10 отличных приемов с .htaccess для WordPress


htaccess для wordpress

Правильный htaccess для wordpress

Мне часто приходится создавать сайты на платформе wordpress. Поэтому я часто скачиваю свежую сборку с официального сайта. К моему сожалению, по-молчанию там отсутствуют файлы .htaccess и robots.txt.

Сейчас мы напишем правильный .htaccess для WordPress.

Базовые для сайта на движке wordpress следующие:

Эти строки включают механизм преобразований, необходимый для создания страниц с использованием ЧПУ.

В зависимости от требований, вы можете добавить туда и дополнительные параметры. Значок # в файле воспринимается как комментарий.

Копируем, и вставляем до # END WordPress

Это основное улучшение, рассмотрим и другие:

Защита изображения на сайте.

Представьте себе такую ситуацию: какой-нибудь сайт размещает у себя изображение, которое находится на вашем ресурсе. Таким образом, ваш сайт попадет под нагрузку, так как картинки будут загружаться с вашего сайта.

Чтобы этого избежать, пропишете в файле htaccess следующее:

Защита от Спама.

Зачастую многие спам-боты обращаются напрямую к файлу, который обрабатывает комментарии пришедшие с сайта, этот файл называется wp-comments-post.php. Можно выловить спам-бота от живого пользователя через обращение к файлу wp-comments-post.php на наличие REFERER. При добавлении комментариев, у пользователя он есть, а вот у спам-бота его нет. Но этот метод не является 100% защитой от Спама, воспользуйтесь дополнительно плагином.
Не забудьте поменять «ваш домен.ru» на ваш (5-тая строка ).

Запретить доступ к папке wp-content и wp-includes.

Все пользователи WordPress знают, что в папке «wp-content» хранятся все плагины и темы, картинки и многое др. Рекомендую защитить папку «wp-content» от нехороших людей (редисок).

Создать новый файл htaccess в папке «wp-content» на хостинге с таким кодом (эти же действия сделайте для папки «wp-includes»):

Запрет доступа к файлу wp-config.php

В WordPress файл «wp-config.php» содержит всю важную информацию, например, название и пароль к базе данных. Запретим доступ через файл htaccess.

Запрещаем просмотр нежелательным User-Agent.

Вы можете запретить просмотр сайта некоторым программам, сканирующим сайтам, старые браузерам от которых вы полностью отказались.

Ограничение доступа к админ-панеле WordPress.

Вы можете разрешить доступ к админ-панеле только вашему IP адресу. Но этот метод подходит, если у вас постоянный IP адрес.
xx.xxx.xxx.xxx — это ваш IP адрес.

Защита htaccess.

Мы защитили файлы, папки от посторонних лиц, но не нужно забывать, что сам файл htaccess тоже нуждается в защите. Согласен, немного смешно звучит.
Итак, защитим все файлы, которые начинаются с «hta» от просмотра нежелательными и любопытными лицами.

Ускорение сайта через файл htaccess для WordPress.

(Код, который ускоряет блог.)

Включаем кэширование браузера клиента.

Файлы сайта будут записываться в кэш браузера пользователя и при повторном вызове будут загружаться оттуда, это ускорит скорость загрузки сайта и уменьшит нагрузку на хостинг.

Вот и все. Не игнорируйте темой «htaccess для WordPress«, так как htaccess важен для защиты блога.

WordPress .htaccess — полезные советы

Всем привет. Сегодняшняя статья посвящена файлу .htaccess и его настройке. Многие задают вопросы относительно этого файлика и надеюсь, эта статья будет вам в помощь. Итак, файл .htaccess – это конфигурационный файл, который позволяет вам управлять файлами и папками в действующей директории и подкатегориях.

Оглавление (нажмите, чтобы открыть):

Большинство WordPress-пользователей первый раз знакомятся с этим файлом, когда пытаются кастомизировать вид постоянных ссылок. Чтоб заполучить те симпатичные ссылки, которые мы все знаем и любим (например, http://www.site.com/sample-post/ вместо http://www.site.com/?p=123), нам нужно добавить что-то типа этого в файл .htaccess:

Впрочем, эта проблема сейчас решается и прямо из админки WP.

Но если у вас вообще нет файла .htaccess, то вы можете создать его самостоятельно и загрузить на сервер. Все, что нужно сделать, это создать чистый файл, назвать его .htaccess и загрузить в корневую директорию вашей инсталляции WordPress. Не забудьте пропечатать точку в начале файла (сохраняем файл, как .htaccess, а не htaccess). Также обязательно стоит открыть файл для записи информации, чтоб WordPress смог добавить код правильных пермалинков в ваш .htaccess. WordPress.org советует выставить права 644для файла .htaccess.

Файл .htaccess используется не только для пермалинков. Наиболее известен этот файл тем, что с его помощью можно усилить защиту веб-сайта. В этой статье вы найдете сниппеты для усиления защиты сайта и некоторые другие полезные советы.

Должно быть, вы заметили, что в примере с пермалинками, приведенном выше, код начинается с # BEGIN WordPress и заканчивается с # END WordPress. WordPress может обновлять любой код, помещенный между этих тегов. Таким образом, любой сниппет, предложенный в этой статье, вы можете поместить либо в начало, либо в конец вашего файла .htaccess (например, перед # BEGIN WordPress или после # END WordPress).

Будьте внимательны!

.htaccess – файл довольно капризный: ошиблись в одном символе, и весь сайт рухнул. Так что внимательно копируйте любой код, данный в этой стать, в ваш файл .htaccess. Перед тем, как начать работу с файлом .htaccess, обязательно сделайте копию его последней рабочей версии и храните ее в надежном месте. Если вы загрузили на сервер новую версию .htaccess, обязательно обновите сайт, чтоб увидеть работает ли он. Если вместо сайта вы увидите белый экран, то верните назад сохраненную ранее копию, поместив ее поверх версии, вызвавшей ошибку.

Если не можете найти вашу копию, то загрузите чистый файл htaccess или вообще удалите его. Не испытывайте судьбу, просто всегда держите при себе свежий бэкап.

1. Защитите .htaccess

Так как .htaccess дает так много контроля над папками и файлами, важно скрыть его от чужих глаз. Приведенный ниже сниппет убережет ваш .htaccess от хакеров. Как всегда, вы можете отредактировать ваш файл по FTP.

2. Обезопасьте WP-Config.php

Еще один важный файл – это wp-config.php, ведь он содержит информацию об авторизации для базы данных WordPress, а также другие важные настройки сохранения, так что его нужно убрать из общего доступа.

3. Защитите /Wp-Content/

Директория wp-content – одна из самых важных областей вашего WordPress-сайта. Это то место, где хранятся такие жизненно важные файлы, как темы, плагины, загруженные медиа-файлы и файлы кэша, и потому туда так хотят добраться хакеры.

Вы можете закрыть данную директорию от спаммеров и хакеров, создав отдельный .htaccess и добавив туда данный код:

Вам нужно загрузить данный отдельный файл .htaccess в главную директорию wp-content, например, www.yourwebsite.com/wp-content/. Теперь сюда можно загрузить только файлы с расширениями XML, CSS, JPG, JPEG, PNG, Gif и Javascript, а все остальные типы файлов будут удалены.

4. Заблокируете файлы, не предназначенные для пользователей

Закрыть доступ к определенным файлам можно, добавив этот код в .htaccess:

5. Ограничьте доступ к админской области

Хакеры мечтают получить доступ к этой зоне, так как при его обретении с вашим сайтом можно проделать все, что угодно. Чтоб обезопасить данную область, создайте новый файл .htaccess и добавьте код, приведенный ниже.


Не забудьте сменить 12.34.56.78 на ваш собственный IP-адрес (вы можете узнать ваш IP на сайте What Is My IP?). Затем загрузите файл в папку /wp-admin/ вашего сайта, например, www.ваш сайт.com/wp-admin/.

Теперь доступ к админ-области WordPress есть только у вас. Также можно добавить дополнительные IP адреса для других админов и прочих членов команды. Для этого можно добавить дополнительные строки или перечислить их IP-адреса в главной строке, разделяя их точками.

6. Забаньте недоброжелателей

Если вы знаете IP-адрес недоброжелателя, то используя сниппет, приведенный ниже, вы можете забанить его навсегда.

7. Направить посетителей на страницу обслуживания.

Такие плагины, Maintenance, хороши, когда нужно отобразить временное сообщение о том, что сайт находится в разработке, в том случае, если вы что-то там меняете или обновляете движок. Но данные плагины бесполезны в случае возникновения Белого экрана смерти WordPress. Так что, если вы желаете подготовиться к худшему, рекомендуется создать базовую HTML-страницу, названную maintenance.html и сообщающую пользователю о том, что с сайтом у вас сейчас проблемы, и он скоро вернется в онлайн. В случае Белого экрана, просто добавьте данный сниппет в ваш файл .htaccess.

Вам нужно будет подредактировать код под ваш сайт: изменить имя файла html на ваше название, а также его местоположение во второй и четвертой строках. Вам также нужно добавить ваш собственный IP-адрес в третьей строке для того, чтоб сохранить доступ к веб-сайту для себя и отобразить сообщение для остальных. Код использует 302 редирект для закрытия страницы от индексации.

8. Запретите просмотр папок в браузере

Если вы позволяете кому-то видеть ваши папки и файлы, то вы сильно рискуете. Для того, чтоб отключить просмотр ваших директорий, просто добавьте маленький кусочек кода в .htaccess.

Мастер Йода рекомендует:  Как полюбить тестирование ПО и зачем это делать

9. Включение кэширования браузера

Включенное кэширование позволит посетителям сохранять элементы с ваших веб-страниц без необходимости скачивать их снова. Такое нужно для элементов оформления, типа CSS-файлов и медиа-файлов – картинок. Такая практика не редкость, так как, когда кто-то загружает изображение на ваш сайт, картинка редко загружается по новой. Кэширование также позволяет посетителям загружать изображения, сохраненные на их компьютере, а не тянуть их с вашего сервера. Это также увеличивает скорость загрузки страницы в разы. Чтоб включить кэширование, добавьте этот код в ваш файл .htaccess.

10. Редирект URL

301-е перенаправления сообщают поисковым машинам, что ссылки навсегда перенесены в другое место. Их можно использовать, когда нужно перенаправить страницу, папку или даже целый веб-сайт. Также редирект используется, когда нужно изменяется URL страницы. Такое может случиться из-за смены домена, структуры пермалинков или же слагов страниц.

Для изменения местоположения, нужно всего лишь добавить строчку с редиректом 301 вслед за старой локацией, а потом добавить новую локацию. Вот как это работает:

11. Отключите хотлинкинг

Хотлинкинг – это процесс вставки картинки напрямую с одного сайта на другой. Иными словами, вместо того, чтоб залить картинку на хостинг, злоумышленник просто вставляет ссылку на картинку, которая находится на вашем сайте, в результате чего ваш сайт загружается медленнее, а тарифы хостинга растут в цене. Хотлинкинга можно избежать, позволив выдергивать картинки только тем сайтам, владельцем которых вы являетесь. Добавьте код, приведенный ниже, в файл .htaccess, но убедитесь в том, что изменили URL на адреса собственных сайтов.

Теперь, когда кто-то просматривает ваше изображение через другой URL, то он просто будет видеть изображение, указанное в последней строчке кода. Это изображение можно заменить на что угодно.

Замечание: отключение хотлинкинга может привести к проблемам с отображением изображений в вашем RSS-фиде.

10 отличных приемов с .htaccess для WordPress

В этой рубрике Вы найдете уроки, посвященные полезным скриптам для Вашего сайта, которые призваны улучшить его функциональность.

Эффекты блочного раскрытия

Сегодня мы хотели бы поделиться несколькими идеями касающегося эффекта блочного раскрытия, которую вы можете использовать для своих проектов.

15 полезных .htaccess сниппета для сайта на WordPress

Если вы хотите существенно повысить уровень безопасности вашего сайта на WordPress, то вам не избежать конфигурации файла .htaccess. Это позволит не только уберечься от целого ряда хакерских атак, но и организовать перенаправления, а также решить задачи связанные с кэшем.

20 бесплатных тем для WordPress в стиле Material Design

Material Design — это набирающий обороты тренд от Google. В данной подборке собраны бесплатные темы для WordPress, выполненные в этом популярном стиле.

20 сайтов с креативным MouseOver эффектом

Эффекты на то и существуют чтобы впечатлять наших посетителей. В этой подборке собрано несколько десятков ресурсов, чьи создатели очень постарались впечатлить своих посетителей.

45+ бесплатных материалов для веб дизайнеров за август 2020

Под конец месяца предлагаем ознакомиться с набором бесплатных материалов для веб дизайнеров за прошедший месяц.

Бесплатка: PSD шабон Modus Versus

Вашему вниманию предлагаем PSD шаблон с множеством элементов.

10 отличных приемов с .htaccess для WordPress

Файл .htaccess позволяет задавать дополнительные настройки для работы веб-сервера, такие как: редирект страниц, доступ к папкам и файлам, защита сайта от спама и другие. В данной статье рассматривается конфигурация файла применительно к системе управления WordPress.

Основной файл .htaccess расположен в корневой директории сайта на веб-сервере. Найти его будет не трудно, иногда файл по умолчанию назван как текстовый и имеет вид htaccess.txt — в таком случае его нужно просто переименовать в .htaccess, оставив его без расширения.

По умолчанию для системы WordPress внутреннее содержимое файла .htaccess имеет следующий вид:

Этот код является обязательным и его мы трогать не будем. Все дополнительные настройки нужно будет прописывать после этого блока.

Рассмотри наиболее интересные и необходимые функции, которые представляют интерес при работе с сайтом.

Настройка редиректа 301

с www на без www в адресе сайта.

вместо name нужно подставить конкретное имя домена, зону тоже нужно указывать свою, в данном примере это зона .ru

Кодировка сайта

Защита файла .htaccess

Защита файла wp-config.php

Запрет доступа по IP адресам

ip-адреса, разумеется, нужно указывать конкретные 🙂

Защита от спама

Если вы используете комментарии на сайте, то можно установить дополнительную защиту, чтобы помешать спам-ботам обращаться напрямую к файлу wp-comments-post.php.

name.ru — это имя вашего домена

Перенаправление страниц ошибок

Можно подготовить свои заранее подготовленные и оформленные в нужном стиле страницы ошибок и сделать перенаправление на них в случае возникновения таких ошибок


Дополнительные файлы .htaccess

Файл .htaccess может располагаться и во вложенных папках! В таком случае, прописанные директивы будут относится к файлам внутри этих папок. По такой схеме можно запретить доступ к конкретным файлам. Например, можно создать пустой файл .htaccess внутри папок wp-content и wp-includes. Теперь можно запретить доступ к файлам по их расширениям:

Можно запретить доступ к файлам скриптов и стилей:

Используйте необходимые настройки и защищайте свои сайты, удачи!

9 самых полезных возможностей .htaccess для WordPress

Опубликовано: ADv Дата 21.09.2014 в рубрике Код за плагин Комментировать

Многие пользователи WordPress сталкиваются с файлом .htaccess при исправлении постоянных ссылок. Однако он может намного больше. Файл .htaccess — отличный файл конфигурации, который позволяет вам улучить безопасность сайта и его производительность. В этой статье мы покажем вам 9 наиболее полезных приемов работы с .htaccess для WordPress, которые вы можете опробовать на своем сайте.

Вступление

Прежде, чем совершать какие-либо изменения, вам необходимо сделать резервную копию вашего существующего файла .htaccess. Подключитесь к своему сайта с помощью FTP клиента и просто скачайте файл .htaccess на свой компьютер. В случае, если что-либо пойдет не так, то вы загрузите файл обратно.

Если вы не можете найти файл .htaccess, убедитесь, что ваш FTP клиент настроен на отображение скрытых файлов. Прочтите нашу статью о том, почему вы не можете найти файл .htaccess на вашем сайте WordPress для более детальной информации.

Если у вас нет файла .htaccess в корне вашего сайта, то необходимо его создать. Просто создайте пустой текстовый файл и сохраните его как .htaccess. Убедитесь, что имя файла именно .htaccess, а не htaccess. Теперь загрузите файл в корневую директорию вашего сайта.

1. Защищаем админку WordPress

Можно использовать .htaccess для защиты вашей админки WordPress путем ограничения доступа, разрешая только определенные IP адреса. Просто скопируйте и вставьте этот код в свой файл .htaccess:

Замените xx.xx.xx.xxx на нужные IP адреса. Если вы используете более одного IP адреса для доступа в интернет, то убедитесь что вы добавили и их в том числе.

2. Защищаем папку админки с помощью пароля

Первым делом вам необходимо создать файл .htpasswds. Это можно запросто сделать с помощью online генератора.

Загрузите этот файл .htpasswds вне публично доступных веб директорий или папки /public_html/. Хороший путь, например:

Теперь создайте новый файл .htaccess и добавьте в него следующий код:

Обратите внимание: Не забудьте изменить путь AuthUserFile на путь к вашему файлу .htpasswds и добавьте собственное имя пользователя.

Загрузите этот файл .htaccess в вашу папку wp-admin. Вот и все, теперь ваша папка админки в WordPress защищена паролем и только вы или пользователи, которым вы позволите, смогут получить доступ к ней.

3. Отключаем просмотр директорий в WordPress

Многие эксперты безопасности для WordPress рекомендуют отключать просмотр директорий. С включенным просмотром хакеры могут заглянуть к вам и отыскать потенциально уязвимые файлы, после чего заразить их. Смотрите подробнее о том, зачем и как отключить просмотр директорий в WordPress.

Для того, чтобы отключить просмотр директорий в WordPress, все что вам нужно, это добавить одну строку в файл .htaccess:

4. Отключаем выполнение PHP в некоторых директориях WordPress

Некоторые взломанные сайты на WordPress обычно содержат файлы бекдоров. Эти файлы обычно маскируются под файлы ядра и размещаются в папках /wp-includes/ или /wp-content/uploads/. Самый простой путь улучшить безопасность вашего сайта, это отключить выполнение PHP скриптов для некоторых папок WordPress.

Создайте пустой файл .htaccess и поместите в него следующий код:

Теперь загрузите этот файл в ваши папки /wp-content/uploads/ и /wp-includes/. Для более подробной информации ознакомьтесь с нашей статьей о том, как отключить выполнение PHP в определенных директориях WordPress.

5. Защищаем свой конфигурационный файл WordPress — wp-config.php

Вероятно наиболее важным файлов в вашей корневой директории ВП является файл wp-config.php. Он содержит информацию о вашей базе данных и о том, как к ней подключиться. Для того, чтобы защитить ваш wp-config.php от несанкционированного доступа, просто добавьте следующий код в свой файл .htaccess:

6. Настраиваем 301 редиректы с помощью файла .htaccess

Использование 301 редирект является наиболее полезным в плане SEO для того, чтобы сообщить вашим пользователям о том, что контент был перемещен в другое место. Если вы хотите корректно управлять вашими 301 редиректами в записях, ознакомьтесь с нашей статьей о том, как настраивать 301 редиректы в WordPress с помощью Quick Page/Post Redirect.

С другой стороны, если вам нужно быстро настроить перенаправление пользователей с одного URL на другой, то необходимо вставить следующий код в файл .htaccess:

7. Баним подозрительные IP адреса

Замечаете необычные запросы с IP адресов? Хотите заблокировать IP адреса для ограничения доступа к вашему сайту? Добавьте следующий код в файл .htaccess:

Замените xxx на IP адреса, которые необходимо заблокировать.

8. Отключаем хотлинкинг изображений в WordPress с помощью .htaccess

Посторонние люди могут замедлить ваш сайт и снизить пропускную способность сервера путем хотлинкинга ((англ. hotlink, маш. горячее подключение) — вставка картинки с чужого сайта на свой) изображений с вашего сайта. Это можно предотвратить путем добавления следующего кода в ваш файл .htaccess:

Не забудьте заменить wpincode.com на ваше название домена.

9. Защищаем .htaccess от несанкционированного доступа

Как вы уже увидели, довольно много вещей можно сделать с помощью файла .htaccess. В виду такой мощи и контроля над вашим сервером, очень важно защитить этот файл от хакеров. Просто добавьте следующий код в .htaccess:

Мы надеемся, что эта статья помогла вам изучить наиболее полезные возможности .htaccess для WordPress.

По всем вопросам и отзывам просьба писать в комментарии ниже.

Не забывайте, по возможности, оценивать понравившиеся записи количеством звездочек на ваше усмотрение.

10 отличных приемов с .htaccess для WordPress

Файл .htaccess (Hypertext Access, Доступ к гипертексту) — это конфигурационный файл сервера, который находится в корневой папке сайта. В этом файле можно сделать дополнительные настройки для защиты от хакеров и спама, например, запретить доступ к определенному файлу или папке, установить пароль на папку, добавить редиректы каких-то запросов, заблокировать ip и так далее. Это мощный инструмент, который можно использовать для увеличения безопасности сайта.

В этой статье вы узнаете, что можно добавить в файл .htaccess для увеличения безопасности сайта.

Что может делать .htaccess

Файл .htaccess находится в корневой папке сайта. Точка перед названием файла означает, что файл невидим, и вы сможете его видеть если включите настройку «Показывать скрытые файлы».

Файл используется для настройки сервера, типичное применение файла:

  • Включает и отключает редиректы на другие страницы
  • Добавляет пароль на папки
  • Блокирует пользователей по IP
  • Отключает показ содержимого папок
  • Создает и использует собственные страницы для ошибок


В Вордпрессе этот файл используется для создания красивых постоянных ссылок (Настройки — Постоянные ссылки — Общие настройки), и создается автоматически когда эта функция включается.

Если вы уже знаете, для чего нужен этот файл, переходите к списку.

Мастер Йода рекомендует:  Как повысить производительность сайта оптимизировав JavaScript и CSS

Сделайте бэкап

.htaccess довольно чувствительный файл, поэтому одна ошибка в синтаксисе может положить весь сайт. Скопируйте файл на компьютер, если появится ошибка, вы сможете вернуться к первоначальному варианту.

Как создать .htaccess

В зависимости от вашей установки Вордпресс, у вас может не быть файла .htaccess, поэтому его нужно создать. Вы можете создать его на компьютере и перенести на сервер с помощью ftp-клиента, или создать этот файл в файл менеджере на хостинг-панели.

Если ваш сервер или компьютер не позволяет создать файл с таким именем, создайте файл htaccess.txt, перенесите его на сервер и на сервере переименуйте его в .htaccess.

Начиная с версии 4.2 все установки Вордпресс имеют красивые постоянные ссылки по умолчанию, поэтому файл .htaccess в этих версиях создается автоматически. В новый пустой файл добавьте стандартную запись, которую делает Вордпресс.

Для одиночной установки:

Для мультисайт установки, версия Вордпресс 3.5 или выше, если сайты находятся в подпапках:

Для мультисайт установки, версия Вордпресс 3.5 или выше, если сайты находятся на субдоменах:

Когда вы создаете новый .htaccess файл, дайте этому файлу права доступа как минимум 640 для защиты от возможных атак. Нормальные права для этого файла — 600. Если файл уже есть, проверьте, чтобы права доступа были не выше 640.

Куда добавлять изменения

Строки, начинающиеся с тега #, являются комментариями и не являются правилами для исполнения .htaccess.

Добавляйте свои комментарии к вашим правилам.

Когда вы добавляете свои правила, добавляйте их выше или ниже стандартных правил Вордпресс.

Не добавляйте и ничего не редактируйте между строками # BEGIN WordPress и # END WordPress . Для мультисайт установок таких комментариев нет, но не добавляйте и не редактируйте ничего в коде для мультисайт установок.

Если вы что-то исправили в этом коде, Вордпресс должен автоматически вернуть первоначальный вариант, но лучше ничего не менять. В крайнем случае у вас должна остаться копия файла, которую вы можете вернуть на сервер.

Добавляйте свои правила выше или ниже стандартных правил Вордпресс по-одному, пишите к ним комментарии, сохраняйте и проверяйте изменения на сайте.

Если у вас Nginx сервер, здесь вы найдете htaccess — nginx конвертер.

Как редактировать файл .htaccess

Вы можете редактировать .htaccess из вашей хостинг-панели, или через ftp-клиент.

В первом случае зайдите на вашу хостинг-панель, запустите файл менеджер, найдите файл .htaccess и откройте его как обычный текстовый файл.

Если вы пользуетесь ftp-клиентом — зайдите на свой сервер, найдите .htaccess в корневой папке сайта, скопируйте его на свой компьютер, отредактируйте, сохраните и закачайте обратно на сервер. Удалите старый файл с сервера, или замените старый на новый.

1. Защита важных файлов

Запретите доступ к файлам wp-config.php, htaccess, php.ini и логам ошибок. Добавьте это правило, чтобы запретить доступ к этим файлам:

У вас может не быть файла php.ini. Вместо него может быть файл php5.ini или php7.ini. Если у вас есть файл php5 или php7, замените php.ini на php5.ini или php7.ini . Если файла php.ini нет вообще, уберите php.ini| из правила.

Если вы хотите запретить доступ только к файлу wp-config.php, добавьте это правило:

Если вы хотите запретить доступ ко всем файлам .htaccess на сайте, добавьте этот код:

2. Закройте доступ к wp-login.php и wp-admin

Если вы используете статический IP, вы можете запретить доступ к странице входа или панели администратора:

Первые две строчки перенаправляют посетителя с неавторизованного IP на страницу с ошибкой 404. Это правило не будет вызывать цикличные редиректы, ваш сайт не будет выглядеть как зависший.

Замените /путь-к-вашему-сайту/ в двух первых строчках на свой адрес.
Замените IP Адрес 1 , IP Адрес 2 и IP Адрес 3 на те IP адреса, с которых вы хотите иметь доступ к страницам wp-login.php и wp-admin.

Если вам нужен только один IP адрес, удалите строки 9 и 10, если вам нужно больше адресов, добавьте нужное количество строк.

Если вы или другие пользователи имеют динамические IP (или Мультисайт), используйте следующее правило:

Замените /путь-к-вашему-сайту/ и /ваш-сайт.ru/ на свой адрес.

Хакеры используют ботов, чтобы пытаться попасть в админку Вордпресс. Это правило определяет, что только те пользователи, которые вручную набрали wp-login.php или wp-admin в браузере, получат доступ к этим страницам.

Этот способ не защитит от хакеров, которые вручную набирают адрес страницы входа на сайт, но значительно уменьшит количество автоматических брут-форс атак (перебор паролей).

Еще один способ — создайте файл .htaccess в папке wp-admin . Это правило разрешает доступ к папке только указанным ip:

Замените IP Адрес 1 и IP Адрес 2 на свои IP.

3. Запретите доступ к директориям сайта

По умолчанию сервер Apache разрешает доступ к директориям сайта. То есть любой посетитель сайта может открыть любую папку и запустить любой файл внутри этой папки, если введет в браузере нужный адрес, например, ваш-сайт.ru/wp-content/uploads/

Если эти папки будут доступны для просмотра, злоумышленник может заразить какие-то файлы на вашем сервере. Чтобы запретить доступ к папкам, добавьте это правило в .htaccess:

4. Доступ только к разрешенным типам файлов

В папке wp-content находятся темы, плагины и медиа контент. Кроме доступа к директориям сайта, можно разрешить доступ только к некоторым типам файлов, например, css, js, jpg, pdf, doc и так далее. Для этого создайте в папке wp-content новый файл .htaccess и добавьте это правило:

Не вставляйте этот код в файл .htaccess в корневой папке. Если вам нужно добавить в исключения другие типы файлов, добавьте их после |odf .

5. Запретите доступ с определенных IP

Вы можете полностью запретить доступ к сайту с подозрительных или вредоносных ip:

Замените IP Адрес 1 , IP Адрес 2 и IP Адрес 3 на ip-адреса, которым вы хотите запретить доступ к сайту.

6. Запретите доступ к PHP файлам

Закройте доступ к PHP файлам темы и плагинов. Хакер может внедрить вредоносный код и заразить сайт. Защита PHP файлов — важная мера предосторожности.

Добавьте этот код, чтобы заблокировать доступ неавторизованных пользователей к php файлам темы и плагинов:


7. Запретите исполнение PHP файлов

Если хакеру удастся загрузить вредоносные файлы на сервер, он не сможет их запустить, потому что это правило запрещает их исполнение. Но вам все равно нужно будет найти и удалить инфицированные файлы.

Чем больше препятствий взломщику вы установите, тем ниже вероятность что ваш сайт взломают.

Обычно хакеры загружают бэкдоры в папку /wp-content/uploads/ , поэтому заблокируйте исполнение всех PHP файлов в этой папке:

8. Защитите сайт от внедрения вредоносных скриптов

Многие хакеры пытаются изменить переменные Вордпресс GLOBALS и _REQUEST с целью внедрить вредоносный код. Добавьте этот код, чтобы хакеры не могли изменять существующие файлы:

9. Запретите доступ к папке wp-includes

В папке wp-includes хранятся файлы ядра Вордпресс, поэтому доступ к этой папке лучше полностью закрыть:

10. Отключите показ версии PHP в заголовках ответов сервера

Вы можете отключить показ версии PHP в заголовках ответов сервера. Скорее это относится к серверу, чем к сайту, но влияет на безопасность сайта.

Добавьте это правило в .htaccess:

Если не получилось, попросите техподдержку вашего хостинга настроить сервер, чтобы он не показывал информацию о версии PHP.

11. Отключите XML-RPC

XML-RPC — это API интерфейс, который используется Вордпресс для удаленного доступа к сайту, для трекбеков и пингбеков и используется плагином Jetpack. Оставьте его включенным, если вы пользуетесь чем-то из этого, и выключите, если не пользуетесь, так как хакеры могут перебирать пароли тысячами через файл xmlrpc.php.

Даже если вы используете сложные пароли, брут-форс атаки расходуют большое количество ресурсов сервера. Если ваш сайт находится на недорогом хостинге, в результате такой атаки сайт может зависнуть из-за использования всех ресурсов сервера.

Чтобы отключить XML-RPC, добавьте это правило:

12. Отключите нумерацию пользователей

Когда посетитель вводит в строку адреса ваш-сайт.ru/?author=1 , он перенаправляется на страницу пользователя с >

Посетитель может определить ID всех пользователей, у которых есть опубликованные материалы на сайте. Этот процесс называется нумерацией пользователей.

Если хакер узнает ID пользователя, который также является логином пользователя, то теперь злоумышленнику остается только узнать пароль пользователя.

Даже если пользователи используют сложные пароли, злоумышленнику лучше не знать ID пользователей:

13. Используйте SSL

Это правило требует использование SSL сертификата, выданного домену, который указан в 3-ей строчке.

Замените ваш-сайт.ru в двух последних строчках на свой домен.

14. Отключите хотлинк картинок

Когда посетитель использует URL картинки, размещенной на вашем сайте и публикует ссылку на эту картинку на своем сайте, вместо того, чтобы хранить картинку на своем сайте, он нагружает ваш сервер и ваш канал интернета. Это называется хотлинкинг.

Чтобы отключить хотлинк картинок, используйте это код:

Замените ваш-сайт\.ru на ваш адрес.

Заключение

Здесь находится он-лайн генератор правил для файла .htaccess.

Некоторые из этих способов могут уже использоваться на вашем сайте, например, права доступа к файлам и папкам на сервере, или в плагинах безопасности. С точки зрения оптимизации сайта лучше оставить включенные опции только в одном месте.

Читайте также:

Надеюсь, статья была полезна. Поделитесь в комментариях, что вы добавляете в .htaccess.

БЛОГ SEO ОПТИМИЗАТОРА

Файл .htaccess — это основной конфигурационный файл. .htaccess находится в корневой папке (корневом каталоге). Этот файл может отменить много настроек, включая конфигурацию сервера, тип контента, кодировку, доступ к сайту или блогу и многое другое.
.htaccess может использоваться для множества хаков, которые защитят и улучшат функциональность сайтов или блогов на WordPress. Ниже приведён список 10 топовых хаков для файла htaccess, которые улучшат и защитят от взлома ваши сайты и блоги.

Некоторые из кодировок позволяют блокировать доступ к сайту владельцам определённых IP адресов, переадресовывать посетителей на страницу технического обслуживания, блокировать доступ к разделу администрирования wordpress для определённых IP адресов и т.д.

1. Забанить спамеров WordPress

Чтобы заблокировать доступ к вашему блогу для определённого IP адреса в .htaccess файл нужно ввести следующий код и заменить указанный здесь IP на тот, который вы хотите забанить.

## USER IP BANNING

order allow,deny
deny from 200.49.176.139
allow from all

2. Список IP адресов нежелательных пользователей и ботов

Чтобы заблокировать доступ к вашему блогу для определённого IP адреса в .htaccess файл нужно ввести следующий код и заменить указанный здесь IP на тот, который вы хотите забанить.


order allow,deny
allow from all
deny from 126.245.669
deny from 95.251.901
deny from 127.776.909
deny from 125.310.330

3. Разрешите доступ к папке wp-admin только своему IP адресу

Замените xx.xx.xx.xx на свой IP адрес, что позволит только вашему IP получить доступ к директории wp-admin.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName «Wordpress Admin Access Control»
AuthType Basic

order deny, allow
deny from all
allow from xx.xx.xx.xx

4. Запрет доступа к файлу wp-config.php

Файл wp-config.php в WordPress включает всю важную информацию, такую, как название базы данных.

# защита wpconfig.php

order allow,deny
deny from all


5. Защита файлов плагинов

Файлы плагинов WordPress могут иметь дыры в защите, что позволит хакерам получить доступ к вашему сайту. Для предотвращения такого доступа к файлам плагинов, и соответственно к сайту, используйте следующий код.

order allow,deny
allow from all

6. Добавление слэша в URL

Чтобы добавить слэш в конец своего URL, добавьте следующий код в файл .htaccess

#добавление завершающего слэша
RewriteBase /
RewriteCond % !-f
RewriteCond % !#
RewriteCond % !(.*)/$
RewriteRule ^(.*)$ http://domain.com/$1/ [L,R=301]

7. Запрет комментирования, при отсутствии referrer у запроса

Простой хак для защиты от спама в блоге.

RewriteEngine On
RewriteCond % POST
RewriteCond % .wp-comments-post.php*
RewriteCond % !.*yourblog.com.* [OR]
RewriteCond % ^$
RewriteRule (.*) ^http://%/$ [R=301,L]

Мастер Йода рекомендует:  Как сделать регистрацию на сайте на PHP форма регистрации

8. Кэширование с htaccess

Следующий htaccess код не поможет при первой загрузке страницы, но он значительно ускорит последующие загрузки, отправляя статус 304, если требуемые элементы не были изменены.

FileETag MTime Size
ExpiresActive on
ExpiresDefault «access plus x seconds»

9. Переадресация посетителей на страницу технического обслуживания

RewriteEngine on
RewriteCond % !/maintenance.html$
RewriteCond % !^123.123.123.123
RewriteRule $ /maintenance.html [R=302,L]

10. SEO-благоприятная 301 переадресация

#SEO благоприятная 301 переадреcация
Redirect 301 /abc/file.html http://www.yourblogname.com/def/file.html

Использование этих хаков в файле htaccess будет полезным для защиты вашего блога на WordPress от проникновения спамеров и сторонних программ. Они не только помогут оградить сайт от хакеров, но также улучшить функциональность и увеличить скорость вашего блога/сайта.

Правильный htaccess для WordPress

Доброго времени суток всем читателям моего блога! Недавно пытался сделать 301 редирект на своем автомобильном сайте, который попал под АГС, в связи с изменением всех ссылок на сайте и наткнулся на создание оптимального .htaccess файла для WordPress сайтов, который будет редиректить все технические страницы, что бы не плодить дубли страниц в поисковиках.

Выдержка из википедии, дабы не возникало ненужных вопросов:

.htaccess (от. англ. hypertext access) — файл дополнительной конфигурации веб-сервера Apache, а также подобных ему серверов. Позволяет задавать большое количество дополнительных параметров и разрешений для работы веб-сервера в отдельных каталогах (папках), таких как управляемый доступ к каталогам, переназначение типов файлов и т.д., без изменения главного конфигурационного файла.

Код стандартного файла htaccess для WordPress

И так, для начало приведу код стандартного файла .htaccess для WordPress:

WordPress.org

Categories

htaccess

Topics

The .htaccess is a distributed configuration file, and is how Apache handles configuration changes on a per-directory basis.

WordPress uses this file to manipulate how Apache serves files from its root directory, and subdirectories thereof. Most notably, WP modifies this file to be able to handle pretty permalinks.

This page may be used to restore a corrupted .htaccess file (e.g. a misbehaving plugin).

Basic WP # Basic WP

Multisite # Multisite

WordPress 3.5 and up # WordPress 3.5 and up

If you activated Multisite on WordPress 3.5 or later, use one of these.

Subfolder Example

SubDomain Example

WordPress 3.4 and below # WordPress 3.4 and below

If you originally installed WordPress with 3.4 or older and activated Multisite then, you need to use one of these:

SubFolder Example

WordPress 3.0 through 3.4.2

SubDomain Example

General Examples # General Examples

Options # Options

Any options preceded by a + are added to the options currently in force, and any options preceded by a are removed from the options currently in force.

Possible values for the Options directive are any combination of:

None

All options are turned off.

All

All options except for MultiViews. This is the default setting.

ExecCGI

Execution of CGI scripts using mod_cgi is permitted.


FollowSymLinks

The server will follow symbolic links in this directory.

Includes

Server-side includes provided by mod_include are permitted.

IncludesNOEXEC

Server-side includes are permitted, but the #exec cmd and #exec cgi are disabled.

Indexes

URL maps to a directory, and no DirectoryIndex, a formatted listing of the directory.

MultiViews

Content negotiated “MultiViews” are allowed using mod_negotiation.

SymLinksIfOwnerMatch

Only follow symbolic links where target is owned by the same user id as the link.

This will disable all options, and then only enable FollowSymLinks, which is necessary for mod_rewrite.

DirectoryIndex # DirectoryIndex

DirectoryIndex sets the file that Apache will serve if a directory is requested.

Several URLs may be given, in which case the server will return the first one that it finds.

DefaultLanguage # DefaultLanguage

DefaultLanguage will cause all files that do not already have a specific language tag associated with it will use this.

Default Charset # Default Charset

Set the default character encoding sent in the HTTP header. See: Setting charset information in .htaccess

Set Charset for Specific Files

Set for specific files

ServerSignature # ServerSignature

The ServerSignature directive allows the configuration of a trailing footer line under server-generated documents. Optionally add a line containing the server version and virtual host name to server-generated pages (internal error documents, FTP directory listings, mod_status and mod_info output etc., but not CGI generated documents or custom error documents).

On

adds a line with the server version number and ServerName of the serving virtual host

Off

suppresses the footer line

Email

creates a “mailto:” reference to the ServerAdmin of the referenced document

Force Files to be Downloaded # Force Files to be Downloaded

The below will cause any requests for files ending in the specified extensions to not be displayed in the browser but instead force a “Save As” dialog so the client can download.

HTTP Compression # HTTP Compression

The AddOutputFilter directive maps the filename extension extension to the filters which will process responses from the server before they are sent to the client. This is in addition to any filters defined elsewhere, including SetOutputFilter and AddOutputFilterByType. This mapping is merged over any already in force, overriding any mappings that already exist for the same extension.

See also: https://developers.google.com/speed/docs/insights/EnableCompression

Force Compression for certain files

Send Custom HTTP Headers # Send Custom HTTP Headers

The Header directive lets you send HTTP headers for every request, or just specific files. You can view a sites HTTP Headers using Firebug, Chrome Dev Tools, Wireshark or an online tool.

Unset HTTP Headers # Unset HTTP Headers

This will unset HTTP headers, using always will try extra hard to remove them.

Password Protect Login # Password Protect Login

This is very useful for protecting the wp-login.php file. You can use this htpasswd generator.

Basic Authentication

Digest Authentication

Require Specific IP # Require Specific IP

This is a way to only allow certain IP addresses to be allowed access.

Protect Sensitive Files # Protect Sensitive Files

This denies all web access to your wp-config file, error_logs, php.ini, and htaccess/htpasswds.

Require SSL # Require SSL

This will force SSL, and require the exact hostname or else it will redirect to the SSL version. Useful in a /wp-admin/.htaccess file.

htaccess для WordPress


2013-03-13 / Вр:23:06 / просмотров: 41131

Если вы читали мою предыдущую статью о том, как создать файл htaccess для сайта или, может, вы знаете достаточно информации об этом файле и готовы приступить к практической части, тогда переходим к этой части статьи, а если вы не в курсе, о чем это я пишу, рекомендую почитать вступительную часть «Как создать файл htaccess и что это такое?».

Теперь, после краткого вступления, можно перейти к практической части. Итак, открываем файл htaccess, который находится в корне вашего сайта на хостинге или который вы только что создали, и приступаем к настройкам.

Настройки файла htaccess для WordPress.

Стандартный htaccess для WordPress.

Вот так выглядит стандартный код htacces для wordpress.

Но я вам рекомендую его расширить. Смотрите предлагаемое.

Безопасность WordPress и защита.

Закрыть доступ к просмотру всех файлов.

Чтобы запретить возможность открыть файл напрямую, через строку браузера, набрав прямой адрес файла, закройте доступ ко всем файлам с помощью htaccess.

Блокировка по IP.

Если вы хотите закрыть доступ пользователя к сайту, например, за нарушение правил и т. д., вы можете заблокировать пользователя по IP.
Для добавления нового IP по причине блокировки продублируйте строку deny.
xx.xxx.xxx.xxx — вместо этого вставляйте IP пользователя для блокировки
x2.xx2.xx2.xx2 — вместо этого вставляйте второй IP пользователя для блокировки, и так до бесконечности.

Защита изображения на сайте.

Представьте себе такую ситуацию: какой-нибудь сайт размещает у себя изображение, которое находится на вашем ресурсе. Таким образом, ваш сайт попадет под нагрузку, так как картинки будут загружаться с вашего сайта.
Чтобы этого избежать, пропишете в файле htaccess следующее:

Если кто-то решит установить картинку, хранящуюся у вас на сайте, то увидит вместо ожидаемого результата картинку с предупреждением stopimg.gif

Защита от Спама.

Зачастую многие спам-боты обращаются напрямую к файлу, который обрабатывает комментарии пришедшие с сайта, этот файл называется wp-comments-post.php. Можно выловить спам-бота от живого пользователя через обращение к файлу wp-comments-post.php на наличие REFERER. При добавлении комментариев, у пользователя он есть, а вот у спам-бота его нет. Но этот метод не является 100% защитой от Спама, воспользуйтесь дополнительно плагином.
Не забудьте поменять «ваш домен.ru» на ваш (5-тая строка ).

Запретить доступ к папке wp-content и wp-includes.

Все пользователи WordPress знают, что в папке «wp-content» хранятся все плагины и темы, картинки и многое др. Рекомендую защитить папку «wp-content» от нехороших людей (редисок).

Создать новый файл htaccess в папке «wp-content» на хостинге с таким кодом (эти же действия сделайте для папки «wp-includes»):

Запрет доступа к файлу wp-config.php

В WordPress файл «wp-config.php» содержит всю важную информацию, например, название и пароль к базе данных. Запретим доступ через файл htaccess.

Запрещаем доступ к определенному файлу.

Вы можете защитить файлы плагина css и js.

○ Запрещаем просмотр нежелательным User-Agent.

Вы можете запретить просмотр сайта некоторым программам, сканирующим сайтам, старые браузерам от которых вы полностью отказались.

○ Ограничение доступа к админ-панеле WordPress.

Вы можете разрешить доступ к админ-панеле только вашему IP адресу. Но этот метод подходит, если у вас постоянный IP адрес.
xx.xxx.xxx.xxx — это ваш IP адрес.

○ Защита htaccess.

Мы защитили файлы, папки от посторонних лиц, но не нужно забывать, что сам файл htaccess тоже нуждается в защите. Согласен, немного смешно звучит.
Итак, защитим все файлы, которые начинаются с » hta » от просмотра нежелательными и любопытными лицами.

Редиректы (перенаправления).

Самый простой редирект на новый сайт и страницу.

Если вам нужно автоматически перенаправить пользователей на другой сайт или страницу, укажите в файл htaccess вот такой код.

перенаправление на страницу сайта.

перенаправление на новый адрес сайта.

Внимание: «/» — слеш в конце обязательно.
Пример неправильной записи:
https://ваш сайт.ru
Пример правильной записи:
https://ваш сайт.ru / страница.htm
https://ваш сайт.ru /

Также можно перенаправить со страницы на страницу, при этом сохранит PR старой страницы.

○ 301 редирект для слияния страниц с www и без (склеить домен).

Чтобы поисковики один и тот же сайт не считали дублированным, домен нужно склеить. Если выразится более ясным языком, то сайт должен быть доступен только по одному адресу, т.е. либо с www, либо без www.

главным доменом будет с www

главным доменом будет без www

Изменяем страницы ошибок.

Рекомендую сделать личные страницы ошибок, где будет краткое разъяснение причины ошибки. В таком случае вы не потеряете клиентов при возникновении ошибки, так как пользователь будет перенаправлен на специальную подготовленую страницу.

401.html, 403.html, 404.html, 500.html — это подготовленые страницы ошибок.

Ускорение сайта через файл htaccess для WordPress.

Включаем кэширование браузера клиента.

Файлы сайта будут записываться в кэш браузера пользователя и при повторном вызове будут загружаться оттуда, это ускорит скорость загрузки сайта и уменьшит нагрузку на хостинг.

Важно: обратите внимание на image/ , возможно в вашем случае папку с картинками нужно поменять.

Кодировка сайта.

○ Кодировка по умолчанию.

Чтобы избежать проблемы с кодировкой, можно указать принудительную кодировку — UTF8

Вот и все. Не игнорируйте темой «htaccess для WordPress«, так как htaccess важен для защиты блога.

Добавить комментарий