WordPress htaccess: htaccess для wordpress — пример правильного файла

htaccess для wordpress — пример правильного файла

Файл .htaccess – это конфигурационный файл, который позволяет выполнить много различных действий на вашем сайте. Рассмотрим некоторые полезные способы настройки .htaccess для сайта WordPress, чтобы эффективно использовать ресурсы сервера и улучшить безопасность.

Что такое .htaccess файл, зачем нужен?

Файл .htaccess является файлом конфигурации сервера. Он позволяет определять правила, которые применяет хостинг-сервер Apache для обслуживания вашего интернет-ресурса. В частности, WordPress изменяет .htaccess, чтобы иметь возможность обрабатывать постоянные ссылки. В этом файле можно переопределить настройки веб-сервера, чтобы повысить безопасность и производительность вашего сайта.

Имя файла .htaccess является сокращением от «Hypertext Access», а точка перед именем означает, что это скрытый файл. Вы не сможете увидеть его при просмотре файлов, если файловый менеджер не отображает скрытые файлы на вашем компьютере.

Редактируя файл с помощью правильных команд, вы можете добавлять или отключать дополнительные функции для защиты вашего сайта от спамеров, хакеров и других угроз. Некоторые из полезных команд включают:

• переадресацию на другие страницы;
• блокировку внешнего доступа к отдельным файлам и папкам;
• защиту паролем содержимого сайта и входа в админ-панель;
• закрытие доступа к сайту по IP-адресу;
• предотвращение использования изображений на других ресурсах.

Файл .htaccess находится в корневом каталоге сайта WordPress. Чтобы его отредактировать необходимо подключиться к серверу при помощи FTP-клиента, например, FileZilla. Перед редактированием файла .htaccess рекомендуется скопировать его на локальный компьютер в качестве бекапа. Вы сможете использовать эту резервную копию для восстановления системы при необходимости.

Код стандартного .htaccess файла вордпресс

В зависимости от процедуры установки WordPress, у вас может не быть файла . index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

При создании нового файла .htaccess разумно установить на него права доступа со значением 644 для защиты от возможных атак. Строки кода, начинающиеся с хэштега, являются комментариями и исключаются из обработки сервером. Поэтому при редактировании этого файла вы можете добавлять в него поясняющие комментарии.

Не рекомендуется добавлять или редактировать что-либо между строками # BEGIN WordPress и # END WordPress. Когда вы добавляете новые правила, включайте их выше или ниже приведенного кода.

Имейте в виду, что всего одна синтаксическая ошибка в коде .htaccess может сделать сайт неработоспособным. Если это произошло, загрузите на сервер резервную копию рабочего файла, предварительно сохраненную локально.

Как закрыть доступ по IP в .htaccess

Файл .htaccess можно использовать для защиты области администрирования WordPress, ограничивая доступ только выбранным IP-адресам. Добавьте следующий код:

ErrorDocument 401 default
ErrorDocument 403 default
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from ххх.ххх.ххх.хх localhost
</Files>

Замените значения ххх собственным IP-адресом, для выполнения этого правила IP должен быть постоянным. Если для доступа используется более одного IP, также пропишите их, аналогичным образом добавляя предпоследнюю строку. Первые две строки кода перенаправляют несанкционированные IP-адреса на страницу с ошибкой 404.

Если вы обнаружили слишком частые запросы на сайт с одного IP-адреса, возможно, это проявление действий злоумышленника. Вы можете предотвратить эти запросы, применяя блокировку по IP. Вставьте такой код в файл .htaccess:

<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>

Вместо ххх укажите IP-адрес, который требуется заблокировать.

Как защитить изображения от вставки на других ресурсах

Посторонние сайты, которые непосредственно ссылаются на ваш сайт, могут сделать его медленным и превысить ограничение вашего хостера по пропускной способности. http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

Такой код позволяет отображать изображения только в том случае, если запрос отправляется с сайта site.ru или Google.com. Замените site.ru на доменное имя вашего сайта.

Настройка 301 редиректа wordpress

Применение переадресации с кодом 301 – это самый удобный для SEO способ информировать посетителей о том, что контент переместился в новое место. Чтобы правильно управлять 301 редиректом, допишите в файл .htaccess код для перенаправления пользователя на другую страницу:

Redirect 301/ http://www.site.ru/new-url

При переименовании категорий на сайте можно сначала указать старый URL и сделать с него редирект на новый URL:

Redirect 301/category/television/ http://www.site.ru/category/tv/

Переадресация также необходима между адресами вашего сайта с www и без него, поскольку поисковые системы считают эти URL разными. За основной адрес сайта может быть выбран только один из них, со второго необходимо сделать редирект на главный адрес. (.*)$ http://www.sait.ru/$1 [R=301,L]

Чтобы задать 301 редирект в обратном направлении, поменяйте местами URL-адреса в двух последних строках.

Как включить кеширование браузера правильно

С помощью кеширования вы можете указать браузеру, когда файлы сайта обычно изменяются, например, раз в месяц или каждую неделю. Это ускорит работу вашего сайта на стороне пользователя, поскольку браузер будет отправлять запросы на ваш сервер только после объявленного времени.

Когда файл понадобится снова, браузер извлечет его из своего локального кеша, а не будет запрашивать повторную загрузку с сервера. Это экономит трафик с вашего сайта и позволяет избежать ненужных HTTP-запросов при последующем просмотре страниц.

Установите дату истечения срока действия или максимальный период для статических ресурсов, таких как изображения, css-стили, js-скрипты, pdf, swf-файлы. После настройки кеширования сайт будет загружаться намного быстрее.

Включить кеширование браузера можно, если прописать в .

htaccess следующий код:

Header append Cache-Control "public"
FileETag MTime Size
ExpiresActive On
ExpiresDefault "access plus 0 minutes"
ExpiresByType image/ico "access plus 1 years"
ExpiresByType text/css "access plus 1 years"
ExpiresByType text/javascript "access plus 1 years"
ExpiresByType image/gif "access plus 1 years"
ExpiresByType image/jpg "access plus 1 years"
ExpiresByType image/jpeg "access plus 1 years"
ExpiresByType image/bmp "access plus 1 years"
ExpiresByType image/png "access plus 1 years"

iPipe – надёжный хостинг-провайдер с опытом работы более 15 лет.

Мы предлагаем:

• Виртуальные серверы с NVMe SSD дисками от 299 руб/мес
• Безлимитный хостинг на SSD дисках от 142 руб/мес
• Выделенные серверы в наличии и под заказ
• Регистрацию доменов в более 350 зонах

Htaccess File Editor — безопасное редактирование файла Htaccess — Плагин для WordPress

• Детали
• Отзывы
• Установка
• Поддержка
• Разработка

WP Htaccess Editor предоставляет простой, безопасный и быстрый способ редактировать, исправлять и тестировать htaccess файл сайта из админки WP. Перед сохранением файл htaccess может быть проверен на синтаксические ошибки. Он также автоматически создает резервную копию htaccess каждый раз, когда вы вносите изменения в файл htaccess. Резервные копии htaccess могут быть восстановлены непосредственно из плагина или через FTP, если ошибки в файле htaccess мешают нормальной работе WP. Отлично подходит для исправления ошибок htaccess. Для всех вопросов, включая поддержку, пожалуйста, используйте официальный форум.

Доступ к WP Htaccess Editor через WP панель меню — Настройки.

If you’re having problems with SSL or HTTPS try our free WP Force SSL plugin. It’s the easiest way to enable SSL and fix SSL problems.

Тестирование синтаксиса htaccess

Используйте кнопку «Проверить перед сохранением», чтобы проверить синтаксис htaccess файла перед сохранением. Обратите внимание, что этот тест не проверяет логику вашего htaccess файла, т. е. работают ли редиректы по назначению. Он проверяет только синтаксические ошибки. Если вам нужно исправить файл htaccess, мы предлагаем восстановить его до версии по умолчанию, а затем добавить пользовательский код строка за строкой.

Автоматическое резервное копирование htaccess

Htaccess Editor создает автоматические резервные копии файла htaccess каждый раз, когда вы вносите в него изменения. Резервные копии находятся в /wp-content/htaccess-editor-backups/ и помечены временем, так что вы можете легко найти последнюю резервную копию htaccess и восстановить ее.

Поддержка WordPress Network (WPMU)

WP Htaccess Editor полностью совместим и протестирован с WP Network (WPMU). Он показывается в меню Настройка в панеле администратора сети. Он недоступен на отдельных сайтах, тк в сети может быть только один файл htaccess.

Плагин был изначально разработан Lukenzi в марте 2011 года.

• Страница администратора WP Htaccess Editor
• Действия должны быть дважды подтверждены для предотвращения несчастных случаев

Следуйте привычному распорядку;

1. Откройте WordPress панель, перейдите в Плагины, нажмите Добавить новый
2. Введите «htaccess редактор» в поисках и нажмите Enter
3. Плагин будет показываться первым в списке, нажмите кнопку «Установить сейчас»
4. Активируйте и откройте страницу настроек плагина, расположенную в меню настроек

Или, если необходимо, загрузите вручную;

1. Загрузите последнюю стабильную версию из downloads. wordpress.org/plugin/wp-htaccess-editor.latest-stable.zip
2. Распакуйте и загрузите в /wp-content/plugins/
3. Откройте панель WordPress — Плагины и нажмите «Активировать» рядом с «WP Htaccess Editor»
4. Откройте страницу администратора плагина, расположенную в меню настроек

Я убил свой сайт! Помогите!?

Ничего не теряется и не удаляется. Вы можете легко вернуть свой сайт обратно.
Вероятно, вы получаете ошибку 500 или белый экран смерти. Сначала подключитесь к своему сайту через FTP и найдите файл .htaccess. Удалите его или переименуйте. Попробуйте еще раз сайт — он должен открыться. Если найдена резервная копия старого рабочего файла .htaccess в

/wp-content/htaccess-editor-backups/, скопируйте файл в корневую папку вашего сайта, и вы снова в деле.

Я получаю сообщение об ошибке, что файл .htaccess нельзя редактировать или создавать

К сожалению, мы не можем изменить права доступа к файлам, установленные вашим сервером. Вам нужно будет отредактировать файл через FTP.

Посетите наши форумы поддержки. Мы с радостью поможем вам.

Как получить поддержку?

Посетите наши форумы поддержки. Мы с радостью поможем вам.

Поддерживаете ли вы WP-CLI?

Пока нет, но мы планируем.

simple to setting

Don’t be afraid to use it, you can test it before applying! I like it.

Fast & Easy Htaccess Changes

Thanks

Good, fast, effective. Thanks!

I love this plugin.

Посмотреть все 80 отзывов

«Htaccess File Editor — безопасное редактирование файла Htaccess» — проект с открытым исходным кодом. В развитие плагина внесли свой вклад следующие участники:

Участники

• WebFactory

«Htaccess File Editor — безопасное редактирование файла Htaccess» переведён на 2 языка. Благодарим переводчиков за их работу.

Перевести «Htaccess File Editor — безопасное редактирование файла Htaccess» на ваш язык.

Заинтересованы в разработке?

Посмотрите код, проверьте SVN репозиторий, или подпишитесь на журнал разработки по RSS.

v1.70

• 2021/03/04
• PHP 8 исправления

v1.67

• 2021/01/30
• добавлено всплывающее меню

v1.66

• 2020/10/17
• незначительные исправления ошибок

v1.65

• 2019/08/16
• исправлено несколько ошибок
• новая функция: проверка htaccess файла на наличие синтаксических ошибок перед сохранением
• новая функция: резервное копирование htaccess
• 50 000 установок достигнуто на 2019-08-10

v1.60

• 2019/03/12
• исправлено несколько ошибок
• new: размер редактора является постоянным; сохраняется в localStorage
• пункт меню перемещен из Инструменты в Настройки
• полная совместимость с WordPress Network (WPMU)

v1.

55

• 2019/01/15
• добавлена функция изменения размера редактора кода
• исправлено несколько ошибок
• 40k установок достигнуто на 2019-01-09 с 172 000 загрузок

v1.50

• 2018/12/21
• WebFactory взял на себя разработку
• плагин полностью переписан
• 30 000 установок; 162 200 загрузок

v1.3.0

• Добавлен испанский перевод (Спасибо Andrew Kurtis из WebHostingHub.com)
• Обновлен дизайн
• Обновлены инфо ссылки

v1.2.0

• Улучшен код
• Улучшен дизайн
• Улучшена безопасность
• Удалена панель отладки
• Обновлены переводы
• Обновлены ссылки
• Обновлены скриншоты
• Добавлен логотипа плагина

v1.1.1

• Исправлен CHMOD

v1.1.0

• Добавлены чешский и английский языки
• Добавление панели отладки
• Добавлена информация об авторе и переводчиках
• Устранена уязвимость
• Исправлена ошибка загрузки файлов переводов
• Оптимизировано для минимальных требований к памяти
• Небольшие изменения кода

v1.

0.1

• Добавление кнопки для создания файла .htaccess, если его нет
• Исправлена ошибка в разрешениях на просмотр плагина
• Оптимизировано для меньших требований к памяти

v1.0.0

• 2011/03/24
• Первая стабильная версия
• Добавление в репозиторий WordPress

Мета

• Версия: 1.70
• Обновление: 4 месяца назад
• Активных установок: 60 000+
• Версия WordPress: 4.0 или выше
• Совместим вплоть до: 6.0.2
• Версия PHP: 5.2 или выше
• Языки:

  Dutch, English (US) и Russian.

  Перевести на ваш язык

• Метки:

  htaccesshtaccess backuphtaccess editor

• Дополнительно

Оценки

Посмотреть все

• 5 звёзд 78
• 4 звезды 2
• 3 звезды 1
• 2 звезды 0
• 1 звезда 0

Войдите, чтобы оставить отзыв.

Участники

• WebFactory

Поддержка

Решено проблем за последние 2 месяца:

1 из 1

Перейти в форум поддержки

Редактирование .htaccess для безопасности WordPress

Файл .htaccess (Hypertext Access, Доступ к гипертексту) — это конфигурационный файл сервера, который находится в корневой папке сайта.

В этом файле можно сделать дополнительные настройки для защиты от хакеров и спама, например, запретить доступ к определенному файлу или папке, установить пароль на папку, добавить редиректы каких-то запросов, заблокировать ip и так далее.

Это мощный инструмент, который можно использовать для увеличения безопасности сайта.

В этой статье вы узнаете, что можно добавить в файл .htaccess для увеличения безопасности сайта.

Содержание:

Что может делать .htaccess

• Сделайте бэкап

Как создать . htaccess
Куда добавлять изменения
Как редактировать файл .htaccess

1. Защита важных файлов
2. Запретите доступ к wp-login.php и wp-admin
3. Запретите доступ к папкам сайта
4. Доступ только к разрешенным типам файлов
5. Запретите доступ к сайту с определенных IP
6. Запретите доступ к PHP файлам
7. Запретите исполнение PHP файлов
8. Защитите сайт от внедрения вредоносных скриптов
9. Запретите доступ к папке wp-includes
10. Отключите показ версии PHP в заголовках ответов сервера
11. Отключите XML-RPC
12. Отключите нумерацию пользователей
13. Используйте SSL
14. Отключите хотлинк картинок

Заключение

Что может делать .htaccess

Файл .htaccess находится в корневой папке сайта. Точка перед названием файла означает, что файл невидим, и вы сможете его видеть если включите настройку «Показывать скрытые файлы».

Отображать скрытые файлы в Filezilla

Файл используется для настройки сервера, типичное применение файла:

• Включает и отключает редиректы на другие страницы
• Добавляет пароль на папки
• Блокирует пользователей по IP
• Отключает показ содержимого папок
• Создает и использует собственные страницы для ошибок

В Вордпрессе этот файл используется для создания красивых постоянных ссылок (Настройки — Постоянные ссылки — Общие настройки), и создается автоматически когда эта функция включается.

Если вы уже знаете, для чего нужен этот файл, переходите к списку.

Сделайте бэкап

.htaccess довольно чувствительный файл, поэтому одна ошибка в синтаксисе может положить весь сайт. Скопируйте файл на компьютер, если появится ошибка, вы сможете вернуться к первоначальному варианту.

• Бэкап Вордпресс

Как создать .htaccess

В зависимости от вашей установки Вордпресс, у вас может не быть файла .htaccess, поэтому его нужно создать. Вы можете создать его на компьютере и перенести на сервер с помощью ftp-клиента, или создать этот файл в файл менеджере на хостинг-панели.

Если ваш сервер или компьютер не позволяет создать файл с таким именем, создайте файл htaccess.txt, перенесите его на сервер и на сервере переименуйте его в .htaccess.

Начиная с версии 4.2 все установки Вордпресс имеют красивые постоянные ссылки по умолчанию, поэтому файл .htaccess в этих версиях создается автоматически. В новый пустой файл добавьте стандартную запись, которую делает Вордпресс.

Для одиночной установки:

Для мультисайт установки, версия Вордпресс 3.5 или выше, если сайты находятся в подпапках:

Для мультисайт установки, версия Вордпресс 3.5 или выше, если сайты находятся на субдоменах:

Когда вы создаете новый .htaccess файл, дайте этому файлу права доступа как минимум 640 для защиты от возможных атак. Нормальные права для этого файла — 600. Если файл уже есть, проверьте, чтобы права доступа были не выше 640.

Куда добавлять изменения

Строки, начинающиеся с тега #, являются комментариями и не являются правилами для исполнения .htaccess.

Добавляйте свои комментарии к вашим правилам.

Когда вы добавляете свои правила, добавляйте их выше или ниже стандартных правил Вордпресс.

Не добавляйте и ничего не редактируйте между строками  # BEGIN WordPress и # END WordPress. Для мультисайт установок таких комментариев нет, но не добавляйте и не редактируйте ничего в коде для мультисайт установок.

Если вы что-то исправили в этом коде, Вордпресс должен автоматически вернуть первоначальный вариант, но лучше ничего не менять. В крайнем случае у вас должна остаться копия файла, которую вы можете вернуть на сервер.

Добавляйте свои правила выше или ниже стандартных правил Вордпресс по-одному, пишите к ним комментарии, сохраняйте и проверяйте изменения на сайте.

Если у вас Nginx сервер, здесь вы найдете htaccess — nginx конвертер.

Как редактировать файл .htaccess

Вы можете редактировать .htaccess из вашей хостинг-панели, или через ftp-клиент.

В первом случае зайдите на вашу хостинг-панель, запустите файл менеджер, найдите файл .htaccess и откройте его как обычный текстовый файл.

Если вы пользуетесь ftp-клиентом — зайдите на свой сервер, найдите .htaccess в корневой папке сайта, скопируйте его на свой компьютер, отредактируйте, сохраните и закачайте обратно на сервер. Удалите старый файл с сервера, или замените старый на новый.

1. Защита важных файлов

Запретите доступ к файлам wp-config.php, htaccess, php.ini и логам ошибок. Добавьте это правило, чтобы запретить доступ к этим файлам:

У вас может не быть файла php.ini. Вместо него может быть файл php5.ini или php7.ini. Если у вас есть файл php5 или php7, замените php.ini на php5.ini или php7.ini. Если файла php.ini нет вообще, уберите php.ini| из правила.

Если вы хотите запретить доступ только к файлу wp-config.php, добавьте это правило:

Если вы хотите запретить доступ ко всем файлам .htaccess на сайте, добавьте этот код:

2. Закройте доступ к wp-login.php и wp-admin

Если вы используете статический IP, вы можете запретить доступ к странице входа или панели администратора:

Первые две строчки перенаправляют посетителя с неавторизованного IP на страницу с ошибкой 404. Это правило не будет вызывать цикличные редиректы, ваш сайт не будет выглядеть как зависший.

Замените  /путь-к-вашему-сайту/ в двух первых строчках на свой адрес.
Замените  IP Адрес 1, IP Адрес 2 и IP Адрес 3 на те IP адреса, с которых вы хотите иметь доступ к страницам wp-login.php и wp-admin.

Если вам нужен только один IP адрес, удалите строки 9 и 10, если вам нужно больше адресов, добавьте нужное количество строк.

Если вы или другие пользователи имеют динамические IP (или Мультисайт), используйте следующее правило:

Замените  /путь-к-вашему-сайту/ и  /ваш-сайт.ru/  на свой адрес.

Хакеры используют ботов, чтобы пытаться попасть в админку Вордпресс. Это правило определяет, что только те пользователи, которые вручную набрали wp-login.php или wp-admin в браузере, получат доступ к этим страницам.

Этот способ не защитит от хакеров, которые вручную набирают адрес страницы входа на сайт, но значительно уменьшит количество автоматических брут-форс атак (перебор паролей).

Еще один способ — создайте файл .htaccess в папке wp-admin. Это правило разрешает доступ к папке только указанным ip:

Замените  IP Адрес 1 и IP Адрес 2 на свои IP.

• Как изменить адрес страницы входа на сайт

3. Запретите доступ к директориям сайта

По умолчанию сервер Apache разрешает доступ к директориям сайта. То есть любой посетитель сайта может открыть любую папку и запустить любой файл внутри этой папки, если введет в браузере нужный адрес, например, ваш-сайт.ru/wp-content/uploads/

Если эти папки будут доступны для просмотра, злоумышленник может заразить какие-то файлы на вашем сервере. Чтобы запретить доступ к папкам, добавьте это правило в .htaccess:

• Права доступа к файлам и папкам

4. Доступ только к разрешенным типам файлов

В папке wp-content находятся темы, плагины и медиа контент. Кроме доступа к директориям сайта, можно разрешить доступ только к некоторым типам файлов, например, css, js, jpg, pdf, doc и так далее. Для этого создайте в папке wp-content новый файл .htaccess и добавьте это правило:

Не вставляйте этот код в файл .htaccess в корневой папке. Если вам нужно добавить в исключения другие типы файлов, добавьте их после |odf.

5. Запретите доступ с определенных IP

Вы можете полностью запретить доступ к сайту с подозрительных или вредоносных ip:

Замените  IP Адрес 1, IP Адрес 2 и IP Адрес 3 на ip-адреса, которым вы хотите запретить доступ к сайту.

6. Запретите доступ к PHP файлам

Закройте доступ к PHP файлам темы и плагинов. Хакер может внедрить вредоносный код и заразить сайт. Защита PHP файлов — важная мера предосторожности.

Добавьте этот код, чтобы заблокировать доступ неавторизованных пользователей к php файлам темы и плагинов:

7. Запретите исполнение PHP файлов

Если хакеру удастся загрузить вредоносные файлы на сервер, он не сможет их запустить, потому что это правило запрещает их исполнение. Но вам все равно нужно будет найти и удалить инфицированные файлы.

Чем больше препятствий взломщику вы установите, тем ниже вероятность что ваш сайт взломают.

Обычно хакеры загружают бэкдоры в папку /wp-content/uploads/, поэтому заблокируйте исполнение всех PHP файлов в этой папке:

8. Защитите сайт от внедрения вредоносных скриптов

Многие хакеры пытаются изменить переменные Вордпресс GLOBALS и _REQUEST с целью внедрить вредоносный код. Добавьте этот код, чтобы хакеры не могли изменять существующие файлы:

9. Запретите доступ к папке wp-includes

В папке wp-includes хранятся файлы ядра Вордпресс, поэтому доступ к этой папке лучше полностью закрыть:

10. Отключите показ версии PHP в заголовках ответов сервера

Вы можете отключить показ версии PHP в заголовках ответов сервера. Скорее это относится к серверу, чем к сайту, но влияет на безопасность сайта.

Добавьте это правило в .htaccess:

Если не получилось, попросите техподдержку вашего хостинга настроить сервер, чтобы он не показывал информацию о версии PHP.

• Как отключить информацию о версии ПО в ответах Сервера

11. Отключите XML-RPC

XML-RPC — это API интерфейс, который используется Вордпресс для удаленного доступа к сайту, для трекбеков и пингбеков и используется плагином Jetpack. Оставьте его включенным, если вы пользуетесь чем-то из этого, и выключите, если не пользуетесь, так как хакеры могут перебирать пароли тысячами через файл xmlrpc.php.

Даже если вы используете сложные пароли, брут-форс атаки расходуют большое количество ресурсов сервера. Если ваш сайт находится на недорогом хостинге, в результате такой атаки сайт может зависнуть из-за использования всех ресурсов сервера.

Чтобы отключить XML-RPC, добавьте это правило:

• Как правильно отключить XML-RPC

12. Отключите нумерацию пользователей

Когда посетитель вводит в строку адреса ваш-сайт.ru/?author=1, он перенаправляется на страницу пользователя с ID = 1.

Посетитель может определить ID всех пользователей, у которых есть опубликованные материалы на сайте. Этот процесс называется нумерацией пользователей.

Если хакер узнает ID пользователя, который также является логином пользователя, то теперь злоумышленнику остается только узнать пароль пользователя.

Даже если пользователи используют сложные пароли, злоумышленнику лучше не знать ID пользователей:

13. Используйте SSL

Это правило требует использование SSL сертификата, выданного домену, который указан в 3-ей строчке.

Замените ваш-сайт.ru в двух последних строчках на свой домен.

14. Отключите хотлинк картинок

Когда посетитель использует URL картинки, размещенной на вашем сайте и публикует ссылку на эту картинку на своем сайте, вместо того, чтобы хранить картинку на своем сайте, он нагружает ваш сервер и ваш канал интернета. Это называется хотлинкинг.

Чтобы отключить хотлинк картинок, используйте это код:

Замените ваш-сайт\.ru на ваш адрес.

Заключение

Здесь находится он-лайн генератор правил для файла . htaccess.

Еще несколько снипетов для .htaccess в Максимальной безопасности Вордпресс.

Некоторые из этих способов могут уже использоваться на вашем сайте, например, права доступа к файлам и папкам на сервере, или в плагинах безопасности. С точки зрения оптимизации сайта лучше оставить включенные опции только в одном месте.

Читайте также:

1. Руководство по wp-config.php
2. Настройки wp-config.php для безопасности Вордпресс
3. Руководство по безопасности Вордпресс
4. Как настроить мощную защиту сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

Надеюсь, статья была полезна. Поделитесь в комментариях, что вы добавляете в .htaccess.

Htaccess WordPress: правильная настройка файла

Лайфхаки на WP

04.12.2019

25.9k.

При первичной настройке блога важно разумно сделать все технические составляющие. В первую очередь исправить файл htaccess под WordPress, потому что он регулирует серверные настройки Apache. Статья написана как не нужно делать, а рекомендаций по внедрению кода минимум. Прочитайте внимательно и не делайте грубых ошибок.

Содержание

1. Где лежит htaccess
2. Как создать чистый htaccess
3. Что нужно добавить в htaccess обязательно
4. Стандартный htaccess
5. 301 редирект на https
6. Как должен выглядеть правильный htaccess
7. Что еще можно подключить в htaccess
8. Кэш браузера
9. Gzip сжатие
10. Для безопасности и защиты wp-config
11. Вывод настройки

Где лежит htaccess

Htaccess обязательно должен находится в корневой папке сайта, вместе с каталогами типа wp-admin. У меня лежит как показано на снимке, иначе работать не будет, сервер его не найдет.

Где располагается объект

Как создать чистый htaccess

По умолчанию WordPress 5 должен создать htaccess, либо хостер добавляет его в каталог ресурса. index\.php$ — [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule> # END WordPress

Он проверен на множестве сайтов и работает безотказно. Никаких дублей, дыр в безопасности и остальных ошибок не наблюдали.

Этого достаточно для работы веб ресурса на вордпресс, единственный правильный htaccess. В других статьях интернета прописаны множество бесполезных директив, например для безопасности, кеширования и закрытия индексации. Они были написаны давно, и устарели не пользуйтесь их советами.

Разработчики WP сделали необходимые настройки в ядре и теперь не нужно вписывать в серверный документ непонятные строчки. В большинстве случаев блог перестанет отвечать, потому что в htaccess занесено много правил и они могут конфликтовать.

Что еще можно подключить в htaccess

Хостинги разные, поэтому не все предоставляют услуги внутренней оптимизации сервера, тогда приходится вручную прописывать правила в htaccess. Спросите заранее в поддержке хостера, включены ли такие услуги как:

• Кэш браузера
• Gzip сжатие
• Защита wp-config, нет ли доступа его просмотреть

Кэш браузера

Для начала проверим активен ли кэш браузера на сайте, переходим на сервис webpagetest, вводим в поле url главной страницы и находим start scan.

Проверка функций блога

Ждем процесса проверки и смотрим на результаты. Ищем строчку Leverage browser caching и определяем кэшируются ли документы. В моем случае да, исключение – метрика, аналитика и vk, на них повлиять нельзя.

Есть ли кеш браузера

При условии если цифра равна нулю или маленькая, то напишите в поддержку хостинга с просьбой включить кэш браузера. При отказе вставляем такую запись в htaccess и проверяем заново.

<ifModule mod_headers.c>
<FilesMatch "\.(html|htm)$">Header set Cache-Control "max-age=43100</FilesMatch>
<FilesMatch "\.(js|css|txt)$">Header set Cache-Control "max-age=604700</FilesMatch>
<FilesMatch "\. cgi-script$
</ifModule>

Такими встроенными возможностями обладают большинство провайдеров, например:

• Beget
• Timeweb
• Masterhost

Для безопасности и защиты wp-config

В 99,9% проблемы нет, но перестраховаться стоит. Заходим на сайт и приписываем к адресу /wp-admin.php, смотрим что выдает браузер.

Отображение wp-config

Должна открыться пустая страница или произойти 301 переадресация на главную. Если покажется код документа, то нужно срочно его закрывать, просим помощи в поддержке, или прописываем вот такой текст.

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Посетители спрашивают, а нужно ли добавлять правила для плагинов WooCommerce, BBPress, Elementor и им подобным. Отвечу – нет, все встроено в сами плагинах. Будет полезно прочитать как создавать robots txt. В заключении дам видео инструкцию, чтобы сделать процесс более понятным.

Вывод настройки

Настройка htaccess в WordPress не сложная, потому что разработчики и хостер сделали все условия, чтобы снизить количество ошибок. В статье показал правильный вариант, в котором только стандартные директивы и перенаправление на https, остальные функции должны быть встроены и работать изначально. В любом случае сначала пишем в поддержку, и только потом делаем сами.

Пожалуйста, оцените материал:

Валентин

Давно занимаюсь и разрабатываю сайты на WordPress. Считаю что лучшего решения для ведения бизнеса не найти, поэтому считаю долгом делиться информацией с остальными.

Файлы .htaccess для популярных CMS — WordPress, Битрикс, Joomla

В данной статье приведены стандартные файлы .htaccess для наиболее популярных CMS. Файл . htaccess находится в корневой папке сайта.

Файл .htaccess для Joomla

##
# @version $Id: htaccess.txt 14401 2010-01-26 14:10:00Z louis $
# @package Joomla
# @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##
#####################################################
#  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's.  If they work,
# it has been set by your server administrator and you do not need it set here.
#
#####################################################
##  Can be commented out if causes errors, see notes above. 
Options +FollowSymLinks
#
#  mod_rewrite in use
RewriteEngine On
########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension xml files
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(. .]*)$  [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section

Файл .htaccess для WordPress

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

В REG.RU вы можете заказать WordPress hosting.

Файл .htaccess для HostCMS

Options +FollowSymlinks
AddDefaultCharset Off
<IfModule mod_php4.c>
 php_flag magic_quotes_gpc off
 php_flag magic_quotes_runtime off
 php_flag register_globals off
</IfModule>
<IfModule mod_php5.c>
 php_flag magic_quotes_gpc off
 php_flag magic_quotes_runtime off
 php_flag register_globals off
</IfModule>
<IfModule mod_dir.c>
 DirectoryIndex index.php index.htm index.html
</IfModule>
<IfModule mod_rewrite.c>
 RewriteEngine On
 RewriteBase /
 RewriteCond %{REQUEST_FILENAME} !-f
 RewriteCond %{REQUEST_FILENAME} !-d
 RewriteRule ^(. (.*)$ index.php?q=$1 [L,QSA]
#
# Make sure .htc files are served with the proper MIME type, which is critical # for XP SP2. Un-comment if your host allows htaccess MIME type overrides.
#AddType text/x-component .htc
#
# If your server is not already configured as such, the following directive
# should be uncommented in order to set PHP's register_globals option to OFF.
# This closes a major security hole that is abused by most XSS (cross-site
# scripting) attacks. For more information: http://php.net/register_globals
#
# To verify that this option has been set to OFF, open the Manager and choose
# Reports -> System Info and then click the phpinfo() link. Do a Find on Page
# for "register_globals". The Local Value should be OFF. If the Master Value
# is OFF then you do not need this directive here.
#
# IF REGISTER_GLOBALS DIRECTIVE CAUSES 500 INTERNAL SERVER ERRORS :
#
# Your server does not allow PHP directives to be set via .htaccess. In that
# case you must make this change in your php. ini file instead. If you are
# using a commercial web host, contact the administrators for assistance in
# doing this. Not all servers allow local php.ini files, and they should
# include all PHP configurations (not just this one), or you will effectively
# reset everything to PHP defaults. Consult www.php.net for more detailed
# information about setting PHP directives.
#
#php_flag register_globals Off
#
# For servers that support output compression, you should pick up a bit of
# speed by un-commenting the following lines.
#
#php_flag zlib.output_compression On
#php_value zlib.output_compression_level 5
#
# The following directives stop screen flicker in IE on CSS rollovers. If
# needed, un-comment the following rules. When they're in place, you may have
# to do a force-refresh in order to see changes in your designs.
#
#ExpiresActive On
#ExpiresByType image/gif A2592000
#ExpiresByType image/jpeg A2592000
#ExpiresByType image/png A2592000
#BrowserMatch "MSIE" brokenvary=1
#BrowserMatch "Mozilla/4. (\..*|Entries.*|Repository|Root|Tag|Template)$">
  Order allow,deny
</FilesMatch>
# Don't show directory listings for URLs which map to a directory.
Options -Indexes
# Follow symbolic links in this directory.
Options +FollowSymLinks
# Make Drupal handle any 404 errors.
ErrorDocument 404 /index.php
# Force simple error message for requests for non-existent favicon.ico.
<Files favicon.ico>
  # There is no end quote below, for compatibility with Apache 1.3.
  ErrorDocument 404 "The requested file favicon.ico was not found.
</Files>
# Set the default handler.
DirectoryIndex index.php index.html index.htm
# Override PHP settings that cannot be changed at runtime. See
# sites/default/default.settings.php and drupal_initialize_variables() in
# includes/bootstrap.inc for settings that can be changed at runtime.
# PHP 5, Apache 1 and 2.
<IfModule mod_php5.c>
  php_flag magic_quotes_gpc                 off
  php_flag magic_quotes_sybase              off
  php_flag register_globals                 off
  php_flag session. auto_start               off
  php_value mbstring.http_input             pass
  php_value mbstring.http_output            pass
  php_flag mbstring.encoding_translation    off
</IfModule>
# Requires mod_expires to be enabled.
<IfModule mod_expires.c>
  # Enable expirations.
  ExpiresActive On
  # Cache all files for 2 weeks after access (A).
  ExpiresDefault A1209600
  <FilesMatch \.php$>
    # Do not allow PHP scripts to be cached unless they explicitly send cache
    # headers themselves. Otherwise all scripts would have to overwrite the
    # headers set by mod_expires if they want another caching behavior. This may
    # fail if an error occurs early in the bootstrap process, and it may cause
    # problems if a non-Drupal PHP file is installed in a subdirectory.
    ExpiresActive Off
  </FilesMatch>
</IfModule>
# Various rewrite rules.
<IfModule mod_rewrite.c>
  RewriteEngine on
  # Block access to "hidden" directories whose names begin with a period. (.*)$ /index.php
<Files "plugins.dat">
order allow,deny
deny from all
</Files>

Файл .htaccess для PrestaShop

Файл .hraccess генерируется автоматически самой CMS:

# ~~start~~ Do not remove this comment, Prestashop will keep automatically the code outside this comment when .htaccess will be generated again
# .htaccess automaticaly generated by PrestaShop e-commerce open-source solution
# http://www.prestashop.com - http://www.prestashop.com/forums

Файл .htaccess для Moodle

DirectoryIndex index.php index.html index.htm
php_value memory_limit 40M (adjust to your version of Moodle)
php_flag magic_quotes_gpc 1
php_flag magic_quotes_runtime 0
php_flag file_uploads 1
php_flag session.auto_start 0
php_flag session.bug_compat_warn 0

Если у вас установлен Apache версии 2, добавьте следующие строки:

<IfDefine APACHE2>
    AcceptPathInfo on
</IfDefine>

Если у вас иная версия Apache, вставьте строку:

AcceptPathInfo on

Если конфигурационный файл отсутствует, ознакомьтесь со статьей: Проблемы с . htaccess. В ней дана инструкция, как создать файл htaccess для HTML сайта.

Помогла ли вам статья?

Да

2 раза уже помогла

.htaccess правильная настройка для WordPress

При помощи файла htaccess можно влиять на настройки вашего Apache сервера, в случаи когда вы используете облачный хостинг это единственная возможность изменять настройки работы Apache сервера для конкретного сайта.

Для самой CMS WordPress основные возможности которые даёт htaccess является настройка правил обработки URL адресов, настройка редиректов, ошибок, доступа, и ЧПУ («человеко-понятные» URL ссылки)

Где находиться файл htaccess в WordPress?

Найти файл .htaccess можно в корневой директории вашего сайт, т.е в папке где лежат все файлы/папки вашего сайта, там же должен находиться htaccess.

Например при помощи программ FileZilla или WinSCP Вы можете подключиться к вашему сайту используя ftp/ssh доступы. Ниже скриншот из программы WinSCP.

В программе WinSCP по умолчанию отключён показ скрытых файлов и папок. Чтобы его включить необходимо зайти: Параметры -> Настройки -> Панели -> Установить галочку «Показывать скрытые файлы»

Если по какой то причине файла .htaccess, тогда его необходимо создать используя ту же программу, при создании файла в качестве его имени пишем .htaccess (точка обязательна), важно чтобы файл создался без какого либо расширения (например может быть что создастся .htaccess.txt — .txt это расширение и у .htaccess никакого расширения быть не должно).

Содержимое файла .htaccess для WordPress по-умолчанию

По-умолчанию для CMS WordPress в файле .htaccess должен содержаться только следующий код:

DirectoryIndex index.php
# BEGIN WordPress
# Директивы (строки) между `BEGIN WordPress` и `END WordPress`
# созданы автоматически и подлежат изменению только через фильтры WordPress. index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


# END WordPress

Настройка редиректа с www на без-www для WordPress

Ваш блог на CMS Вордпресс изначально доступен по двум адресам www.адрес-вашего-блога.ru и адрес-вашего-блога.ru. С точки зрения поисковой системы например Яндекс, это два разных сайта ( хотя по факту это один и тот же сайт но доступный по двум разным адресам ), такие сайты (доступные по нескольким разным адресам ) плохо ранжируются поисковыми системами, т.е позиции вашего сайта будут ниже чем, позиции аналогичных сайтов в поисковой выдаче.

Чтобы такого не происходило нужно настроить доступность Вашего блога только по одному адресу: или с www или без-www. Как правило сейчас настраивают в качестве основного адреса, адрес без-www.

В WordPress настроить редирект можно в админке самого сайта и соответственно не нужно ничего изменять или дописывать в файле . htaccess.

Надо зайти по адресу http://адрес-вашего-сайта.ru/wp-admin/ указать логин и пароль. Далее выбираем Настройки -> Общие. В поле Адрес WordPress (URL) указываем адрес сайта: или с www или без-www. После не забудьте Сохранить изменение путём нажатия на соответствующую кнопку ниже на странице.

Настройка WordPress на работу с https

Для того чтобы Ваш блог стал работать по протоколу https в первую очередь Вам необходимо установить ssl сертификат для вашего домена, как это сделать, можно прочитать на сайте вашего хостера (как правило все Хостинги предоставляют развёрнутую инструкцию по установке ssl сертификата и имеют возможность установить бесплатный ssl сертификат).

После того, как сертификат будет установлен, Вам надо включить Ваш сайт на работу по https, для этого зайдите в админку сайта, далее Настройки -> Общее, в поле Адрес WordPress (URL)  указать адрес Вашего сайта вместе с https протоколом, т. (.*)$ адрес-страницы-назначения [L,R=301]

ВАЖНО: адрес страницы с которой будет осуществляться редирект указывается без домена Вашего сайта, т.е если адрес такой: https://ваш-сайт.ru/раздел/страница-с-которой-будет-редирект/ — нужно оставить только /раздел/страница-с-которой-будет-редирект/.

ВАЖНО: адрес страницы назначения должен указываться вместе с доменом и протоколом, т.е если надо направить редирект на страницу https://ваш-сайт.ru/раздел/страница-назначения/ — тогда указываем адрес полностью.

Правила редиректа дописываем в файл .htaccess после строки с RewriteBase /

# BEGIN WordPress
# Директивы (строки) между `BEGIN WordPress` и `END WordPress`
# созданы автоматически и подлежат изменению только через фильтры WordPress.
# Сделанные вручную изменения между этими маркерами будут перезаписаны.

RewriteEngine On
RewriteBase /

RewriteCond %{REQUEST_URI} ^/раздел/страница-с-которой-будет-редирект/$
RewriteRule ^(. index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]


# END WordPress

Статья была полезна? Поблагодарите автора.

htaccess – Форумы WordPress.org

Темы

• Базовый WP
• Мультисайт
  • WordPress 3.5 и выше
  • WordPress 3.4 и ниже
• Общие примеры
  • Опции
  • Индекс каталога
  • Язык по умолчанию
  • Кодировка по умолчанию
  • Подпись сервера
  • Принудительная загрузка файлов
  • HTTP-сжатие
  • Отправить настраиваемые заголовки HTTP
  • Сбросить заголовки HTTP
  • Защита паролем при входе в систему
  • Требовать определенный IP-адрес
  • Защита конфиденциальных файлов
  • Требовать SSL
• Внешние ресурсы
• См. также

.htaccess — это распределенный файл конфигурации, с помощью которого Apache обрабатывает изменения конфигурации для каждого каталога. ([_0-9- [Л] Правило перезаписи. index.php [Л] # ЗАВЕРШИТЬ Мультисайт WordPress

Верх ↑

Верх ↑

Опции

Любые опции, которым предшествуют + , добавляются к текущим действующим опциям, а любые опции, которым предшествуют – , удаляются из действующих опций.

Возможные значения директивы Options: любая комбинация:

Нет

Все параметры отключены.

Все

Все опции, кроме MultiViews. Это значение по умолчанию.

ExecCGI

Выполнение сценариев CGI с использованием mod_cgi разрешено.

FollowSymLinks

Сервер будет переходить по символическим ссылкам в этом каталоге.

Включения

Серверные включения, предоставляемые mod_include, разрешены.

ВключаетNOEXEC

Включения на стороне сервера разрешены, но команды #exec cmd и #exec cgi отключены.

Индексы

URL-адрес сопоставляется с каталогом, а не DirectoryIndex, форматированным списком каталога.

MultiViews

Контент, согласованный «MultiViews» разрешены с помощью mod_negotiation.

SymLinksIfOwnerMatch

Переходите только по символическим ссылкам, если цель принадлежит тому же идентификатору пользователя, что и ссылка.

Это отключит все опции, а затем включит только FollowSymLinks, что необходимо для mod_rewrite.

 Опции Нет
Параметры
 

Top ↑

DirectoryIndex

DirectoryIndex устанавливает файл, который Apache будет обслуживать, если будет запрошен каталог.

Можно указать несколько URL-адресов, и в этом случае сервер вернет первый найденный.

 DirectoryIndex index.php index.html /index.php
 

Наверх ↑

DefaultLanguage

DefaultLanguage приведет к тому, что все файлы, с которыми еще не связан определенный языковой тег, будут использовать это.

 Язык по умолчанию en
 

Наверх ↑

Кодировка по умолчанию

Установить кодировку символов по умолчанию, отправляемую в заголовке HTTP. См.: Установка информации о кодировке в .htaccess

 AddDefaultCharset UTF-8
 

Установить кодировку для определенных файлов

 AddType 'text/html; кодировка=UTF-8' .html
 

Набор для определенных файлов

 AddCharset UTF-8 .html
 

Наверх ↑

ServerSignature

Директива ServerSignature позволяет настроить завершающую строку нижнего колонтитула для документов, созданных сервером. При необходимости добавьте строку, содержащую версию сервера и имя виртуального хоста, на страницы, созданные сервером (внутренние документы об ошибках, списки каталогов FTP, вывод mod_status и mod_info и т. д., но не документы, сгенерированные CGI, или пользовательские документы об ошибках).

On

добавляет строку с номером версии сервера и ServerName обслуживающего виртуального хоста

Off

скрывает строку нижнего колонтитула

ссылочного документа

 SetEnv SERVER_ADMIN admin@site. com
Электронная почта для подписи сервера
 

Наверх ↑

Принудительная загрузка файлов

Приведенное ниже приведет к тому, что любые запросы на файлы, оканчивающиеся на указанные расширения, не будут отображаться в браузере, а вместо этого вызовут диалоговое окно «Сохранить как», чтобы клиент мог загрузить.

 Приложение AddType/октетный поток .avi .mpg .mov .pdf .xls .mp4
 

Наверх ↑

Сжатие HTTP

Директива AddOutputFilter сопоставляет расширение имени файла с фильтрами, которые будут обрабатывать ответы от сервера до их отправки клиенту. Это дополнение к любым фильтрам, определенным в другом месте, включая SetOutputFilter и AddOutputFilterByType. Это сопоставление объединяется с уже действующими, переопределяя любые сопоставления, которые уже существуют для того же расширения. 9Mozilla/4\.0[678] без gzip BrowserMatch \bMSIE !no-gzip !gzip-only-text/html

Принудительное сжатие для определенных файлов

 SetOutputFilter DEFLATE
 

Top ↑

Директива Header позволяет отправлять заголовки HTTP для каждого запроса или только для определенных файлов. Вы можете просматривать HTTP-заголовки сайтов с помощью Firebug, Chrome Dev Tools, Wireshark или онлайн-инструмента.

 Набор заголовков X-Pingback "http://www.askapache.com/xmlrpc.php"
Заголовок устанавливает Content-Language "en-US"
 

Наверх ↑

Это удалит заголовки HTTP, использование всегда будет прилагать дополнительные усилия для их удаления.

 Заголовок не установлен Pragma
Заголовок всегда отключен WP-Super-Cache
Заголовок всегда отключается
 

Наверх ↑

Защита паролем при входе в систему

Это очень полезно для защиты файла wp-login.php . Вы можете использовать этот генератор htpasswd.

Базовая аутентификация

 AuthType Базовая
AuthName "Защищено паролем"
AuthUserFile /полный/путь/к/.htpasswd
Требовать действительного пользователя
Удовлетворить все
 

Дайджест-аутентификация

 AuthType Дайджест
AuthName "Защищено паролем"
AuthDigestDomain /wp-login. php https://www.askapache.com/wp-login.php
AuthUserFile /полный/путь/к/.htpasswd
Требовать действительного пользователя
Удовлетворить все
 

Наверх ↑

Требовать определенный IP-адрес

Это способ разрешить доступ только к определенным IP-адресам.

 ErrorDocument 401 по умолчанию
ErrorDocument 403 по умолчанию
Отклонить заказ, разрешить
Запретить от всех
Разрешить с 198.101.159.98 локальный хост
 

Наверх ↑

Защитить конфиденциальные файлы

Это блокирует любой веб-доступ к вашему файлу wp-config, error_logs, php.ini и htaccess/htpasswds.

 Запретить заказ, разрешить
Запретить от всех
 

Наверх ↑

Требовать SSL

Это заставит использовать SSL и потребует точное имя хоста, иначе будет перенаправлено на версию SSL. Полезно в файле /wp-admin/.htaccess .

 SSLOptions +StrictRequire
SSLRequireSSL
SSLRequire %{HTTP_HOST} eq "www.wordpress. com"
Документ об ошибке 403 https://www.wordpress.com
 

Top ↑

• Официальное учебное пособие по Apache HTTP Server: .htaccess файлы
• Официальная директива HTACCESS Quick
• HTACCESS Turnior htaccess для подкаталогов
• Использование постоянных ссылок
• Изменение прав доступа к файлам
• Навыки UNIX Shell
• Rewrite API

Как найти и создать файл WordPress .htaccess

Вордпресс Эксперт

06 сентября 2022 г.

Домантас Г.

4 минуты чтения

Начать бесплатный 7-дневный курс электронной почты по WordPress

Когда вы устанавливаете WordPress на свою учетную запись хостинга, программное обеспечение добавляет список каталогов на ваш веб-сервер. От wp-admin , в котором хранятся административные файлы, до каталога wp-content , где хранятся темы и плагины — они поддерживают работу ваших страниц.

Помимо основных каталогов, WordPress также поставляется с файлом . htaccess . Короче говоря, это файл конфигурации, который контролирует работу вашего сервера. Файл поддерживается только несколькими веб-серверами, включая Apache.

Если ваш веб-сайт размещен на веб-сервере Apache и вы хотите использовать файл .htaccess , эта статья для вас. Мы предоставим вам подробную информацию об этом файле конфигурации и информацию о том, как найти его и полностью создать новый файл.

Что такое файл .htaccess?

.htaccess (гипертекстовый доступ) — это важный файл ядра WordPress, используемый для включения или отключения функций веб-сайтов, размещенных на Apache. Файлы .htaccess также называются файлами конфигурации сервера, расположенными в корневом каталоге WordPress. По умолчанию WordPress использует файлы .htaccess для управления перенаправлениями и структурами постоянных ссылок.

Многие плагины WordPress также используют файлы .htaccess для работы, включая большинство плагинов безопасности и плагинов кэширования. Эти плагины модифицируют и переписывают .htaccess файлы для выполнения своих функций.

Файл .htaccess позволяет выполнять изменения конфигурации для каждого каталога, от изменения индексной страницы по умолчанию до изменения часового пояса вашего веб-сайта. Более сложные изменения конфигурации сервера включают в себя возможность:

• Настроить перенаправления — вы можете установить перенаправление 302 на свой временный домен или перенаправление 301 для перемещения всего HTTP-трафика на ваш HTTPS-сайт.
• Переписать URL-адрес — создавайте SEO-дружественные URL-адреса, чтобы улучшить индексацию поисковыми системами и возможности сканирования.
• Включить защиту от хотлинков — файл .htaccess позволяет предотвратить хотлинкинг с вашего сайта и защитить использование полосы пропускания.
• Изменить ограничение доступа — запретить определенным IP-адресам доступ к вашему сайту, сделать файлы определенного типа недоступными или полностью ограничить доступ к вашему сайту.
• Подавать настраиваемые страницы ошибок — настроить сообщение, которое появляется на вашем 404 ошибка не найдено страниц.
• Защищать паролем каталоги — приказать каждому каталогу требовать действительного пользователя, установив пароль и создав файл .htpasswd .

Получите доступ к этой бесплатной странице генератора .htaccess , чтобы сгенерировать фрагменты кода и настроить более сложные правила на своем сайте.

Как найти файл .htaccess

Когда вы устанавливаете WordPress на веб-сервере Apache, файл .htaccess автоматически добавляется в ваш корневой каталог, обычно помечаемый как public_html или www . Однако, поскольку файл обычно скрыт, вам нужно будет использовать параметр Показать скрытые файлы , чтобы найти его.

В следующих разделах вы узнаете, как найти файл . htaccess вашего сайта WordPress как в hPanel, так и в cPanel от Hostinger.

hPanel

Вот как найти и отредактировать файл .htaccess через файловый менеджер Hostinger:

1. Получите доступ к панели управления hPanel. Перейти к Файлы меню и нажмите Диспетчер файлов .

2. По умолчанию файл .htaccess не скрыт в hPanel. Таким образом, просто нажмите на каталог public_html и найдите файл, помеченный как .htaccess .

3. Откройте файл и его содержимое, щелкнув правой кнопкой мыши и выбрав Открыть или Редактировать .

cPanel

Если вы используете cPanel, процесс более или менее похож:

1. Войдите в свою учетную запись cPanel. Найдите раздел Files и нажмите File Manager .

2. Доступ к каталогу public_html . Нажмите на папку WordPress. В данном случае он помечен как wp . Затем найдите файл .htaccess .

3. Если вы не можете найти файл .htaccess , перейдите в Настройки в верхнем правом меню и установите флажок Показать скрытые файлы 9Опция 0068 для включения просмотра.

4. Система начнет извлекать содержимое ваших каталогов, и вскоре вы увидите файл .htaccess в списке.

5. Просто нажмите на файл и отметьте кнопку Редактировать , чтобы открыть его.

Теперь, когда вы нашли файл .htaccess , вы можете начать его редактирование. Начните добавлять фрагменты кода выше или ниже существующего кода, чтобы улучшить функциональность вашего сайта WordPress. Однако, прежде чем делать какие-либо настройки, стоит обратить внимание на несколько факторов:

• Если у вас есть более одного домена в вашем хостинг-плане, каждый домен будет иметь свой собственный файл . htaccess в своем каталоге public_html .
• Так как .htaccess — это файл конфигурации сервера, испорченный код может привести к ошибкам сервера.
• Настоятельно рекомендуется создать резервную копию. Таким образом, вы можете восстановить свой сайт WordPress до стабильного состояния всякий раз, когда происходит ошибка.

Как создать файл .htaccess

Есть несколько случаев, когда ваша установка WordPress не будет включать файл .htaccess по умолчанию. Кроме того, сломанный плагин может повредить этот файл конфигурации сервера и нарушить работу вашего сайта. В этих случаях вам нужно будет вручную создать новый файл в панели управления хостингом.

Пользователи hPanel найдут кнопку New File в верхнем правом углу страницы File Manager .

Если вы используете cPanel, выберите 9index.php$ — [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d Правило перезаписи. /index.php [Л] # END WordPress

После добавления кода нажмите Create , чтобы сохранить изменения. Имейте в виду, что код универсален для всех сайтов WordPress. Однако другие системы управления контентом (CMS) будут иметь другой код для файлов .htaccess .

Помимо описанного выше метода, вы также можете использовать текстовый редактор, например Блокнот , чтобы создать файл .htaccess , а затем загрузить его на свой веб-сервер с помощью FTP-клиента.

Заключение

Файл .htaccess представляет собой документ конфигурации для использования на веб-сайтах, работающих на веб-сервере Apache. Этот файл играет важную роль в обеспечении доступности вашего сайта. Он определяет, как сервер работает и функционирует.

Каждая установка WordPress будет включать файл .htaccess , к которому вы можете получить доступ через панель управления хостингом или FTP-клиент. Когда вы размещаете несколько сайтов, ваш веб-сервер также будет иметь несколько .htaccess файлов.

Полностью используя файлы .htaccess , вы можете выполнять различные изменения конфигурации для каждого каталога. Это включает в себя занесение в черный или белый список определенных IP-адресов, перенаправление трафика с HTTP на HTTPS и настройку пароля для каждого каталога.

В этом руководстве вы узнали, как найти файлы .htaccess на вашем сервере. Если файлы .htaccess по какой-либо причине отсутствуют, вам необходимо создать их вручную и загрузить на свой сервер. Просто создайте новый файл в каталоге public_html, пометьте его как 9.0067 .htaccess и введите код по умолчанию.

Попробуйте, и если у вас возникнут дополнительные вопросы, оставьте их в комментариях ниже.

Узнайте о других продвинутых методах WordPress

Все, что вам нужно знать. Руководство о базе данных WordPress
WordPress Руководство GDPR
Как добавить настраиваемые поля WordPress
Как настроить разбиение на страницы WordPress
Как создать шорткод в WordPress
Как оптимизировать изображения в WordPress
Как ускорить сайт WordPress

Домантас возглавляет группы по контенту и SEO, предлагая свежие идеи и нестандартные подходы. Обладая обширными знаниями в области SEO и маркетинга, он стремится распространить информацию о Hostinger во всех уголках мира. В свободное время Домантас любит оттачивать навыки веб-разработки и путешествовать по экзотическим местам.

Подробнее от Домантаса Г.

Что такое файл .htaccess в WordPress? Плюс Как это использовать

Контент Themeisle бесплатный. Когда вы покупаете по реферальным ссылкам на нашем сайте, мы получаем комиссию. Узнать больше

Вы можете многого добиться в WordPress, не выходя из панели управления. Однако, если вы хотите получить максимальную отдачу от своего веб-сайта, стоит узнать о том, что происходит за кулисами. Важным первым шагом в этом процессе является понимание того, как использовать файл .htaccess в WordPress.

Ваш сайт WordPress использует несколько важных «основных файлов» для выполнения своей работы, и файл .htaccess является одним из них, если ваш хост использует веб-сервер Apache. Хотя по умолчанию он выполняет только несколько задач, связанных с постоянными ссылками вашего сайта, вы можете добавить к нему фрагменты кода, чтобы настроить ряд действий на вашем сайте, таких как настройка перенаправлений или ограничение доступа к контенту.

В этом посте мы познакомим вас с файлом .htaccess и объясним, что это такое. Затем вы узнаете, как найти файл .htaccess в WordPress, а также некоторые полезные вещи, которые вы можете с ним сделать.

Что такое файл

.htaccess в WordPress (и как он работает)

Файл .htaccess — это файл конфигурации для веб-сервера Apache (который используется большинством хостов WordPress). Другими словами, он содержит правила, которые дают серверу вашего сайта различные инструкции. Почти каждый сайт WordPress имеет .htaccess , расположенный в «корневом» или центральном каталоге. Это скрытый файл (поэтому имя файла начинается с точки) и не имеет расширения.

По умолчанию файл .htaccess в WordPress выполняет одну основную задачу:

Управляет отображением постоянных ссылок вашего сайта. Если вы вносите изменения в структуру постоянных ссылок, файл .htaccess обновляется новыми инструкциями для сервера. На самом деле, иногда 9Файл 0617 .htaccess фактически не создается на вашем сайте до тех пор, пока вы в первый раз не настроите свои постоянные ссылки.

На многих сайтах это все, что делает файл .htaccess . Однако вы также можете использовать его для внесения различных изменений в функциональность вашего сайта. Например, вы можете настроить переадресацию 301 в файле .htaccess . Вы также можете использовать его для усиления безопасности, например, путем ограничения доступа к вашему сайту и другим основным файлам.

Кроме того, некоторые плагины будут добавлять собственные правила в ваш .htaccess , чтобы помочь работе плагина. Это особенно характерно для плагинов кэширования или безопасности.

Если это кажется немного абстрактным, не беспокойтесь. Вам не нужно разбираться во всех технических деталях, чтобы найти и внести изменения в файл .htaccess в WordPress.

Как найти и отредактировать файл

.htaccess в WordPress

Прежде чем мы двинемся дальше, нам нужно обсудить несколько мер безопасности. Важно понимать, что внесение изменений в файлы вашего сайта напрямую может быть рискованным. Если вы не будете осторожны, вы можете в конечном итоге нарушить факторы, контролирующие ключевые функции вашего сайта, или даже полностью вывести его из строя.

Есть несколько способов снизить эти риски:

• Сделайте резервную копию своего сайта перед редактированием любого из его файлов. Таким образом, вы можете быстро отменить непреднамеренные изменения и ошибки.
• Используйте промежуточный сайт, чтобы протестировать свои изменения, прежде чем выполнять их на рабочем сайте. На промежуточном сайте вы можете экспериментировать без каких-либо проблем.
• Загрузите файл .htaccess на локальный компьютер, прежде чем вносить какие-либо изменения. Таким образом, если вы специально сломаете что-то в своем .htaccess  , вам просто нужно загрузить исходную копию, чтобы решить проблему .

Чтобы получить доступ к файлу . htaccess в WordPress, вам необходимо установить прямое подключение к вашему веб-сайту через протокол передачи файлов (FTP). Вам понадобится FTP-клиент, например FileZilla, и некоторые учетные данные FTP с вашего веб-хостинга. Если вы не знаете, как это сделать, наше руководство для начинающих по FTP проведет вас через весь процесс.

Как только FileZilla подключится к вашему сайту, вы увидите следующее окно:

Посмотрите на верхний правый квадрант. Вы должны увидеть папку с именем домена вашего сайта — это корневой каталог. Выберите эту папку и проверьте список папок и файлов, расположенных непосредственно под ней:

Файл .htaccess должен быть указан здесь, обычно в качестве одной из первых записей. Чтобы открыть:

• Щелкните правой кнопкой мыши
• Выберите View/Edit , чтобы открыть файл в текстовом редакторе по умолчанию на вашем компьютере

Теперь вы можете вносить любые изменения в файл с помощью текстового редактора. Как только вы закончите:

• Сохранить файл
• Закрыть файл

Появится окно с вопросом, хотите ли вы загрузить новую, отредактированную версию файла .htaccess на сервер. Выберите Да , и ваши изменения вступят в силу немедленно.

Что делать, если вы не можете найти файл WordPress .htaccess?

Если вы не видите файл .htaccess, возможно, происходит несколько вещей:

1. Ваша программа FTP не показывает скрытые файлы.
2. Ваш веб-хост использует технологический стек, полностью основанный на Nginx, который не поддерживает файл .htaccess.
3. Вам необходимо вручную создать файл .htaccess, так как он по какой-то причине не существует (даже если ваш хост использует Apache или LiteSpeed).

Давайте рассмотрим различные проблемы и решения…

1. Ваша FTP-программа не показывает скрытые файлы

Некоторые FTP-клиенты по умолчанию не отображают скрытые файлы, включая файл . htaccess. Если этот параметр включен, вы не сможете увидеть файл .htaccess, даже если вы просматриваете правильную папку.

Чтобы узнать, не в этом ли проблема, убедитесь, что вы включили функцию вашего FTP-клиента для просмотра скрытых файлов.

В FileZilla это можно сделать, выбрав вкладку Сервер и включив Принудительное отображение скрытых файлов :

2. Ваш веб-хостинг использует стек, полностью состоящий из Nginx

Наличие или отсутствие на вашем сайте WordPress файла .htaccess зависит от используемого вами веб-сервера.

Файл .htaccess работает только с веб-сервером Apache и веб-сервером LiteSpeed. Тем не менее, большое количество хостов WordPress начали использовать веб-сервер Nginx, что делает , а не  поддерживает .htaccess.

Например, Kinsta, популярный управляемый хостинг WordPress, использует Nginx, поэтому на вашем сайте не будет файла .htaccess, если вы размещаете его на Kinsta.

Если ваш хост использует Nginx, вы не сможете использовать .htaccess и вместо этого вам придется полагаться на файл конфигурации Nginx. Как правило, хосты, использующие Nginx, предоставляют вам встроенные инструменты для работы с этим файлом.

Если вы не уверены, какой веб-сервер использует ваш хост, попробуйте обратиться в службу поддержки.

3. Вам необходимо вручную создать файл .htaccess

WordPress  должен автоматически создавать файл .htaccess, если ваш веб-сервер поддерживает его.

Однако всегда что-то может пойти не так, что может означать, что вместо этого вам нужно вручную создать файл WordPress .htaccess.

Это можно сделать двумя способами.

Во-первых, вы можете попробовать заставить WordPress повторно создать файл .htaccess, используя функцию постоянных ссылок:

• Перейдите в Настройки > Постоянные ссылки на панели управления WordPress.
• Нажмите кнопку  Сохранить изменения  (на самом деле вам не нужно выбирать другую структуру постоянной ссылки).

Если это не сработает, вы также можете вручную создать файл .htaccess самостоятельно, а затем загрузить его в WordPress.

С помощью редактора кода, например Sublime Text, или текстового редактора, например Блокнота, создайте файл с именем .htaccess и включите в него следующий код: 9index.php$ — [L] RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [Л]
# КОНЕЦ WordPress

Затем загрузите этот файл в корневую папку WordPress, которая содержит папки wp-admin и wp-content .

Что можно сделать с файлом

.htaccess в WordPress

Теперь, когда вы знаете, где найти .htaccess в WordPress и как его редактировать, вам может быть интересно, какие изменения вы действительно можете внести. Есть много вещей, которые вы можете сделать с этим файлом — слишком много, чтобы охватить один пост. Тем не менее, мы рассмотрим несколько примеров, чтобы вы начали.

Сначала поговорим о редиректах. Если вы перемещаете страницу или публикацию — или весь ваш веб-сайт — вам нужно будет автоматически направлять пользователей, которые посещают старый URL-адрес, на новое место. Для этого требуется настроить перенаправление 301, и это то, что вы можете сделать с помощью .htaccess файл в WordPress.

Чтобы перенаправить одну страницу, вы можете добавить эту строку в конец файла .htaccess :

Перенаправление 301 /oldpage.html http://www.yoursite.com/newpage.html

Замените /oldpage.html на старую постоянную ссылку страницы, а следующий URL — на новую ссылку на страницу. Вы можете добавить новую строку для каждой страницы, которую хотите перенаправить.

Вы также можете использовать подобные фрагменты для перенаправления всего вашего веб-сайта. Или вы можете использовать сниппет, чтобы перенаправить весь трафик на безопасную HTTPS-версию вашего сайта ( 9.*(error_log|wp-config\. php|php.ini|\.[hH][tT][aApP].*)$»>
Запретить заказ, разрешить
Запретить всем

Чтобы узнать больше об использовании файла .htaccess для повышения безопасности, вы можете ознакомиться с записью Кодекса WordPress по этому вопросу. Просто не забудьте сделать резервную копию своего сайта и использовать тестовую среду при попытке внесения любых изменений!

Заключение

Научиться работать напрямую с файлами вашего веб-сайта — важный шаг на пути к тому, чтобы стать экспертом WordPress. .htaccess — хорошее место для начала, так как это относительно простой файл, который, тем не менее, можно использовать для самых разных приложений.

Прежде чем вносить какие-либо изменения в файл .htaccess в WordPress, обязательно сделайте резервную копию своего сайта и на всякий случай используйте тестовую среду. Затем вы можете использовать FTP для доступа к своему сайту, найти файл .htaccess и отредактировать его. Как только вы узнаете, как это сделать, вы можете просто найти код, необходимый для добавления любой необходимой вам функциональности.

У вас есть вопросы о том, что вы можете делать с файлом .htaccess в WordPress? Дайте нам знать в комментариях ниже!

Бесплатная направляющая

5 основных советов по ускорению

вашего сайта WordPress

Сократите время загрузки даже на 50-80%

просто следуя простым советам.

Как использовать правила WordPress .htaccess для HTTPS

Follow @Cloudways

.htaccess — это важный основной файл WordPress, который часто используется для добавления, изменения и переопределения конфигураций на уровне сервера, параметров безопасности и производительности.

Во многих случаях вы можете решить многие операционные проблемы и проблемы на уровне сервера, просто обновив/изменив правила в файле WordPress .htaccess. Тем не менее, многие владельцы веб-сайтов не знают о полном потенциале . htaccess для WordPress и, таким образом, упускают возможность оптимизировать свой сервер (и веб-сайт) в полной мере.

Чтобы помочь всем WordPressers, я выделю несколько интересных вещей, которые вы можете сделать, используя файл .htaccess в WordPress.

Примечание: Упомянутые ниже правила и конфигурации работают с Apache 2.4

Правила WordPress .htaccess

• Что такое файл .htaccess?
• Файл htaccess WordPress по умолчанию
• Как редактировать файл WordPress .htaccess?
• WordPress .htaccess Редиректы
  • 301 (Постоянный) Перенаправление
  • 302 (Временный) Перенаправление
  • Принудительно указать URL-адрес www
  • Принудительно указать URL без www
  • Принудительно использовать HTTPS
  • Принудительно HTTP
  • Перенаправить домен в подкаталог
  • Перенаправить URL-адрес
• Советы по безопасности WordPress htaccess
  • Защитить . htaccess
  • Ограничение доступа к панели администратора WordPress
  • Защита важных файлов
  • Защитить wp-config.php
  • Защитить /wp-контент/
  • Защита файлов только для включения
  • Отключить выполнение PHP
  • Ограничение доступа к файлам
  • Защита от внедрения скриптов
  • Блокировка IP-адреса
  • Запретить доступ к определенным файлам
  • Отключить просмотр каталогов
• Правил WordPress htaccess для производительности
  • Включить кэш браузера
  • Включить сжатие Gzip
  • Контролировать/ограничивать хотлинкинг изображений
• htaccess для мультисайта WordPress (WPMU)
  • Htaccess по умолчанию для подпапок WPMU
  • Htaccess по умолчанию для поддоменов WPMU
• Последние мысли

Что такое файл .htaccess?

Файл .htaccess — это комната управления вашим веб-сайтом, которая содержит основные правила, регулирующие всю связь с вашим сервером веб-хостинга WordPress. В частности, вы можете использовать файл .htaccess в WordPress для таких задач, как контроль доступа к страницам веб-сайта, повышение безопасности и производительности. Его можно поместить в любую папку веб-сайта, чтобы изменить поведение этой папки.

Управляемый хостинг WordPress от 10 долларов в месяц

Платите только за ресурсы, которые вы используете в рамках тарифных планов с оплатой по мере использования, и получайте превосходные услуги облачного хостинга с дополнительными преимуществами. Никаких скрытых платежей.

НАЧНИТЕ БЕСПЛАТНУЮ ПРОБНУЮ ПРОБНУЮ ВЕРСИЮ.

Меры предосторожности

Одна неуместная точка (.) потенциально может вывести ваш веб-сайт из строя. Таким образом, прежде чем вносить какие-либо изменения в файл .htaccess, сначала создайте резервную копию файла в удаленном месте. Если что-то пойдет не так или вам понадобится помощь, обратитесь к своему провайдеру веб-хостинга.

Файл WordPress по умолчанию . htaccess

Файл .htaccess поставляется с каждой установкой WordPress и обычно находится в корневом каталоге. Учитывая важность файла, он обычно скрыт (у него нет расширения файла) и не отображается в списках файлов и папок, в основном потому, что файловый менеджер скрывает его из соображений безопасности.

В редких случаях возможно отсутствие файла .htaccess в корневой папке. Если это ваш случай, вы можете создать файл .htaccess в WordPress с помощью Блокнота (или любого текстового редактора по вашему выбору) и сохранить его с именем «9».0067 .htaccess ». Установите « Сохранить как тип » на Все файлы и загрузите его в корневой каталог вашей установки WordPress.

ВАЖНО: Убедитесь, что имя файла НЕ «htaccess» — его htaccess с точкой (.) в начале.

Вот как выглядит файл .htaccess по умолчанию для WordPress:

 # BEGIN WordPress
 index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
Правило перезаписи. /index.php[L

# КОНЕЦ WordPress 

Файл .htaccess по умолчанию для WordPress

Другой способ создать файл .htaccess для WordPress — посетить Панель управления WordPress -> Настройки -> Постоянные ссылки и нажать « Сохранить изменения ».

Это создаст файл .htaccess по умолчанию для WordPress внутри корневого каталога.

Файл WordPress по умолчанию .htaccess обрабатывает только постоянные ссылки вашего веб-сайта. Однако это можно изменить и добавить дополнительные правила для управления тем, как веб-сервер Apache обрабатывает запросы, связанные с операциями.

Как редактировать файл .htaccess в WordPress?

Чтобы отредактировать файл .htaccess в WordPress, перейдите в корневой каталог. Это можно сделать с помощью файлового менеджера, предоставленного вашим хостинг-провайдером WordPress, или с помощью FTP-клиента, такого как FileZilla.

Войдите в свою учетную запись веб-хостинга, перейдите в папку « public_html » и найдите файл .htaccess в программе установки WordPress.

Щелкните правой кнопкой мыши и выберите « View/Edit », чтобы открыть его в предпочитаемом вами текстовом редакторе.

Внесите необходимые изменения и сохраните файл.

Другой способ редактирования файла WordPress .htaccess — создать его копию в локальной системе. Когда вы закончите, замените живую версию с помощью FTP или файлового менеджера.

WordPress htaccess Redirects

Как обсуждалось выше, файл .htaccess в WordPress можно использовать для управления переадресацией веб-сайта. Вот несколько часто используемых правил, которые помогут вам настроить и контролировать перенаправления на ваших веб-сайтах WordPress.

301 (Постоянный) Перенаправление

Перенаправление 301 сообщает поисковым системам, что URL был навсегда перемещен в другое место. Это не ограничивается только URL-адресами, и вы можете перенаправить папку, страницу или даже весь веб-сайт. Следующий фрагмент перенаправит oldpage.html на newpage.html:

 Перенаправление 301 /oldpage.html http://www.yourwebsite.com/newpage.html 

302 (временное) Перенаправление

В отличие от 301, 302 Redirect сообщает поисковым системам, что это перенаправление временное. Это отличный способ замедлить (или даже предотвратить) перетасовку поисковой выдачи. Добавьте следующую строку в файл .htaccess: 9/имя-подкаталога/ RewriteRule (.*) /subdir/$1

Перенаправление URL-адреса

Если у вас есть два домена, обслуживающих один и тот же веб-сайт, указанное ниже правило .htaccess перенаправит один домен на другой.

 Перенаправление 301 / http://www.mynewwebsite.com/ 

Советы по безопасности WordPress htaccess

Будучи платформой с открытым исходным кодом, сайты WordPress остаются уязвимыми для нарушений безопасности. Поэтому пользователи должны предпринимать упреждающие действия, например, выбирать надежный веб-хост, такой как Cloudways, который уделяет первостепенное внимание безопасности своего веб-сайта и остается защищенным от вредоносного трафика и DDoS-атак.

Вы также можете защитить свои каталоги и файлы WordPress с помощью файла .htaccess. Следуйте следующим правилам, чтобы защитить свои веб-сайты WordPress.

Защита .htaccess

Файл .htaccess потенциально может контролировать весь веб-сайт. Учитывая это, крайне важно, чтобы .htaccess был защищен от неавторизованных пользователей. Используя следующий фрагмент, вы можете ограничить доступ для всех неавторизованных пользователей.

Просто скопируйте и вставьте фрагмент в файл .htaccess. 9.*\.([Чч][Тт][Аа])»> порядок разрешить, запретить отрицать от всех удовлетворить всех

Ограничить доступ к панели администратора WordPress

Представьте себе (ужасный) сценарий, когда кто-то получает доступ к вашей панели администратора WordPress? Такая атака может повредить ваш сайт.

Чтобы предотвратить это, вы должны ограничить доступ к панели администратора WordPress только для определенных IP-адресов.

Для этого создайте еще один файл .htaccess и вставьте в него следующий фрагмент. Затем загрузите его в папку «www.yourwebsite.com/wp-admin/».

 # Ограничение логинов и админов по IP
<Ограничение ПОЛУЧИТЬ ПОСЛЕ ПОЛОЖЕНИЯ>
запретить заказ, разрешить
отрицать от всех
разрешить от xx.xx.xx.xx
 

Теперь, если кто-то, кто не находится в списке утвержденных IP, он не сможет войти на ваш сайт. Вместо этого будет отображаться следующая ошибка:

Примечание: Не забудьте заменить «xx.xx.xx.xx» вашим разрешенным IP-адресом.

Вы можете легко узнать свой IP-адрес, посетив раздел «Какой у меня IP-адрес». Если у вас более одного модератора, вы также можете добавить несколько IP-адресов, используя следующий вариант: 9.*(error_log|wp-config\.php|php.ini|\. [hH][tT][aAppP].*)$»> Отклонить заказ, разрешить Запретить от всех

Защитить wp-config.php

В WordPress файл wp-config.php, в котором хранятся хостинг, база данных и другие важные учетные данные. Само собой разумеется, что этот файл должен быть защищен от любого несанкционированного доступа.

Для этого просто скопируйте и вставьте следующие строки в файл .htaccess.

 <файлы wp-config.php>
порядок разрешить, запретить
отрицать от всех
 

Protect /wp-content/

wp-content — это папка, содержащая все важные файлы ваших тем, плагинов, мультимедиа и кешированные файлы. Вот почему этот каталог является основной целью для хакеров и спамеров. Чтобы защитить эту папку от несанкционированного доступа, создайте отдельный файл .htaccess в папке wp-content . Затем скопируйте и вставьте в файл следующий фрагмент:

 Отказать в заказе, разрешить
Запретить от всех
<Файлы ~ ". (xml|css|jpe?g|png|gif|js)$">
Разрешить от всех
 

С помощью приведенного выше правила пользователи смогут загружать файлы только с разрешенными расширениями (XML, CSS, JPG, JPEG, PNG, GIF и JavaScript). Все другие типы файлов будут отклонены.

Защита файлов только для включения

Некоторые области установки WordPress никогда не должны быть доступны обычным пользователям. Всегда рекомендуется блокировать любой доступ к этим файлам. Вы можете настроить ограничения доступа, добавив фрагмент в файл .htaccess.

9wp-includes/theme-compat/ — [F,L]

Отключить выполнение PHP

Ограничение выполнения кода PHP для всех или выбранных каталогов веб-сайта WordPress является важной практикой обеспечения безопасности веб-сайта WordPress. Создайте файл htaccess в папке, где вы не хотите запускать PHP-скрипты, и добавьте в него приведенный ниже фрагмент.

 <Файлы *. php>
отрицать от всех
 

Некоторые папки WordPress, такие как /wp-includes/ и /wp-content/uploads/, по умолчанию доступны для записи. Этот тип разрешения позволяет пользователям загружать мультимедиа или файлы разных типов. Всегда рекомендуется отключать выполнение PHP в этих каталогах.

Ограничение доступа к файлам

Ограничение доступа к wp-admin является важным требованием, особенно когда несколько членов команды участвуют в управлении и обновлении веб-сайта.

На практике это означает, что пользователи не могут получить доступ к конфиденциальным файлам, таким как плагины, темы и папка ресурсов.

.htaccess — отличный способ защитить прямой доступ к редактированию PHP-файлов плагинов и тем WordPress, что затрудняет внедрение вредоносного кода хакерами. Для этого достаточно добавить в файл следующие строки: 9/wp-content/themes/directory/to/exclude/ RewriteRule wp-content/themes/(.*\.php)$ — [R=404,L]

Защита от внедрения скриптов

Внедрение скриптов — печально известная техника, при которой злоумышленник «внедряет» вредоносный фрагмент кода в коде веб-сайта для извлечения данных или захвата веб-сайта. Добавление следующего фрагмента в файл WordPress .htaccess может защитить ваш сайт от таких атак.

 Опции +FollowSymLinks
RewriteEngine включен
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9(.*)$ index.php [F,L] 

Блокировать IP-адрес

Если кто-то злоупотребляет вашим сайтом, постоянно рассылает спам или предпринимает попытки взлома, его IP-адрес виден в панели администратора WordPress. Чтобы заблокировать IP, просто используйте файл .htaccess для управления доступом к вашему сайту. Просто скопируйте и вставьте следующий фрагмент в файл .htaccess вашего WordPress, и эта конкретная проблема исчезнет. Не забудьте заменить образец IP на IP-адрес спамера.

 <Ограничение ПОЛУЧИТЬ ОТПРАВКУ>
порядок разрешить, запретить
отклонить от 123.456.78.9разрешить от всех
 

После размещения фрагмента спамер увидит на вашем сайте следующее сообщение об ошибке:

Запретить доступ к определенным файлам

Иногда вам нужно ограничить доступ к определенным файлам. Используйте следующее правило .htaccess, чтобы заблокировать доступ к отдельным файлам.

 <файлы ваше-имя-файла.txt>
порядок разрешить, запретить
отрицать от всех
 

Отключить просмотр каталогов

Несанкционированный доступ к файлам и папкам веб-сайта представляет собой серьезную угрозу безопасности, которая потенциально может вывести из строя весь сайт.

Добавив следующий фрагмент в ваш файл WordPress .htaccess, доступ к каталогам веб-сайта можно контролировать/отключать для всех пользователей.

 # отключить просмотр каталогов
Параметры Все -Индексы 

Правила WordPress htaccess для производительности

Файл .htaccess в WordPress также можно использовать для повышения производительности вашего сайта. Просто скопируйте и вставьте соответствующие фрагменты в файл .htaccess.

Включить кэш браузера

Кэш браузера — это временное хранилище в вашей системе для файлов, загруженных вашим веб-браузером, для правильного отображения веб-сайтов. Эти файлы могут включать HTML, CSS, JavaScript, а также изображения и другой мультимедийный контент.

В файле WordPress .htaccess вы можете установить правила того, как долго определенные файлы должны кэшироваться. Следующие ограничения срока действия установлены на основе популярного использования. Чтобы включить кеширование браузера, добавьте следующий фрагмент в файл htaccess для WordPress.

 
        ExpiresActive on
        ExpiresDefault "доступ плюс 1 месяц"

    # CSS
        ExpiresByType text/css "доступ плюс 1 год"

    # Обмен данными
        Приложение ExpiresByType/json "доступ плюс 0 секунд"
        Приложение ExpiresByType/xml "доступ плюс 0 секунд"
        ExpiresByType text/xml "доступ плюс 0 секунд"

    # Фавикон (нельзя переименовать!)
        ExpiresByType image/x-icon "Доступ плюс 1 неделя"

    # Компоненты HTML (HTC)
        ExpiresByType text/x-component "доступ плюс 1 месяц"

    # HTML
        ExpiresByType text/html "доступ плюс 0 секунд"

    # JavaScript
        Приложение ExpiresByType/javascript "доступ плюс 1 год"

    # Файлы манифеста
        Приложение ExpiresByType/x-web-app-manifest+json «доступ плюс 0 секунд»
        ExpiresByType text/cache-manifest "доступ плюс 0 секунд"

    # СМИ
        ExpiresByType audio/ogg "доступ плюс 1 месяц"
        ExpiresByType image/gif "Доступ плюс 1 месяц"
        ExpiresByType image/jpeg "Доступ плюс 1 месяц"
        ExpiresByType image/png "доступ плюс 1 месяц"
        ExpiresByType video/mp4 "Доступ плюс 1 месяц"
        ExpiresByType video/ogg "Доступ плюс 1 месяц"
        ExpiresByType video/webm "Доступ плюс 1 месяц"

    # веб-каналы
        Приложение ExpiresByType/atom+xml "доступ плюс 1 час"
        ExpiresByType application/rss+xml "доступ плюс 1 час"

    # Веб-шрифты
        ExpiresByType application/font-woff2 "доступ плюс 1 месяц"
        ExpiresByType application/font-woff "доступ плюс 1 месяц"
        ExpiresByType application/vnd. ms-fontobject "доступ плюс 1 месяц"
        ExpiresByType application/x-font-ttf "доступ плюс 1 месяц"
        ExpiresByType шрифт/opentype "доступ плюс 1 месяц"
        ExpiresByType image/svg+xml "доступ плюс 1 месяц"

 

Подробнее: Узнайте, как использовать кеш браузера в WordPress для оптимизации времени загрузки страницы общий размер файла. В результате Gzip часто используется в качестве важного инструмента оптимизации скорости загрузки страниц веб-сайта.

Сжатие Gzip часто используется на уровне сервера, и многие хостинг-провайдеры, такие как Cloudways, включают его по умолчанию. Однако, если по какой-либо причине htaccess не работает, попробуйте добавить следующий фрагмент в файл WordPress .htaccess или обратитесь к своему провайдеру веб-хостинга.

 

# Сжимайте HTML, CSS, JavaScript, текст, XML и шрифты
Приложение AddOutputFilterByType DEFLATE/javascript
Приложение AddOutputFilterByType DEFLATE/rss+xml
Приложение AddOutputFilterByType DEFLATE/vnd. ([_0-9(.*\.php)$ $1 [L]
Правило перезаписи. index.php [L] 

Заключительные мысли!

Когда дело доходит до конфигурации сервера, файл WordPress .htaccess является одним из самых важных файлов на вашем сервере. Он часто используется для настройки вашего веб-сервера и защиты различных областей вашего сайта. Если вы считаете, что я упустил важный вариант использования .htaccess, оставьте комментарий ниже, и я обновлю этот список.

Часто задаваемые вопросы

В. Что такое файл .htaccess в WordPress?

Файл .htaccess в WordPress — это файл конфигурации сервера, который можно использовать для настройки перенаправлений, безопасности и оптимизации производительности.

В. Как я могу редактировать файл .htaccess в WordPress?

Файл WordPress .htaccess можно редактировать с помощью файлового менеджера веб-хостинга или любого текстового редактора. Используйте любой FTP-клиент, например FileZilla, и получите доступ к корневому каталогу. Откройте файл .htaccess в текстовом редакторе, чтобы изменить и обновить его.

В. Создает ли WordPress файл htaccess?

Да, по умолчанию в WordPress есть как минимум один файл .htaccess. Если его нет в корневом каталоге, перейдите на панель управления WordPress -> Настройки -> Постоянные ссылки, и нажмите « Сохранить изменения », чтобы создать новый файл .htaccess.

Поделитесь своим мнением в разделе комментариев. КОММЕНТАРИЙ СЕЙЧАС

Поделиться этой статьей

Мустаасам Салим

Мустаасам — менеджер сообщества WordPress в Cloudways — управляемой платформе хостинга WordPress, где он активно работает и любит делиться своими знаниями с сообществом WordPress. Когда он не работает, вы можете найти его играющим в сквош со своими друзьями, защищающимся в футболе и слушающим музыку. Вы можете написать ему по адресу [email protected]

Подключайтесь по телефону: Твиттер Форум сообщества

Полное руководство по файлу WordPress .

htaccess

В этом руководстве мы познакомим вас с файлом .htaccess, объясним, как он работает, и обсудим, как его редактировать. Мы также представим несколько полезных настроек безопасности, которые вы можете легко реализовать самостоятельно.

Обеспечение безопасности вашего сайта должно быть главным приоритетом для каждого администратора. WordPress — это безопасная платформа из коробки, но это не значит, что она неуязвима для атак. К счастью, даже если вы не являетесь экспертом по безопасности, вы можете использовать файл с именем .htaccess , чтобы ужесточить политики безопасности вашего сайта.

.htaccess — это файл конфигурации для веб-сервера Apache, который обслуживает множество сайтов WordPress. Это мощный инструмент, который поможет вам защитить ваш сайт и повысить его производительность за счет небольших изменений кода. Редактируя этот единственный файл, вы можете банить пользователей, создавать перенаправления, предотвращать атаки и даже запрещать доступ к определенным частям вашего сайта.

Знакомство с файлом

.htaccess

Имя файла .htaccess является сокращением от «Доступ к гипертексту». Это файл конфигурации, который определяет, как серверы на основе Apache взаимодействуют с вашим сайтом. Проще говоря, .htaccess управляет доступом к файлам в каталоге. Вы можете думать об этом как о охраннике вашего сайта, поскольку он решает, кого впускать и что им разрешено делать.

По умолчанию .htaccess обычно включается в вашу установку WordPress. Основная цель файла .htaccess — повысить безопасность и производительность, а также позволить вам переопределить настройки вашего веб-сервера.

Скорее всего, вы найдете файл .htaccess в корневом каталоге вашего сайта. Поскольку .htaccess применяется как к своему собственному каталогу, так и к любым подкаталогам в этой основной папке, он влияет на весь ваш сайт WordPress. Также стоит отметить, что .htaccess файл не имеет расширения. Точка в начале просто для того, чтобы убедиться, что файл остается скрытым.

Как редактировать файл WordPress .htaccess

Редактировать файл .htaccess на практике так же просто, как редактировать любой другой текстовый файл. Однако, поскольку это основной файл, внесение в него изменений может привести к непредвиденным последствиям. По этой причине крайне важно сделать резервную копию своего сайта перед началом работы, независимо от того, являетесь ли вы новичком или опытным разработчиком.

Когда вы будете готовы отредактировать файл .htaccess , вы можете получить к нему доступ с помощью SFTP или SSH. Вы найдете его в корневом каталоге вашего сайта.

Откройте файл с помощью предпочитаемого вами текстового редактора, например TextEdit или Notepad. Если файл ранее не редактировался, вы увидите следующую информацию по умолчанию.

Важно ничего не добавлять и не изменять между тегами # BEGIN и # END. Вместо этого весь новый код следует добавлять после этого блока.

На этом этапе все, что вам нужно сделать, это добавить свой код и сохранить файл. Когда вы добавляете несколько новых функций, лучше сохранить и протестировать каждую из них отдельно. В случае возникновения ошибки это значительно облегчит поиск и устранение неполадок, вызвавших проблему.

Хотя почти все установки WordPress уже содержат файл .htaccess , в некоторых случаях вам может потребоваться его создать. Вы можете сделать это с помощью текстового редактора по вашему выбору, если вы сохраните его с правильным именем файла: .htaccess без расширения. Также важно правильно настроить параметры доступа к файлу. Затем вы можете загрузить его в корневой каталог вашего сайта.

9 вещей, которые вы можете сделать с помощью WordPress

.htaccess Файл

Теперь, когда вы знакомы с файлом .htaccess , пришло время рассмотреть его поближе. Мы собираемся представить несколько способов, которыми вы можете легко повысить безопасность и производительность вашего сайта, отредактировав этот файл. Просто используйте фрагменты кода, которые мы предоставили ниже, и не забудьте создать резервную копию перед началом работы!

1. Запретить доступ к частям вашего сайта

Одна из самых полезных вещей, которые вы можете сделать с .htaccess , — это запретить доступ к определенным страницам и файлам. Есть несколько файлов, которые вы должны скрыть таким образом из соображений безопасности, например, ваш файл wp-config.php .

Вы можете сделать это, добавив следующий код, который вызовет ошибку 404, если кто-либо попытается просмотреть файл:

<Файлы ~ "/wp-config.php"> Заказать Разрешить, Запретить Запретить от всех

В тех случаях, когда конфиденциальные данные должны быть скрыты, может быть полезно ограничить доступ к этому каталогу. Поскольку многие сайты WordPress используют одинаковую структуру папок, это может сделать ваш сайт уязвимым. Если вы добавите следующую строку, она отключит функцию списка каталогов по умолчанию:

Параметры - Индексы

Это предотвратит просмотр вашей структуры папок пользователями и роботами. Если кто-то попытается получить к нему доступ, вместо этого ему будет показана страница с ошибкой 403.

2. URL-адреса перенаправления и перезаписи

Создание перенаправлений позволяет автоматически перенаправлять пользователей на определенную страницу. Это может быть особенно полезно, если страница была перемещена или удалена, и вы хотите, чтобы пользователи, пытающиеся получить доступ к этой странице, были перенаправлены в другое место. Вы можете сделать это с помощью плагина, такого как Redirection, но также можно сделать это, отредактировав .htaccess файл.

Чтобы создать перенаправление, используйте следующий код:

Перенаправление /oldfile.html http://www.example.com/newfile.html

Вероятно, вы видите, что здесь происходит. Первая часть — это путь к старому файлу, а вторая — URL-адрес, на который вы хотите перенаправлять посетителей.

3. Обеспечьте безопасную загрузку сайта с помощью HTTPS

Если вы добавили в свой домен SSL-сертификат, например бесплатный сертификат Let’s Encrypt от DreamHost, рекомендуется принудительно загрузить сайт с помощью HTTPS. Это обеспечит безопасность вашего сайта как для вас, так и для ваших посетителей. 9(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Теперь ваш сайт будет автоматически перенаправлять любые HTTP-запросы и направлять их вместо HTTPS. Например, если пользователь попытается получить доступ к http://www.example.com , он будет автоматически перенаправлен на https://www.example.com .

4. Изменение настроек кэширования

Кэширование браузера — это процесс, при котором определенные файлы веб-сайта временно сохраняются на локальном устройстве посетителя, чтобы страницы загружались быстрее. Использование .htaccess , вы можете изменить время, в течение которого ваши файлы хранятся в кеше браузера, пока они не будут обновлены новыми версиями.

Есть несколько разных способов сделать это, но в этом примере мы будем использовать функцию с именем mod_headers. Следующий код изменит максимальное время кэширования для всех файлов jpg, jpeg, png, и gif :

c> Заголовок установил Cache-Control "max-age=25

г., публика"

Мы установили максимальное время на 25

секунд, что соответствует 30 дням. Вы можете изменить эту сумму, если хотите, а также расширения файлов, которые будут затронуты. Если вы хотите добавить разные настройки для разных расширений, просто добавьте дополнительные функции mod_header .

5. Предотвращение некоторых атак с внедрением скриптов

Атаки с внедрением скриптов (или «внедрение кода») — это попытки изменить способ работы сайта или приложения путем добавления недопустимого кода. Например, кто-то может добавить сценарий в текстовое поле на вашем сайте, а затем отправить его, что может привести к тому, что ваш сайт фактически запустит сценарий. 9(.*)$ index.php [F,L]

Теперь ваш сайт должен уметь обнаруживать и останавливать попытки внедрения скриптов и перенаправлять преступника на вашу страницу index.php .

Однако важно отметить, что этот пример не защитит от всех типов инъекций. Хотя этот конкретный код, безусловно, может быть полезен, вы не должны использовать его в качестве единственной защиты от этого типа атак.

6. Остановить атаки с перечислением имен пользователей

9/wp-админ [NC] RewriteCond %{QUERY_STRING} автор=\d Правило перезаписи .* — [R=403,L]

Это предотвратит некоторые попытки перечисления имен пользователей и вместо этого вызовет страницу с ошибкой 403. Имейте в виду, что это не помешает всем перечислениям, и вам следует тщательно проверить свою безопасность. Мы также рекомендуем вам дополнительно укрепить свою страницу входа, внедрив многофакторную аутентификацию.

7. Предотвратить горячее связывание изображений

Горячее связывание изображений является распространенной проблемой и возникает, когда изображения с вашего сервера отображаются на другом сайте. Вы можете остановить это, добавив следующий код в 9https://(www\.)?example.com/.*$ [NC] Правило перезаписи \.(png|gif|jpg|jpeg)$ https://www.example.com/wp-content/uploads/hotlink. gif [R,L]

Замените example.com своим собственным доменом, и этот код предотвратит загрузку изображений на всех других сайтах. Вместо этого будет загружено изображение, указанное вами в последней строке. Вы можете использовать это для отправки альтернативного изображения на сайты, которые пытаются отображать изображения с вашего сервера.

Имейте в виду, что это может вызвать проблемы в тех случаях, когда вы хотите, чтобы изображения отображались извне, например, в поисковых системах. Вы также можете рассмотреть возможность ссылки на сценарий вместо статического изображения, а затем ответить изображением с водяным знаком или изображением, содержащим рекламу.

8. Контролируйте расширения файлов

С помощью .htaccess вы можете контролировать, как файлы с различными расширениями загружаются вашим сайтом. С помощью этой функции вы можете многое сделать, например, запускать файлы как PHP, но пока мы рассмотрим простой пример.

Следующий код удалит расширение файла из файлов PHP при их загрузке. Вы можете использовать это с любым типом файла, если вы замените все экземпляры php на желаемое расширение: 9([a-z]+)$ /$1.php [L]

Это приведет к загрузке всех файлов PHP без отображения их расширения в URL-адресе. Например, файл index.php будет выглядеть просто как index .

9. Принудительная загрузка файлов

Наконец, когда файл запрашивается на вашем сайте, по умолчанию он отображается в браузере. Например, если вы размещаете аудиофайл, он начнет воспроизводиться в браузере, а не сохраняться на компьютере посетителя.

Вы можете изменить это, заставив сайт вместо этого загружать файл. Это можно сделать с помощью следующего кода:

. Приложение AddType/октет-поток mp3

В этом примере мы использовали файлов mp3 , но вы можете использовать ту же функцию для txt, mov, или любого другого соответствующего расширения.

Заключение

Файл .htaccess обеспечивает большую гибкость для управления поведением вашего веб-сервера. Вы также можете использовать его, чтобы повысить производительность вашего сайта и лучше контролировать, кто и к какой информации имеет доступ.

Полное руководство по редактированию .htaccess для безопасности WordPress

Файл .htaccess в вашей установке WordPress — это мощный файл конфигурации, который вы можете использовать для переопределения настроек вашего веб-сервера для повышения безопасности и производительности вашего сайта.

Сокращенно от «Hypertext Access», вы можете редактировать файл и с помощью правильных команд включать/отключать дополнительные функции и функции для защиты вашего сайта от спамеров, хакеров и других угроз.

Некоторые из этих функций включают базовые перенаправления, блокировку внешнего доступа к определенным файлам или более продвинутые функции, такие как защита содержимого паролем или предотвращение хотлинкинга изображений.

Итак, давайте подробно рассмотрим, как можно манипулировать файлом .htaccess для повышения безопасности.

В этом посте мы рассмотрим следующее:

• Где находится файл .htaccess ?
• Резервное копирование вашего сайта WordPress
• Внесение изменений в файлы .htaccess
  • Создание файла .htaccess
  • Где добавить ваши изменения
  • Редактирование файла .htaccess
• .htaccess Советы по безопасности
  1. Защита важных файлов
  2. Ограничить доступ администратору
  3. Запретить просмотр каталогов
  4. Ограничить доступ к файлам PHP
  5. Ограничить выполнение файла PHP
  6. Защитите свой сайт от внедрения скриптов
  7. Защита каталога wp-includes
  8. Предотвратить перечисление имени пользователя
  9. Требовать SSL
  10. Предотвратить горячее связывание изображений

При чем тут

.htaccess  ?

Файл .htaccess  находится в корневом каталоге вашего сайта (или в многосайтовой сети). Точка перед именем файла означает, что это скрытый файл, и вы не сможете увидеть его при просмотре файлов, если не отобразите все скрытые файлы на своем компьютере.

В WordPress этот файл используется для создания красивых постоянных ссылок и автоматически создается при включении этой опции. Вы можете сделать гораздо больше. htaccess , например, добавление переадресации 301 или включение правил для блокировки неавторизованных посетителей.

Если вы уже хорошо разбираетесь в файле .htaccess  и готовы внести некоторые изменения, перейдите к списку (не забудьте сначала сделать резервную копию своего сайта!)

Мне жаль дурака, который не делает резервную копию

. htaccess  с файлом может быть сложно работать, потому что одна синтаксическая ошибка может привести к поломке всего вашего сайта. При этом, если вы готовы, такой худший сценарий не должен означать смертный приговор для вашего сайта. На самом деле далеко не так.

Резервное копирование вашего сайта перед внесением каких-либо изменений может действовать как отказоустойчивость, поэтому вы можете быстро восстановить свои файлы и продолжить свой путь, как будто ничего не произошло. Во всяком случае, достаточно близко к этому.

Самое меньшее, что вам нужно сделать, это загрузить копию файла .htaccess  на свой компьютер, чтобы вы могли заменить его в случае ошибки. Вы можете загрузить копию файла .htaccess  в cPanel, выбрав Файлы > Диспетчер файлов после входа в систему. Если появится всплывающее окно, выберите Показать скрытые файлы Установите флажок, затем нажмите «Перейти».

Кроме того, вы можете нажать Настройки в правом верхнем углу Диспетчера файлов и установить флажок Показать скрытые файлы , затем нажать кнопку Сохранить .

Файл .htaccess по умолчанию скрыт.

Теперь вы сможете перейти в корень своего сайта и найти файл . htaccess  файл. Нажмите на него один раз в списке, затем нажмите кнопку Download в навигации. Сохраните его на свой компьютер. Если вам нужно восстановить его, вы можете нажать Кнопка Загрузить вверху страницы.

Установите флажок Перезаписать существующие файлы , затем нажмите кнопку Выбрать файл , чтобы найти и открыть резервную копию файла .htaccess .

Вы можете перезаписать существующие файлы в cPanel, чтобы восстановить файл .htaccess .

После того, как вы открыли файл, он должен быть загружен, и вы можете щелкнуть ссылку Вернуться внизу страницы, чтобы вернуться в файловый менеджер . Как только это будет сделано, это означает, что ваш файл .htaccess был восстановлен.

Примечание. Если вы размещаете с помощью WPMU DEV, вы можете выполнить ту же операцию, что и выше, используя функцию «Диспетчер файлов» внутри вашего концентратора.

Для получения подробной информации о том, как создать полную резервную копию вашего сайта, ознакомьтесь с некоторыми из наших других сообщений ниже:

• Как сделать резервную копию вашего веб-сайта WordPress (и мультисайта) с помощью моментального снимка
• 4 проверенных и проверенных решения для многосайтового резервного копирования WordPress
• 11 лучших бесплатных плагинов резервного копирования для защиты вашего сайта WordPress

Прохождение изменений

Создание файла

. htaccess

В зависимости от вашей установки у вас может не быть файла .htaccess , поэтому, прежде чем вы решите его отредактировать, вам может потребоваться его создать. Вы можете создать его в своем любимом текстовом редакторе или сделать это прямо в cPanel.

Создайте и загрузите новый файл и назовите его . htaccess или нажмите кнопку Кнопка Файл в левом верхнем углу Файлового менеджера в cPanel для создания пустого файла с именем .htaccess .

Если ваш сервер не позволяет вам это сделать, вместо этого создайте файл с именем htaccess.txt , а затем переименуйте файл в .htaccess , как только он будет загружен на ваш сайт.

Поскольку все установки WordPress имеют красивые постоянные ссылки, установленные по умолчанию, начиная с версии 4.2, лучше не ошибиться и включить код, который по умолчанию для .htaccess в новых версиях WordPress вместо создания пустого файла.

Вот код по умолчанию, который вы должны включить для одиночных установки WordPress:

Загрузка GIST 7C0C55104FAE10D3536D0408A4EEEA37

для MultiSite Setworks, установленных с Sub-Riectories с использованием версии 3,5 или выше, используйте следующий код вместо

50505. ваш Мультисайт установлен с поддоменами, и вы используете версию 3.5 или выше, используйте приведенный ниже код вместо приведенных выше параметров:

Loading gist 811e3a2d828471aea73ae402cf0e8590

Для любых других версий WordPress ознакомьтесь со страницей .htaccess Кодекса WordPress для получения подробной информации о коде, который вы должны включить в свой файл.

При создании нового файла . htaccess , важно установить для файла разрешение 644, чтобы защитить его от потенциальных атак. Подробнее о том, как это сделать, читайте в одной из других наших публикаций Понимание прав доступа к файлам и их использование для защиты вашего сайта.

Куда добавлять изменения

Когда вы редактируете файл, важно помнить, что строки, начинающиеся с хэштега, являются комментариями и не включаются в правило . htaccess . Когда вы добавляете правила, очень важно, чтобы вы включали их выше или ниже правила WordPress по умолчанию, описанного выше.

Вы не должны ничего добавлять или редактировать между строками # BEGIN WordPress и # END WordPress . Для многосайтовых сетей применяется тот же принцип, хотя в начале и в конце нет комментариев, как для одиночных установок.

Если вы внесете какие-либо изменения, вполне вероятно, что они будут перезаписаны, поэтому лучше просто держаться подальше и позволить WordPress делать свое дело.

Вообще говоря, добавление правил под строками WordPress по умолчанию делает вещи более организованными и добавляет немного ясности в отношении того, что представляют собой ваши изменения, а не код WordPress. Также может быть полезно добавить свои собственные комментарии к любым дополнениям, которые вы вносите, чтобы лучше упорядочить файл .htaccess .

В конце концов, вам решать, что лучше всего подходит для ваших нужд.

Существует также удобный конвертер .htaccess в Nginx, который вы можете использовать для настройки советов, приведенных далее в статье, для использования с — как вы уже догадались — Nginx.

Редактирование файла

.htaccess

Существует множество способов редактирования файла .htaccess , и один из них — сделать это непосредственно в cPanel. Большинство людей считают, что это самый простой метод, но я не буду мешать вам использовать метод, который вам больше всего нравится.

Независимо от того, какой метод вы выберете, может быть полезно отметить, что обновление вашего сайта после сохранения изменения в файле позволит вам проверить, не нарушают ли ваши изменения ваш сайт. Если они это сделают, вы можете немедленно восстановить файл и повторить попытку. Если все работает как надо, то все готово, и вы можете продолжать вносить изменения.

После входа в cPanel перейдите к Файлы > Диспетчер файлов и выберите отображение скрытых файлов, как описано ранее. Перейдите в корень вашего сайта и щелкните один раз файл .htaccess в списке. Щелкните Изменить в области навигации в верхней части страницы, чтобы внести изменения.

Не забудьте нажать Сохранить перед выходом, чтобы ваши изменения не потерялись.

Вы также можете редактировать файлы с помощью FTP. Подробную информацию о том, как это сделать, можно найти в статье «Как правильно использовать FTP с WordPress».

Вы также можете использовать SSH для внесения изменений. Подробную информацию о том, как использовать SSH-клиент, можно найти в Кратком руководстве по терминалу и командной строке для WordPress.

WPMU DEV AccountFREE

Управление неограниченным количеством сайтов WP бесплатно

Неограниченное количество сайтов

Кредитная карта не требуется использовать.

.htaccess Советы по безопасности

Теперь вы готовы усилить безопасность своего сайта с помощью приведенных ниже советов. Приступим к делу.

1. Защита важных файлов

Одно из лучших изменений, которое вы можете сделать, это защитить файл .htaccess вместе с журналами ошибок, файлами wp-config.php и php.ini. После внесения следующего изменения попытки доступа к этим файлам будут отклонены.

Загрузка gist d12b3eb2dd2bbf2890c88b0ae826b74a

Обязательно проверьте свои файлы и посмотрите, есть ли у вас файл с именем php.ini , потому что вы не можете. Вместо этого у вас может быть файл с именем php5.ini . В этом случае замените php.ini на php5.ini в приведенном выше правиле.

2. Ограничить доступ к администратору

Вы также можете ограничить доступ к панели администратора и странице входа, добавив правила ниже, если вы используете статический IP-адрес: адреса на вашей странице с ошибкой 404. Это также поможет вам устранить любые петли перенаправления, чтобы ваш сайт не выглядел так, как будто он не работает. Просто не забудьте отредактировать оба экземпляра /path-to-your-site/ на реальный путь вашего сайта.

Также замените IP-адрес 1 , IP-адрес 2 и IP-адрес 3 на фактические IP-адреса, которым вы хотите иметь доступ к этим страницам. Если вы хотите добавить только один адрес, опустите строки 9 и 10. Вы также можете повторить строку 10 столько раз, сколько хотите, и заменить каждую

. Вы также можете повторить строку 10 столько раз, сколько хотите, и заменить каждую IP-адрес Три  с реальным IP-адресом, который вы хотите добавить в белый список.

Если у вас или любого из ваших других пользователей есть динамические IP-адреса, многоузловая сеть или несколько пользователей в вашей сети, которым необходимо войти в систему, вместо этого вы можете использовать следующее правило:

замените /path-to-your-site/ в первой и второй строках на реальный путь к вашему сайту, а также замените your-site. com на ваш фактический домен.

Многие хакеры используют ботов, чтобы попытаться получить доступ к панели администратора или войти в систему извне. Добавив это в свой файл .htaccess , вы разрешаете доступ к этим страницам только тем, кто вручную вводит ваш сайт в адресную строку браузера.

Хотя он не заблокирует хакеров, которые пытаются вручную угадать данные для входа ваших пользователей, в большинстве случаев он по-прежнему имеет огромное значение и значительно снижает количество получаемых вами атак грубой силы.

3. Запрет просмотра каталогов

Посетители могут увидеть список каталогов вашего сайта в интерфейсе, если они войдут в ваш домен, а затем каталог в адресной строке браузера. Поскольку WordPress имеет заданную файловую структуру, в настоящее время ничто не мешает кому-то посетить your-site.com/wp-content-uploads/ и увидеть список вашей папки и файлов.

Это определенно не то, что вам нужно, потому что хакеру намного проще взломать важный файл на вашем сайте, если он может буквально видеть целевой файл на виду и ему не нужно угадывать, где находится файл.

Это равносильно тому, чтобы спрятать запасной ключ от себя в очень умном и секретном месте, а затем повесить записку прямо на дверь, чтобы каждый посетитель знал, где спрятан запасной ключ.

Добавление этой строки в ваш . htaccess предотвращает просмотр каталогов, поэтому хакерам будет труднее вычислить вас.

Загрузка сути 72640ace06190d9ab0b3ee31e82025a3

4. Ограничение доступа к файлам PHP

Точно так же предоставление прямого доступа к вашим файлам PHP является большим запретом. Чем сложнее вы сделаете хакерам возможность найти ваши важные файлы, тем лучше, и, поскольку файлы PHP могут использоваться для внедрения вредоносного кода для дальнейшего заражения вашего сайта, невероятно важно, чтобы вы защищали свои файлы PHP.

Вы можете добавить следующие строки из Acunetix, чтобы заблокировать прямой доступ к файлам PHP вашего плагина и темы от неавторизованных пользователей: а также предотвратить несанкционированное выполнение файлов PHP, поэтому в случае взлома вашего сайта они не смогут загрузить свой собственный файл PHP с вредоносным кодом и заставить его работать.

Это означает, что вы можете предотвратить фактическую работу эксплойтов бэкдора. Хотя вам все равно придется найти и удалить файл, чем больше препятствий вы создаете для хакера, тем меньше вероятность того, что ваш сайт может быть заражен без возможности восстановления.

Поскольку большинство хакеров загружают бэкдоры в вашу папку /wp-content/uploads/, блокировка выполнения любых файлов PHP может оказаться огромной помощью.

Добавьте приведенный ниже код, чтобы ограничить выполнение файлов PHP, добавленных в папку загрузки:

Loading gist a7372675bb45ec2d801f08435d751941

6. Защитите свой сайт от внедрения скриптов

Сейчас у вас серьезные проблемы, так почему бы также не предотвратить внедрение вредоносного кода в ваши PHP-файлы? WP Recipes опубликовал способ предотвращения внедрения скриптов.

Многие хакеры пытаются изменить переменные WordPress GLOBALS и _REQUEST, пытаясь внедрить вредоносный код. Вы можете добавить следующее в свой . htaccess , чтобы предотвратить принятие этого изменения:

Загрузка gist ec424a9d05b11e5c366e04f3a5b0ad71

7. Защита каталога

wp-includes

В каталоге wp-includes хранится множество важных файлов. Заблокировав любой несанкционированный доступ к нему, вы можете защитить все эти важные файлы от взлома хакерами.

WP Explorer имеет отличное дополнение для предотвращения доступа хакеров к вашей папке wp-includes:

Загрузка сути

d45b55b87a466f1d361848130fd

8. Предотвратить перечисление имен пользователей

Когда посетитель вводит your-site.com/?author=1 в адресную строку, он перенаправляется на страницу автора с идентификатором пользователя, равным единице. Страница автора включает фактическое имя пользователя, связанное с идентификатором пользователя.

Посетитель может легко получить все имена пользователей вашего сайта, если у них есть какие-либо сообщения, связанные с их учетной записью. Этот процесс называется перечислением имени пользователя.

Если хакер может легко получить ваше имя пользователя, ему нужно будет угадать на одну вещь меньше. Фактически, единственная другая деталь, которую им нужно угадать, — это ваш пароль.

Хотя знание имени пользователя, связанного с учетной записью, не принесет большой пользы хакеру, если пользователь использует надежный пароль, все же может быть полезно предотвратить перечисление имени пользователя, поскольку чем больше препятствий вы создаете для хакера, тем маловероятно, что они действительно могут проникнуть на ваш сайт.

Вот как можно предотвратить перечисление имен пользователей, добавив в файл .htaccess следующее:0051

9. Требовать SSL

Используйте приведенный ниже код, чтобы принудительно использовать сертификат SSL, если не введено точное полное доменное имя (Fully Qualified Domain Name, FQDN), указанное в третьей строке:

Loading gist 4833875f2c29f89ef560b3cecf2a009b

Только не забудьте замените www.your-site. com  в третьей и четвертой строках на ваше фактическое доменное имя.

Также стоит отметить, что вы можете прочитать нашу статью «Как использовать SSL и HTTPS с WordPress», чтобы узнать больше о том, как вы можете принудительно использовать SSL для своего сайта.

10. Предотвратить горячее связывание изображений

Когда посетитель получает URL-адрес одного из ваших изображений и загружает его на свой сайт вместо того, чтобы загрузить изображение на свой сервер, он крадет вашу пропускную способность. Это также называется горячим связыванием.

Чтобы этого не произошло, добавьте это в свой файл .htaccess:

Loading gist b39a25ae601735adc30a98b25135a978

Не забудьте заменить your-site.com на ваш фактический домен во второй строке и заменить http:// www.your-site.com/hotlink.gif в третьей строке с фактическим URL-адресом изображения, которое вы хотите защитить.

Подведение итогов

С помощью этих советов и правил вы можете защитить свой сайт или сеть WordPress и заблокировать хакеров при каждой возможности.

No related posts.