Modificare il file .htaccess del tuo sito web può sembrare intimidatorio per i principianti di WordPress. Ma secondo la nostra esperienza, è uno strumento che puoi utilizzare per migliorare le prestazioni, la sicurezza e la SEO del tuo sito web.
Puoi pensare al file come a un pannello di controllo per ottimizzare le impostazioni del server del tuo sito senza dover essere un mago del codice.
In questo articolo, ti mostreremo alcuni utili trucchi con il file .htaccess per WordPress che ti daranno un maggiore controllo sulla tua presenza online.
Cos'è il file .htaccess e come modificarlo?
Il file .htaccess è un file di configurazione del server web Apache. È un file di testo che ti consente di definire regole che il tuo server deve seguire per il tuo sito web WordPress.
WordPress utilizza il file .htaccess per generare una struttura di URL SEO-friendly. Tuttavia, questo file può fare molto di più che memorizzare le impostazioni dei permalink.
Il file .htaccess si trova nella cartella principale del tuo sito WordPress. Dovrai connetterti al tuo sito web utilizzando un client FTP o il file manager di cPanel per modificarlo.
Se non riesci a trovare il tuo file .htaccess, consulta la nostra guida su come trovare il file .htaccess in WordPress.
Prima di modificare il tuo file .htaccess, è importante scaricarne una copia sul tuo computer come backup. Puoi usare quel file nel caso in cui qualcosa vada storto.
Detto questo, diamo un'occhiata ad alcuni utili trucchi per .htaccess per WordPress che puoi provare:
- Proteggi la tua area di amministrazione di WordPress
- Proteggi con password la cartella di amministrazione di WordPress
- Disabilita la navigazione delle directory
- Disabilita l'esecuzione di PHP in alcune directory di WordPress
- Proteggi il tuo file di configurazione di WordPress wp-config.php
- Impostazione di reindirizzamenti 301 tramite file .htaccess
- Blocca indirizzi IP sospetti
- Disabilita l'hotlinking di immagini in WordPress usando .htaccess
- Proteggi .htaccess da accessi non autorizzati
- Aumenta la dimensione massima di caricamento dei file in WordPress
- Disabilita l'accesso al file XML-RPC usando .htaccess
- Blocca scansioni autore in WordPress
1. Proteggi la tua area di amministrazione di WordPress
Puoi usare .htaccess per proteggere la tua area di amministrazione di WordPress limitando l'accesso solo a specifici indirizzi IP.
Copia e incolla semplicemente questo snippet di codice nel tuo file .htaccess:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Non dimenticare di sostituire i valori xx con il tuo indirizzo IP. Se usi più di un indirizzo IP per accedere a Internet, assicurati di aggiungerli.
Per istruzioni dettagliate, consulta la nostra guida su come limitare l'accesso all'amministrazione di WordPress usando .htaccess.
2. Proteggi con password la cartella di amministrazione di WordPress
Se accedi al tuo sito WordPress da più posizioni, inclusi punti Internet pubblici, allora limitare l'accesso a specifici indirizzi IP potrebbe non funzionare per te.
Puoi usare il file .htaccess per aggiungere un'ulteriore protezione tramite password alla tua area di amministrazione di WordPress.
Innanzitutto, devi generare un file .htpasswds. Puoi crearne facilmente uno utilizzando questo generatore online.
Carica questo file .htpasswds al di fuori della tua directory web accessibile pubblicamente o della cartella /public_html/. Un buon percorso sarebbe:
/home/utente/.htpasswds/public_html/wp-admin/passwd/
Successivamente, crea un file .htaccess e caricalo nella directory /wp-admin/, quindi aggiungi il seguente codice al suo interno:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Importante: Non dimenticare di sostituire il percorso AuthUserFile con il percorso del file .htpasswds e di aggiungere il tuo nome utente.
Per istruzioni dettagliate, consulta la nostra guida su come proteggere con password la cartella di amministrazione di WordPress.
3. Disabilita la navigazione delle directory
Molti esperti di sicurezza di WordPress consigliano di disabilitare la navigazione delle directory. Con la navigazione delle directory abilitata, gli hacker possono esaminare la struttura delle directory e dei file del tuo sito per trovare un file vulnerabile.
Per disabilitare la navigazione delle directory sul tuo sito web, devi aggiungere la seguente riga al tuo file .htaccess:
Options -Indexes
Per saperne di più su questo argomento, consulta la nostra guida su come disabilitare la navigazione delle directory in WordPress.
4. Disabilita l'esecuzione di PHP in alcune directory di WordPress
A volte, gli hacker accedono a un sito WordPress e installano una backdoor. Questi file backdoor sono spesso mascherati da file core di WordPress e vengono inseriti nelle cartelle /wp-includes/ o /wp-content/uploads/.
Un modo più semplice per migliorare la sicurezza del tuo WordPress è disabilitare l'esecuzione di PHP per alcune directory di WordPress.
Dovrai creare un file .htaccess vuoto sul tuo computer e poi incollarci il seguente codice:
<Files *.php>
deny from all
</Files>
Salva il file e poi caricalo nelle tue directory /wp-content/uploads/ e /wp-includes/.
Per maggiori informazioni, consulta il nostro tutorial su come disabilitare l'esecuzione di PHP in determinate directory di WordPress.
5. Proteggi il file di configurazione di WordPress wp-config.php
Probabilmente il file più importante nella directory principale del tuo sito WordPress è il file wp-config.php. Contiene informazioni sul tuo database WordPress e su come connettersi ad esso.
Per proteggere il tuo file wp-config.php da accessi non autorizzati, aggiungi semplicemente questo codice al tuo file .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
6. Impostazione dei reindirizzamenti 301 tramite file .htaccess
L'utilizzo dei reindirizzamenti 301 è il modo più SEO-friendly per comunicare ai tuoi utenti che i contenuti sono stati spostati in una nuova posizione. Se desideri gestire correttamente i tuoi reindirizzamenti 301 su base post per post, consulta la nostra guida su come impostare i reindirizzamenti in WordPress.
D'altra parte, se vuoi impostare rapidamente i reindirizzamenti, tutto ciò che devi fare è incollare questo codice nel tuo file .htaccess:
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/
7. Blocca indirizzi IP sospetti
Stai vedendo richieste insolitamente elevate al tuo sito web da un indirizzo IP specifico? Puoi bloccare facilmente queste richieste bloccando l'indirizzo IP nel tuo file .htaccess.
Aggiungi semplicemente il seguente codice al tuo file .htaccess:
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
Non dimenticare di sostituire xx con l'indirizzo IP che desideri bloccare.
8. Disabilita l'hotlinking di immagini in WordPress usando .htaccess
Altri siti web che effettuano l'hotlinking diretto di immagini dal tuo sito possono rallentare il tuo sito WordPress ed eccedere il tuo limite di banda. Questo non è un grosso problema per la maggior parte dei siti web più piccoli. Tuttavia, se gestisci un sito web popolare o un sito web con molte foto, questo potrebbe diventare una seria preoccupazione.
Puoi prevenire l'hotlinking di immagini aggiungendo questo codice al tuo file .htaccess:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Questo codice consente la visualizzazione delle immagini solo se la richiesta proviene da wpbeginner.com o Google.com. Non dimenticare di sostituire wpbeginner.com con il tuo nome di dominio.
Per ulteriori modi per proteggere le tue immagini, consulta la nostra guida su modi per prevenire il furto di immagini in WordPress.
9. Proteggi .htaccess dall'accesso non autorizzato
Come hai visto, ci sono così tante cose che si possono fare usando il file .htaccess. A causa della potenza e del controllo che ha sul tuo web server, è importante proteggerlo dall'accesso non autorizzato da parte degli hacker.
Aggiungi semplicemente il seguente codice al tuo file .htaccess:
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
10. Aumenta la dimensione del caricamento file in WordPress
Ci sono diversi modi per aumentare il limite di dimensione del caricamento file in WordPress. Tuttavia, per gli utenti su hosting condiviso, alcuni di questi metodi non funzionano.
Uno dei metodi che ha funzionato per molti utenti è aggiungere il seguente codice al loro file .htaccess:
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
Questo codice dice semplicemente al tuo web server di utilizzare questi valori per aumentare la dimensione del caricamento file e il tempo di esecuzione massimo in WordPress.
11. Disabilita l'accesso al file XML-RPC usando .htaccess
Ogni installazione di WordPress viene fornita con un file chiamato xmlrpc.php. Questo file consente alle app di terze parti di connettersi al tuo sito WordPress. La maggior parte degli esperti di sicurezza di WordPress consiglia che se non stai utilizzando alcuna app di terze parti, dovresti disabilitare questa funzionalità.
Ci sono diversi modi per farlo. Uno di questi è aggiungere il seguente codice al tuo file .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Per ulteriori informazioni, consulta la nostra guida su come disabilitare XML-RPC in WordPress.
12. Bloccare le scansioni degli autori in WordPress
Una tecnica comune utilizzata negli attacchi di forza bruta è eseguire scansioni degli autori su un sito WordPress e quindi tentare di decifrare le password per quegli utenti.
Puoi bloccare tali scansioni aggiungendo il seguente codice al tuo file .htaccess:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Per maggiori informazioni, consulta il nostro articolo su come scoraggiare gli attacchi di forza bruta bloccando le scansioni degli autori in WordPress.
Speriamo che questo articolo ti abbia aiutato a imparare i trucchi .htaccess più utili per WordPress. Potresti anche voler consultare la nostra guida su come eseguire un audit di sicurezza di WordPress e la nostra scelta esperta dei migliori plugin per la protezione dei contenuti di WordPress.
Se ti è piaciuto questo articolo, iscriviti al nostro canale YouTube per tutorial video su WordPress. Puoi anche trovarci su Twitter e Facebook.
Olaf
Il file .htaccess, essendo uno dei file di configurazione di Apache, è fantastico per modificare un sito web e migliorare la sicurezza. Puoi davvero fare miracoli con esso. Migliorare la sicurezza, modificare gli URL, aumentare i limiti e altro ancora. Grazie per gli ottimi esempi per questo file! Per me, la prevenzione dell'hotlinking (che in precedenza gestivo tramite Cloudflare) e la protezione tramite password delle directory (di solito gestita tramite un plugin) sono state particolarmente utili.
Dennis Muthomi
La sezione wp-config.php è stata super utile. L'ho usata su diversi siti di clienti e posso garantirne l'efficacia. Un'altra cosa che aggiungerei è di eseguire sempre un backup del file .htaccess originale prima di apportare modifiche. Questo mi ha salvato così tante volte durante la risoluzione di problemi del server. Ottima guida!
Dan
Ciao, qualcuno di questi codici può influire su Google Analytics? Ho aggiunto 5, 9 e 12 e ora GA non riesce a rilevare le informazioni sui visitatori del sito web o addirittura a mostrare se c'è qualcuno sulla piattaforma.
Supporto WPBeginner
I metodi in questo articolo non dovrebbero influire sulla capacità di Google Analytics di monitorare i tuoi contenuti. Dipenderebbe da come hai aggiunto Google Analytics per capire quale potrebbe essere il problema.
Amministratore
Jiří Vaněk
Ero piuttosto interessato al punto 9, la protezione di htaccess stesso. Significa che questo file è disponibile anche in un modo diverso dall'FTP? Ho provato ad accedervi classicamente tramite un browser web e non ho trovato un modo per farlo. Da quello che ho capito, le espressioni proibiscono l'accesso a qualsiasi cosa con hh, tt, aa nel nome. Ciò significa che c'è un modo per attaccare htaccess diverso dall'FTP?
Supporto WPBeginner
Ci sono più modi oltre a FTP per accedere ai file, questo è un modo per aiutare a limitare i modi di accesso come un altro strumento per la sicurezza del tuo sito.
Amministratore
Jiří Vaněk
Capisco e ti ringrazio per la risposta. Ho impostato i permessi a 644 sul file htaccess e vi ho inserito anche le tue direttive. Grazie per questo articolo, che ancora una volta mi ha aperto gli occhi perché ho sempre pensato che htaccess potesse essere gestito solo tramite FTP o dall'amministrazione di WordPress. Si impara sempre :).
Simeon
Grazie mille per questo. Molto utile!
Supporto WPBeginner
Lieti che sia stato utile!
Amministratore
Jackson Andrade
Utilizzo la protezione con password per wp-login.php. I miei clienti non possono disconnettersi quando login.php è protetto. C'è un modo per consentire ai clienti di disconnettersi senza chiamare wp-login.php?action=logout?
Anche gli amministratori non possono disconnettersi, ma questo non è un problema.
L'URL di logout del cliente Woocommerce è, domain.com/account/customer-logout.
Entrambi chiamano wp-login.php per il logout. Ai clienti viene richiesto l'ID e la password di htaccess. Se esiste una soluzione alternativa, fammelo sapere. Grazie
Supporto WPBeginner
Se il tuo sito ha un accesso per utenti che non sono i tuoi amministratori, allora non raccomandiamo di proteggere con password il tuo wp-login.php per il momento e al momento non abbiamo una soluzione alternativa.
Amministratore
Jackson Andrade
Grazie per queste informazioni. Spero che WordPress aggiunga una funzionalità in futuro dove non reindirizzerà a login.php per la disconnessione.
HtaccessGuy
Non proteggere con password wpadmin se usi AJAX, altrimenti romperà le cose.
Supporto WPBeginner
Se ti riferisci al punto 2 in questo elenco, abbiamo aggiunto del codice per consentire ad AJAX di continuare a funzionare.
Amministratore
Ana
Questo ha risolto il mio problema con il codice sopra. Grazie.
Abhi
Aiutami per favore.
quando incollo il seguente codice nel file .htaccess, viene visualizzato un errore che è..
Sembra che tu non abbia
il permesso di accedere a questa pagina.
Errore 403. Vietato.
Supporto WPBeginner
Per risolvere l'errore 403, ti consigliamo di consultare la nostra guida qui: https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Amministratore
Ben
Ottimo articolo!
Devo farlo se ho già installato il plugin WordFence?
Alcune persone non raccomandano di toccare il file .htaccess.
Saluti.
Supporto WPBeginner
Nessuno di questi trucchi è necessario se non si desidera utilizzarli, sono solo strumenti utili che si possono usare.
Amministratore
Sebastian
Non sono sicuro di cosa significhi esattamente "Proteggere .htaccess da accessi non autorizzati". Sarò in grado di accedervi se apporto modifiche dal punto 9?
Supporto WPBeginner
Significa che se qualcuno conosce la posizione del tuo htaccess e cerca di visualizzare il file inserendo quell'indirizzo nell'URL, il browser non sarà in grado di visualizzarlo.
Amministratore
reus
come usare nome utente e password di accesso a wp (utente registrato) per accedere al tuo argomento n. 2 (Password Protect WordPress Admin Folder).
spero di trovare una risposta qui.
grazie
Supporto WPBeginner
Se volessi usarlo, dovresti impostare le informazioni nel file htpasswds
Amministratore
reus
grazie per la tua risposta, come imposto quelle informazioni in htpasswds? grazie
Supporto WPBeginner
We show the tool to use under tip 2 in the article
Selvakumaran Krishnan
Ciao Syed Balkhi,
Devo aprire un URL che ha parametri di query e stringhe come questa.
something.example.com/pagename.php?query1=string1&query2=string2&redirecturl=http%3A%2F%2Fsomething.example2.com/something&query3=string3
Nell'URL sopra, il problema è %3A%2F%2F. Mostra un errore 403 forbidden. Se rimuovo quella parte, l'URL funziona correttamente.
Ho cercato e provato tutti i metodi come mod rewrite, redirect, ecc., ma niente funziona.
C'è un modo per rimuovere (o) riscrivere (o) reindirizzare quella parte codificata usando il file .htaccess. Quella parte è in mezzo a molti parametri. Ci sono molti parametri di query prima e dopo quella parte.
Per favore, condividi la tua idea.
Kathrine
Questo è un ottimo articolo!! Ho seguito le tue istruzioni e tutto funziona bene. Ho provato ad aprire il mio sito di amministrazione utilizzando un indirizzo IP diverso e funziona benissimo. Grazie per aver condiviso le tue conoscenze.
Mohamed Adel
Quando proteggo la directory wp-admin (come spiegato in 2. Proteggere con password la cartella di WordPress), quando vado su qualsiasi pagina del sito appare il messaggio per inserire la password.. Come posso risolvere?
Ho provato da Cpanel e succede lo stesso problema
Tony
La dritta al punto 4 per disabilitare l'esecuzione di php ha iniziato a causare problemi con l'editor tinymce in pagine e post. Un file php è incluso nella cartella tinymce che carica i file js pertinenti. Ho appena rimosso il codice htaccess dalla cartella wp-include per interrompere il problema. Forse c'è un altro modo per aggirare questo problema?
Pankaj
Il punto 5 non funziona
(5. Proteggi il file wp-config.php della configurazione di WordPress)
[05-Mar-2018 08:20:03 Etc/GMT] Errore di analisi PHP: errore di sintassi, '<' inatteso in /home/—–/public_html/xyz.com/wp-config.php alla riga 91
Supporto WPBeginner
Ciao Pankaj,
Il codice nel quinto trucco deve essere incollato nel file .htaccess e non nel file wp-config.php.
Amministratore
Maximilian
Ciao, grazie!
È possibile vedere l'intero .htaccess da qualche parte? Sì, ho letto: "metti una riga dopo l'altra" ma ancora non sono sicuro.
Quindi "# END WordPress° è ancora l'ultima riga o si trova da qualche parte in alto?
E cosa ne pensi di mettere "Options -Indexes" alla fine?
Grazie per la tua risposta!
Supporto WPBeginner
Ciao Maximilian,
Puoi aggiungere nuove righe dopo la riga #END WordPress.
Amministratore
yudi cahyadi
buon articolo..ho una domanda, dopo aver implementato il codice in htaccess. Devo installare un plugin di sicurezza o no..??
yudi cb(principiante)
Supporto WPBeginner
Ciao Yudi Cahyadi,
Sì, hai ancora bisogno di installare un plugin di sicurezza. Per maggiori informazioni, consulta la nostra guida alla sicurezza di WordPress.
Amministratore
Mario von Gollaz
Ciao, bell'articolo. C'è un modo per reindirizzare in blocco?
Mario
Kevin
Ciao,
Ottimo articolo e solo una domanda!
Dovresti inserire il codice aggiuntivo (specialmente le ottimizzazioni di velocità) prima o dopo la parte # BEGIN WordPress?
Saluti
Kevin
Brian Wohn
Ciao, il mio sviluppatore di temi mi ha detto che questo potrebbe essere in htaccess, ma non so perché il mio wordpress sta aggiungendo questo alla fine di tutte le mie pagine:
Hai idea del perché stia aggiungendo "/?v=8f2564d40946"? Ho controllato i miei Permalink, Slug, ecc. e niente lì?
Grazie per il tuo aiuto!
Supporto WPBeginner
Ciao Brian,
Sembra che il tag GeoLocation sia stato aggiunto da WooCommerce.
Se stai usando WooCommerce, puoi disattivarlo. Vai alla pagina delle Opzioni Generali di WooCommerce e deseleziona l'opzione ‘Geolocalizza con supporto per la cache della pagina’.
Amministratore
Adrienne Warden
Un altro meraviglioso post da WP Beginner… Solo un consiglio per tutti noi neofiti… Mentre WP Beginner ha alcuni dei migliori consigli e trucchi per WordPress, quando si tratta di proteggere il tuo sito, se sei su un server condiviso, cerca prima “supporto”. Ho imparato molto sul backend leggendo i post su WP Beginner, ma la verità è che non sono un esperto di backend e la maggior parte degli hosting condivisi ha già una soluzione in atto per questi tipi di problemi… Sono con InMotion e loro hanno effettivamente impostato soluzioni con un clic per molti problemi che influiscono sulla sicurezza del sito. Ho disattivato l'indice dei file direttamente da CPanel.
WP Beginner è ancora il mio punto di riferimento per la conoscenza di WordPress… Siete fantastici!
Fien
È un bell'articolo su htaccess. Ma come implementarlo in un unico file? Posso mettere tutte le righe una dopo l'altra?
Supporto WPBeginner
Ciao Fien,
Puoi aggiungerle una dopo l'altra.
Amministratore
Liew CheonFong
Ottima lista. Salvata nei preferiti!
Hai una lista simile per il server web NGINX (che non legge il file .htaccess)?
Pattye
C'è un modo per bannare i bot dall'indicizzare il mio sito con questo file. Hai suggerimenti in merito, oltre a bannare l'IP?