного доступа.
Скопируйте и вставьте следующие строки в файл .htaccess:
порядок разрешить, запретить отрицать от всех
Защитите папку wp-content
Папка wp-content содержит все важные темы, плагины, мультимедиа и кэшированные файлы, что делает ее главной целью хакеров и спамеров.
Чтобы защитить эту папку от несанкционированного доступа, создайте отдельный файл .htaccess в папке wp-content. Затем скопируйте и вставьте в файл следующий фрагмент:
Отказать в заказе, разрешить Запретить от всех <Файлы ~ ".(xml|css|jpe?g|png|gif|js)$"> Разрешить от всех
Согласно приведенному выше правилу, пользователи смогут загружать файлы только с разрешенными расширениями (XML, CSS, JPG, JPEG, PNG, GIF и JavaScript), запрещая все другие типы файлов. 9wp-includes/theme-compat/ - [F,L]
Отключить выполнение PHP
Ограничение выполнения кода PHP для всех или выбранных каталогов вашего сайта является важным методом обеспечения безопасности веб-сайта WordPress. Создайте файл .htaccess в папке, где вы не хотите запускать PHP-скрипты, и добавьте приведенный ниже фрагмент.
<Файлы *.php> отрицать от всех
Некоторые папки WordPress, такие как wp-includes и /wp-content/uploads/, по умолчанию доступны для записи. Этот тип разрешения позволяет пользователям загружать мультимедиа или файлы разных типов. Всегда рекомендуется отключать выполнение PHP в этих каталогах.
Ограничение доступа к файлам
Ограничение доступа к wp-admin является важным требованием, особенно когда несколько членов команды участвуют в управлении веб-сайтом и его обновлениях.
На практике это означает, что пользователи не могут получить доступ к конфиденциальным файлам, таким как плагины, темы и папки ресурсов.
.htaccess — отличный способ защитить прямой доступ к редактированию PHP-файлов плагинов и тем WordPress, что затрудняет внедрение вредоносного кода хакерами. Для этого достаточно добавить в файл следующие строки: 9/wp-content/themes/directory/to/exclude/ RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]
Защита от внедрения скриптов
Внедрение скриптов — печально известный метод, при котором злоумышленник «внедряет» вредоносный фрагмент кода в код веб-сайта для извлечения данных или захвата веб-сайта.
Добавление следующего фрагмента в файл WordPress .htaccess может защитить ваш сайт от таких атак.
Опции +FollowSymLinks RewriteEngine включен RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9(.*)$ index.php [F,L]
Блокировка IP-адреса
Если кто-то злоупотребляет вашим сайтом, постоянно рассылает спам или предпринимает попытки взлома, его IP-адрес виден в панели администратора WordPress. Вы можете заблокировать IP с помощью файла .htaccess и ограничить их доступ к вашему сайту.
Просто скопируйте и вставьте следующий фрагмент в файл .htaccess вашего сайта, чтобы заблокировать IP-адреса. Не забудьте заменить образец IP-адреса на IP-адрес спамера.
<Ограничение ПОЛУЧИТЬ ОТПРАВКУ> порядок разрешить, запретить отклонить от 456.78.9разрешить от всех
Как только фрагмент будет размещен, спамер увидит на вашем сайте следующее сообщение об ошибке:
Запретить доступ к определенным файлам
Иногда вам нужно ограничить доступ к определенным файлам. И вы можете сделать это, используя следующее правило .htaccess.
<файлы ваше-имя-файла.txt> порядок разрешить, запретить отрицать от всех
Отключить просмотр каталогов
Несанкционированный доступ к файлам и папкам веб-сайта представляет собой серьезную угрозу безопасности, которая потенциально может вывести из строя весь сайт.
Вы можете контролировать доступ к каталогам веб-сайтов, добавив следующий фрагмент в файл WordPress .htaccess:
# отключить просмотр каталогов Options -Indexes
Правила WordPress .htaccess для производительности
Вы можете использовать файл .htaccess в WordPress для повышения производительности вашего сайта. Просто скопируйте и вставьте соответствующие фрагменты в файл .htaccess.
Включить кэш браузера
Кэш браузера — это временное хранилище в вашей системе для файлов, загруженных вашим веб-браузером, для правильного отображения веб-сайтов. Эти файлы могут включать HTML, CSS, JavaScript, изображения и другой мультимедийный контент.
Вы можете установить правила продолжительности кэширования определенных файлов, и эти ограничения устанавливаются на основе популярного использования. Добавьте следующий фрагмент в файл .htaccess для WordPress, чтобы включить кэширование браузера.
c> ExpiresActive on ExpiresDefault "Доступ плюс 1 месяц" # CSS ExpiresByType text/css "Доступ плюс 1 год" # Обмен данными ExpiresByType application/json "доступ плюс 0 секунд" Приложение ExpiresByType/xml "доступ плюс 0 секунд" ExpiresByType text/xml "доступ плюс 0 секунд" # Фавикон (нельзя переименовать!) ExpiresByType image/x-icon "Доступ плюс 1 неделя" # Компоненты HTML (HTC) ExpiresByType text/x-component "доступ плюс 1 месяц" # HTML ExpiresByType text/html "доступ плюс 0 секунд" # JavaScript Приложение ExpiresByType/javascript "доступ плюс 1 год" # Файлы манифеста Приложение ExpiresByType/x-web-app-manifest+json «доступ плюс 0 секунд» ExpiresByType text/cache-manifest "доступ плюс 0 секунд" # СМИ ExpiresByType audio/ogg "доступ плюс 1 месяц" ExpiresByType image/gif "Доступ плюс 1 месяц" ExpiresByType image/jpeg "Доступ плюс 1 месяц" ExpiresByType image/png "доступ плюс 1 месяц" ExpiresByType video/mp4 "Доступ плюс 1 месяц" ExpiresByType video/ogg "Доступ плюс 1 месяц" ExpiresByType video/webm "Доступ плюс 1 месяц" # веб-каналы Приложение ExpiresByType/atom+xml "доступ плюс 1 час" ExpiresByType application/rss+xml "доступ плюс 1 час" # Веб-шрифты ExpiresByType application/font-woff2 "доступ плюс 1 месяц" ExpiresByType application/font-woff "доступ плюс 1 месяц" ExpiresByType application/vnd. ms-fontobject "доступ плюс 1 месяц" ExpiresByType application/x-font-ttf "доступ плюс 1 месяц" ExpiresByType шрифт/opentype "доступ плюс 1 месяц" ExpiresByType image/svg+xml "доступ плюс 1 месяц" ЕслиМодуль>
Подробнее: Узнайте, как использовать кэширование браузера в WordPress для оптимизации времени загрузки страницы
Включить сжатие Gzip
Gzip — чрезвычайно мощный алгоритм сжатия, который находит похожие строки в текстовом файле и временно заменяет их, чтобы уменьшить общий размер файла . Он используется как важный инструмент оптимизации скорости загрузки страниц сайта.
Сжатие Gzip часто используется на уровне сервера, и многие хостинг-провайдеры, такие как Cloudways, включили его по умолчанию. Однако, если .htaccess не работает, попробуйте добавить следующий фрагмент в файл WordPress .htaccess или обратитесь к своему провайдеру веб-хостинга.
# Сжимайте HTML, CSS, JavaScript, текст, XML и шрифты Приложение AddOutputFilterByType DEFLATE/javascript Приложение AddOutputFilterByType DEFLATE/rss+xml Приложение AddOutputFilterByType DEFLATE/vnd. (.*\.php)$ $1 [L] Правило перезаписи. index.php [Л] # КОНЕЦ WordPress Мультисайт
Заключительные мысли!
Что касается конфигурации сервера, файл WordPress .htaccess является одним из наиболее важных файлов на вашем сервере. Он часто используется для настройки вашего сервера и защиты различных областей веб-сайта. Если вы считаете, что я упустил из виду какой-либо важный вариант использования .htaccess, оставьте комментарий ниже, и я обновлю этот список.
В. Что такое файл .htaccess в WordPress?
Файл .htaccess в WordPress — это файл конфигурации сервера веб-серверов Apache, который можно использовать для настройки перенаправления, безопасности и оптимизации производительности.
В. Как я могу редактировать файл .htaccess в WordPress?
Вы можете редактировать файл WordPress .htaccess с помощью файлового менеджера вашего веб-хостинга или текстового редактора. Используйте любой FTP-клиент, например FileZilla, и получите доступ к корневому каталогу. Откройте файл .htaccess в текстовом редакторе, чтобы изменить и обновить его.
В. Создает ли WordPress файл .htaccess?
Да, по умолчанию в WordPress есть хотя бы один файл .htaccess. Если вы не можете найти файл .htaccess в корневом каталоге, перейдите в панель управления WordPress > «Настройки» > «Постоянные ссылки» и нажмите «Сохранить изменения», чтобы создать новый файл .htaccess.
В. Нужен ли .htaccess для WordPress?
Да. Если ваш сайт WordPress работает на веб-сервере Apache, то это необходимо. Но если ваш сайт работает на NGINX, то вашему сайту WordPress не требуется файл .htaccess.
В. Что такое файл .htaccess по умолчанию для WordPress?
Если вы используете веб-сервер Apache, вы можете получить доступ к файлу .htaccess по умолчанию из корневого каталога (application/public_html или application/www).
Поделитесь своим мнением в разделе комментариев. КОММЕНТАРИЙ СЕЙЧАС
Поделиться этой статьей
Мустаасам Салим
Мустаасам — менеджер сообщества WordPress в Cloudways.