Многие пользователи WordPress сталкиваются с файлом .htaccess при исправлении постоянных ссылок. Однако он может намного больше. Файл .htaccess — отличный файл конфигурации, который позволяет вам улучить безопасность сайта и его производительность. В этой статье мы покажем вам 9 наиболее полезных приемов работы с .htaccess для WordPress, которые вы можете опробовать на своем сайте.
Вступление
Прежде, чем совершать какие-либо изменения, вам необходимо сделать резервную копию вашего существующего файла .htaccess. Подключитесь к своему сайта с помощью FTP клиента и просто скачайте файл .htaccess на свой компьютер. В случае, если что-либо пойдет не так, то вы загрузите файл обратно.
Если вы не можете найти файл .htaccess, убедитесь, что ваш FTP клиент настроен на отображение скрытых файлов. Прочтите нашу статью о том, почему вы не можете найти файл .htaccess на вашем сайте WordPress для более детальной информации.
Если у вас нет файла .htaccess в корне вашего сайта, то необходимо его создать. Просто создайте пустой текстовый файл и сохраните его как .htaccess. Убедитесь, что имя файла именно .htaccess, а не htaccess. Теперь загрузите файл в корневую директорию вашего сайта.
1. Защищаем админку WordPress
Можно использовать .htaccess для защиты вашей админки WordPress путем ограничения доступа, разрешая только определенные IP адреса. Просто скопируйте и вставьте этот код в свой файл .htaccess:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx # whitelist Amanda's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx </LIMIT>
Замените xx.xx.xx.xxx на нужные IP адреса. Если вы используете более одного IP адреса для доступа в интернет, то убедитесь что вы добавили и их в том числе.
2. Защищаем папку админки с помощью пароля
Первым делом вам необходимо создать файл .htpasswds. Это можно запросто сделать с помощью online генератора.
Загрузите этот файл .htpasswds вне публично доступных веб директорий или папки /public_html/. Хороший путь, например:
home/user/.htpasswds/public_html/wp-admin/passwd/
Теперь создайте новый файл .htaccess и добавьте в него следующий код:
AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehere <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files>
Обратите внимание: Не забудьте изменить путь AuthUserFile на путь к вашему файлу .htpasswds и добавьте собственное имя пользователя.
Загрузите этот файл .htaccess в вашу папку wp-admin. Вот и все, теперь ваша папка админки в WordPress защищена паролем и только вы или пользователи, которым вы позволите, смогут получить доступ к ней.
3. Отключаем просмотр директорий в WordPress
Многие эксперты безопасности для WordPress рекомендуют отключать просмотр директорий. С включенным просмотром хакеры могут заглянуть к вам и отыскать потенциально уязвимые файлы, после чего заразить их. Смотрите подробнее о том, зачем и как отключить просмотр директорий в WordPress.
Для того, чтобы отключить просмотр директорий в WordPress, все что вам нужно, это добавить одну строку в файл .htaccess:
Options -Indexes
4. Отключаем выполнение PHP в некоторых директориях WordPress
Некоторые взломанные сайты на WordPress обычно содержат файлы бекдоров. Эти файлы обычно маскируются под файлы ядра и размещаются в папках /wp-includes/ или /wp-content/uploads/. Самый простой путь улучшить безопасность вашего сайта, это отключить выполнение PHP скриптов для некоторых папок WordPress.
Создайте пустой файл .htaccess и поместите в него следующий код:
<Files *.php> deny from all </Files>
Теперь загрузите этот файл в ваши папки /wp-content/uploads/ и /wp-includes/. Для более подробной информации ознакомьтесь с нашей статьей о том, как отключить выполнение PHP в определенных директориях WordPress.
5. Защищаем свой конфигурационный файл WordPress — wp-config.php
Вероятно наиболее важным файлов в вашей корневой директории ВП является файл wp-config.php. Он содержит информацию о вашей базе данных и о том, как к ней подключиться. Для того, чтобы защитить ваш wp-config.php от несанкционированного доступа, просто добавьте следующий код в свой файл .htaccess:
<files wp-config.php> order allow,deny deny from all </files>
6. Настраиваем 301 редиректы с помощью файла .htaccess
Использование 301 редирект является наиболее полезным в плане SEO для того, чтобы сообщить вашим пользователям о том, что контент был перемещен в другое место. Если вы хотите корректно управлять вашими 301 редиректами в записях, ознакомьтесь с нашей статьей о том, как настраивать 301 редиректы в WordPress с помощью Quick Page/Post Redirect.
С другой стороны, если вам нужно быстро настроить перенаправление пользователей с одного URL на другой, то необходимо вставить следующий код в файл .htaccess:
Redirect 301 /oldurl/ http://www.example.com/newurl Redirect 301 /category/television/ http://www.example.com/category/tv/
7. Баним подозрительные IP адреса
Замечаете необычные запросы с IP адресов? Хотите заблокировать IP адреса для ограничения доступа к вашему сайту? Добавьте следующий код в файл .htaccess:
<Limit GET POST> order allow,deny deny from xxx.xxx.xx.x allow from all </Limit>
Замените xxx на IP адреса, которые необходимо заблокировать.
8. Отключаем хотлинкинг изображений в WordPress с помощью .htaccess
Посторонние люди могут замедлить ваш сайт и снизить пропускную способность сервера путем хотлинкинга ((англ. hotlink, маш. горячее подключение) — вставка картинки с чужого сайта на свой) изображений с вашего сайта. Это можно предотвратить путем добавления следующего кода в ваш файл .htaccess:
#disable hotlinking of images with forbidden or custom image option RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?wpincode.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?google.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?feeds2.feedburner.com/wpincode [NC] RewriteRule .(jpg|jpeg|png|gif)$ – [NC,F,L]
Не забудьте заменить wpincode.com на ваше название домена.
9. Защищаем .htaccess от несанкционированного доступа
Как вы уже увидели, довольно много вещей можно сделать с помощью файла .htaccess. В виду такой мощи и контроля над вашим сервером, очень важно защитить этот файл от хакеров. Просто добавьте следующий код в .htaccess:
<files ~ "^.*.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files>
Мы надеемся, что эта статья помогла вам изучить наиболее полезные возможности .htaccess для WordPress.
По всем вопросам и отзывам просьба писать в комментарии ниже.
Не забывайте, по возможности, оценивать понравившиеся записи количеством звездочек на ваше усмотрение.