Edycja pliku .htaccess Twojej witryny może wydawać się zniechęcająca dla początkujących użytkowników WordPress. Ale z naszego doświadczenia wynika, że jest to narzędzie, którego możesz użyć do poprawy wydajności, bezpieczeństwa i SEO Twojej witryny.
Możesz traktować ten plik jako panel sterowania do precyzyjnego dostrajania ustawień serwera Twojej witryny, bez potrzeby bycia ekspertem od kodowania.
W tym artykule pokażemy Ci kilka przydatnych sztuczek z plikiem .htaccess dla WordPress, które dadzą Ci większą kontrolę nad Twoją obecnością online.
Czym jest plik .htaccess i jak go edytować?
Plik .htaccess to plik konfiguracyjny serwera internetowego Apache. Jest to plik tekstowy, który pozwala na definiowanie reguł, których serwer ma przestrzegać dla Twojej witryny WordPress.
WordPress używa pliku .htaccess do generowania przyjaznej dla SEO struktury adresów URL. Jednak ten plik może zrobić znacznie więcej niż tylko przechowywać ustawienia permalinków.
Plik .htaccess znajduje się w głównym folderze Twojej witryny WordPress. Aby go edytować, musisz połączyć się ze swoją witryną za pomocą klienta FTP lub menedżera plików cPanel.
Jeśli nie możesz znaleźć swojego pliku .htaccess, zapoznaj się z naszym przewodnikiem jak znaleźć plik .htaccess w WordPressie.
Przed edycją pliku .htaccess ważne jest, aby pobrać jego kopię na swój komputer jako kopię zapasową. Możesz użyć tego pliku w przypadku, gdy coś pójdzie nie tak.
Mając to na uwadze, przyjrzyjmy się kilku przydatnym sztuczkom z plikiem .htaccess dla WordPressa, które możesz wypróbować:
- Chroń swój obszar administracyjny WordPress
- Chroń hasłem folder administracyjny WordPress
- Wyłącz przeglądanie katalogów
- Wyłącz wykonywanie PHP w niektórych katalogach WordPress
- Zabezpiecz plik konfiguracyjny WordPress wp-config.php
- Konfiguracja przekierowań 301 za pomocą pliku .htaccess
- Blokowanie podejrzanych adresów IP
- Wyłącz hotlinking obrazów w WordPress za pomocą .htaccess
- Chroń .htaccess przed nieautoryzowanym dostępem
- Zwiększ rozmiar przesyłanych plików w WordPress
- Wyłącz dostęp do pliku XML-RPC za pomocą .htaccess
- Blokowanie skanowania autorów w WordPress
1. Zabezpiecz obszar administracyjny WordPress
Możesz użyć pliku .htaccess, aby chronić obszar administracyjny WordPress, ograniczając dostęp tylko do wybranych adresów IP.
Po prostu skopiuj i wklej ten fragment kodu do swojego pliku .htaccess:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Nie zapomnij zastąpić wartości xx swoim własnym adresem IP. Jeśli używasz więcej niż jednego adresu IP do dostępu do Internetu, upewnij się, że również je dodasz.
Szczegółowe instrukcje znajdziesz w naszym przewodniku, jak ograniczyć dostęp do administracji WordPress za pomocą .htaccess.
2. Zabezpiecz hasłem folder administracyjny WordPress
Jeśli uzyskujesz dostęp do swojej witryny WordPress z wielu lokalizacji, w tym z publicznych punktów internetowych, ograniczenie dostępu do określonych adresów IP może nie być dla Ciebie odpowiednie.
Możesz użyć pliku .htaccess, aby dodać dodatkowe zabezpieczenie hasłem do obszaru administracyjnego WordPress.
Najpierw musisz wygenerować plik .htpasswds. Możesz go łatwo utworzyć, korzystając z tego generatora online.
Prześlij ten plik .htpasswds poza katalogiem publicznie dostępnym dla sieci lub folderem /public_html/. Dobra ścieżka to:
/home/user/.htpasswds/public_html/wp-admin/passwd/
Następnie utwórz plik .htaccess i prześlij go do katalogu /wp-admin/, a następnie dodaj tam następujący kod:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Ważne: Nie zapomnij zastąpić ścieżki AuthUserFile ścieżką do swojego pliku .htpasswds i dodać własnej nazwy użytkownika.
Aby uzyskać szczegółowe instrukcje, zapoznaj się z naszym przewodnikiem, jak zabezpieczyć hasłem folder administracyjny WordPress.
3. Wyłącz przeglądanie katalogów
Wielu ekspertów ds. bezpieczeństwa WordPress zaleca wyłączenie przeglądania katalogów. Gdy przeglądanie katalogów jest włączone, hakerzy mogą przeglądać strukturę katalogów i plików Twojej witryny, aby znaleźć podatny plik.
Aby wyłączyć przeglądanie katalogów na swojej stronie internetowej, musisz dodać następującą linię do pliku .htaccess:
Options -Indexes
Więcej na ten temat znajdziesz w naszym przewodniku, jak wyłączyć przeglądanie katalogów w WordPressie.
4. Wyłącz wykonywanie PHP w niektórych katalogach WordPress
Czasami hakerzy włamują się na stronę WordPress i instalują backdoor. Te pliki backdoor są często ukrywane jako podstawowe pliki WordPress i umieszczane w folderach /wp-includes/ lub /wp-content/uploads/.
Łatwiejszym sposobem na poprawę bezpieczeństwa WordPress jest wyłączenie wykonywania PHP dla niektórych katalogów WordPress.
Musisz utworzyć pusty plik .htaccess na swoim komputerze, a następnie wkleić do niego następujący kod:
<Files *.php>
deny from all
</Files>
Zapisz plik, a następnie prześlij go do katalogów /wp-content/uploads/ i /wp-includes/.
Więcej informacji znajdziesz w naszym poradniku, jak wyłączyć wykonywanie PHP w niektórych katalogach WordPress.
5. Chroń swój plik konfiguracyjny WordPress wp-config.php
Prawdopodobnie najważniejszym plikiem w katalogu głównym Twojej witryny WordPress jest plik wp-config.php. Zawiera on informacje o Twojej bazie danych WordPress i sposobie połączenia z nią.
Aby chronić swój plik wp-config.php przed nieautoryzowanym dostępem, po prostu dodaj ten kod do swojego pliku .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
6. Konfiguracja przekierowań 301 za pomocą pliku .htaccess
Używanie przekierowań 301 jest najbardziej przyjaznym dla SEO sposobem informowania użytkowników, że treść została przeniesiona w nowe miejsce. Jeśli chcesz prawidłowo zarządzać przekierowaniami 301 dla każdego posta z osobna, zapoznaj się z naszym przewodnikiem jak ustawić przekierowania w WordPress.
Z drugiej strony, jeśli chcesz szybko skonfigurować przekierowania, wystarczy wkleić ten kod do pliku .htaccess:
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/
7. Blokowanie podejrzanych adresów IP
Czy widzisz nietypowo wysokie żądania do swojej witryny z określonego adresu IP? Możesz łatwo zablokować te żądania, blokując adres IP w pliku .htaccess.
Po prostu dodaj poniższy kod do swojego pliku .htaccess:
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
Nie zapomnij zastąpić xx adresem IP, który chcesz zablokować.
8. Wyłączanie hotlinkowania obrazów w WordPressie za pomocą .htaccess
Inne strony internetowe, które bezpośrednio hotlinkują obrazy z Twojej witryny, mogą spowolnić działanie Twojej witryny WordPress i przekroczyć limit przepustowości. Nie jest to duży problem dla większości mniejszych witryn. Jednak jeśli prowadzisz popularną witrynę lub witrynę z wieloma zdjęciami, może to stać się poważnym problemem.
Możesz zapobiec hotlinkingowi obrazów, dodając ten kod do pliku .htaccess:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Ten kod pozwala na wyświetlanie obrazów tylko wtedy, gdy żądanie pochodzi z wpbeginner.com lub Google.com. Nie zapomnij zastąpić wpbeginner.com nazwą swojej domeny.
Więcej sposobów ochrony obrazów znajdziesz w naszym przewodniku sposoby zapobiegania kradzieży obrazów w WordPress.
9. Chroń .htaccess przed nieautoryzowanym dostępem
Jak widziałeś, za pomocą pliku .htaccess można zrobić wiele rzeczy. Ze względu na jego moc i kontrolę nad serwerem internetowym, ważne jest, aby chronić go przed nieautoryzowanym dostępem hakerów.
Po prostu dodaj poniższy kod do swojego pliku .htaccess:
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
10. Zwiększ rozmiar przesyłanych plików w WordPress
Istnieją różne sposoby na zwiększenie limitu rozmiaru przesyłanych plików w WordPress. Jednak dla użytkowników współdzielonego hostingu niektóre z tych metod nie działają.
Jedną z metod, która zadziałała dla wielu użytkowników, jest dodanie następującego kodu do pliku .htaccess:
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
Ten kod po prostu informuje serwer WWW, aby używał tych wartości do zwiększenia rozmiaru przesyłanych plików oraz maksymalnego czasu wykonania w WordPress.
11. Wyłącz dostęp do pliku XML-RPC za pomocą .htaccess
Każda instalacja WordPressa zawiera plik o nazwie xmlrpc.php. Ten plik pozwala aplikacjom stron trzecich na połączenie z Twoją witryną WordPress. Większość ekspertów ds. bezpieczeństwa WordPressa zaleca, aby jeśli nie korzystasz z żadnych aplikacji stron trzecich, wyłączyć tę funkcję.
Istnieje wiele sposobów, aby to zrobić. Jednym z nich jest dodanie następującego kodu do pliku .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Więcej informacji znajdziesz w naszym przewodniku, jak wyłączyć XML-RPC w WordPressie.
12. Blokowanie skanowania autorów w WordPressie
Powszechną techniką stosowaną w atakach typu brute force jest przeprowadzanie skanowania autorów na stronie WordPress, a następnie próba złamania haseł dla tych nazw użytkowników.
Możesz zablokować takie skanowanie, dodając następujący kod do pliku .htaccess:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Więcej informacji znajdziesz w naszym artykule o tym, jak zniechęcić do ataków brute force poprzez blokowanie skanowania autorów w WordPress.
Mamy nadzieję, że ten artykuł pomógł Ci poznać najprzydatniejsze sztuczki z plikiem .htaccess dla WordPress. Możesz również zapoznać się z naszym przewodnikiem na temat wykonywania audytu bezpieczeństwa WordPress oraz naszym wyborem ekspertów najlepszych wtyczek do ochrony treści WordPress.
Jeśli podobał Ci się ten artykuł, zasubskrybuj nasz kanał YouTube po samouczki wideo WordPress. Możesz nas również znaleźć na Twitterze i Facebooku.
Olaf
Plik .htaccess, jako jeden z plików konfiguracyjnych Apache, jest fantastyczny do modyfikowania strony internetowej i zwiększania bezpieczeństwa. Można z nim naprawdę zdziałać cuda. Poprawa bezpieczeństwa, modyfikowanie adresów URL, zwiększanie limitów i wiele więcej. Dziękuję za świetne przykłady dla tego pliku! Dla mnie szczególnie przydatne okazały się zapobieganie hotlinkingowi (które wcześniej obsługiwałem przez Cloudflare) i ochrona katalogów hasłem (zwykle zarządzałem tym za pomocą wtyczki).
Dennis Muthomi
Sekcja wp-config.php była bardzo pomocna. Używałem tego na kilku stronach klientów i mogę to potwierdzić. Jedną z innych rzeczy, które bym dodał, jest zawsze tworzenie kopii zapasowej oryginalnego pliku .htaccess przed wprowadzeniem zmian. To wielokrotnie ratowało mnie podczas rozwiązywania problemów z serwerem. Świetny przewodnik!
Dan
Cześć, czy którykolwiek z tych kodów może wpłynąć na Google Analytics? Dodałem 5, 9 i 12, a GA nie może wykryć informacji o odwiedzających witrynę, ani nawet pokazać, czy ktoś jest na platformie.
Wsparcie WPBeginner
Metody opisane w tym artykule nie powinny wpływać na zdolność Google Analytics do śledzenia Twoich treści. Zależałoby to od tego, jak dodałeś Google Analytics, co mogłoby być problemem.
Admin
Jiří Vaněk
Byłem dość zainteresowany punktem 9, ochroną samego htaccess. Czy to oznacza, że ten plik jest również dostępny w inny sposób niż przez FTP? Próbowałem uzyskać do niego dostęp klasycznie przez przeglądarkę internetową i nie znalazłem sposobu. Z tego, co rozumiem, wyrażenia zabraniają dostępu do wszystkiego z nazwą zawierającą hh, tt, aa. Czy to oznacza, że istnieje sposób na atak na htaccess inny niż przez FTP?
Wsparcie WPBeginner
Istnieją inne sposoby dostępu do plików niż tylko FTP, jest to jeden ze sposobów ograniczenia sposobów dostępu jako kolejne narzędzie do bezpieczeństwa Twojej witryny.
Admin
Jiří Vaněk
Rozumiem i dziękuję za odpowiedź. Ustawiam uprawnienia na 644 dla pliku htaccess i wkleiłem tam również Twoje dyrektywy. Dziękuję za ten artykuł, który po raz kolejny otworzył mi oczy, ponieważ zawsze myślałem, że htaccess można zarządzać tylko przez FTP lub panel administracyjny WordPress. Zawsze się uczymy :).
Simeon
Dziękuję bardzo za to. Bardzo pomocne!
Wsparcie WPBeginner
Cieszę się, że było pomocne!
Admin
Jackson Andrade
Używam ochrony hasłem dla wp-login.php. Moi klienci nie mogą się wylogować, gdy login.php jest chroniony. Czy jest sposób, aby umożliwić klientom wylogowanie się bez wywoływania wp-login.php?action=logout?
Administratorzy również nie mogą się wylogować, ale to nie jest problem.
URL wylogowania klienta WooCommerce to domain.com/account/customer-logout.
Oba wywołują wp-login.php do wylogowania. Od klientów wymagany jest identyfikator i hasło htaccess. Jeśli istnieje obejście, daj mi znać. Dzięki
Wsparcie WPBeginner
Jeśli Twoja witryna ma logowanie dla użytkowników, którzy nie są Twoimi administratorami, to na razie nie zalecamy ochrony hasłem pliku wp-login.php i nie mamy w tej chwili obejścia.
Admin
Jackson Andrade
Dzięki za tę informację. Mam nadzieję, że WordPress doda w przyszłości funkcję, która nie będzie przekierowywać do login.php przy wylogowywaniu.
HtaccessGuy
Nie zabezpieczaj hasłem wpadmin, jeśli używasz AJAX, w przeciwnym razie zepsuje to niektóre rzeczy.
Wsparcie WPBeginner
Jeśli masz na myśli 2 na tej liście, dodaliśmy kod, aby umożliwić działanie ajax.
Admin
Ana
To rozwiązało mój problem z powyższym kodem. Dzięki.
Abhi
Proszę o pomoc.
kiedy wklejam poniższy kod do pliku .htaccess, pojawia się błąd, który brzmi..
Wygląda na to, że nie masz
uprawnień do dostępu do tej strony.
Błąd 403. Niedozwolone.
Wsparcie WPBeginner
Aby rozwiązać błąd 403, zapoznaj się z naszym przewodnikiem tutaj: https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ben
Świetny artykuł!
Czy muszę to zrobić, jeśli mam już zainstalowany wtyczkę WordFence?
Niektórzy ludzie nie zalecają grzebania w pliku .htaccess.
Pozdrawiam.
Wsparcie WPBeginner
Żadna z tych sztuczek nie jest wymagana, jeśli nie chcesz z nich korzystać, są to tylko pomocne narzędzia, z których możesz skorzystać.
Admin
Sebastian
Nie jestem pewien, co dokładnie oznacza „Chroń .htaccess przed nieautoryzowanym dostępem”. Czy będę mógł uzyskać do niego dostęp, jeśli wprowadzę zmiany z punktu 9?
Wsparcie WPBeginner
Oznacza to, że jeśli ktoś wie, gdzie znajduje się Twój plik htaccess i spróbuje wyświetlić plik, wpisując ten adres w adresie URL, przeglądarka nie będzie w stanie go wyświetlić.
Admin
reus
jak użyć nazwy użytkownika i hasła logowania do WordPressa (zarejestrowany użytkownik) do dostępu w temacie nr 2 (Zabezpiecz folder administracyjny WordPress hasłem).
mam nadzieję, że znajdę tu odpowiedź.
dziękuję
Wsparcie WPBeginner
Aby z tego skorzystać, musiałbyś ustawić informacje w pliku htpasswds
Admin
reus
dziękuję za odpowiedź, jak ustawić te informacje w htpasswds? dziękuję
Wsparcie WPBeginner
We show the tool to use under tip 2 in the article
Selvakumaran Krishnan
Witaj Syed Balkhi,
Muszę otworzyć adres URL, który ma parametry zapytania i ciągi znaków takie jak ten.
something.example.com/pagename.php?query1=string1&query2=string2&redirecturl=http%3A%2F%2Fsomething.example2.com/something&query3=string3
W powyższym adresie URL problemem jest %3A%2F%2F. Wyświetla błąd 403 forbidden. Jeśli usunę tę część, adres URL działa poprawnie.
Przeszukałem i wypróbowałem wszystkie metody, takie jak mod rewrite, redirect itp., ale nic nie działa.
Czy jest jakiś sposób, aby usunąć (lub) nadpisać (lub) przekierować tę zakodowaną część za pomocą pliku .htaccess. Ta część znajduje się pośrodku wielu parametrów. Przed i po tej części jest wiele parametrów zapytania.
Proszę podziel się swoją opinią.
Kathrine
To świetny artykuł!! Postępowałem zgodnie z Twoimi instrukcjami i wszystko działa dobrze. Próbowałem otworzyć moją stronę administracyjną używając innego adresu IP i działa świetnie. Dziękuję za podzielenie się swoją wiedzą.
Mohamed Adel
Kiedy zabezpieczam katalog wp-admin (jak wyjaśniono w 2. Zabezpiecz hasłem folder WordPress Admin), gdy wchodzę na dowolną stronę w witrynie, pojawia się komunikat z prośbą o podanie hasła.. Jak to naprawić?
Próbowałem z poziomu Cpanel i ten sam problem występuje.
Tony
Wskazówka z punktu 4 dotycząca wyłączania wykonywania php zaczęła powodować problemy z edytorem tinymce na stronach i w postach. Plik php jest dołączony do folderu tinymce, który ładuje odpowiednie pliki js. Właśnie usunąłem kod htaccess z folderu wp-include, aby zatrzymać problem. Może jest inny sposób?
Pankaj
Punkt 5 nie działa
(5. Chroń swój plik konfiguracyjny WordPress wp-config.php)
[05-Mar-2018 08:20:03 Etc/GMT] PHP Parse error: syntax error, unexpected ‘<' in /home/—–/public_html/xyz.com/wp-config.php on line 91
Wsparcie WPBeginner
Cześć Pankaj,
Kod z piątej wskazówki należy wkleić do pliku .htaccess, a nie do pliku wp-config.php.
Admin
Maximilian
Cześć, dziękuję!
Czy jest możliwość zobaczenia całego pliku .htaccess gdzieś? Tak, mogłem przeczytać: „wstaw jeden wiersz po drugim”, ale nadal nie jestem pewien.
Czy wtedy „# END WordPress” jest nadal ostatnią linią, czy jest gdzieś na górze?
A co myślisz o umieszczeniu „Options -Indexes” na samym końcu?
Dziękuję za Twoją odpowiedź!
Wsparcie WPBeginner
Cześć Maximilian,
Możesz dodać nowe linie po linii #END WordPress.
Admin
yudi cahyadi
dobry artykuł..mam pytanie, po wdrożeniu kodu w htaccess. Czy muszę zainstalować wtyczkę bezpieczeństwa, czy nie..??
yudi cb(początkujący)
Wsparcie WPBeginner
Cześć Yudi Cahyadi,
Tak, nadal musisz zainstalować wtyczkę bezpieczeństwa. Więcej informacji znajdziesz w naszym przewodniku po bezpieczeństwie WordPress.
Admin
Mario von Gollaz
Cześć, świetny artykuł. Czy jest sposób na masowe przekierowanie?
Mario
Kevin
Cześć,
Świetny artykuł i tylko jedno pytanie!
Czy należy umieścić dodatkowy kod (zwłaszcza optymalizacje prędkości) przed czy po części # BEGIN WordPress?
Pozdrawiam
Kevin
Brian Wohn
Cześć, mój deweloper motywu powiedział mi, że może to być w pliku htaccess, ale nie wiem, dlaczego mój wordpress dodaje to na końcu wszystkich moich stron:
Masz jakiś pomysł, dlaczego dodaje „/?v=8f2564d40946”? Sprawdziłem moje linki stałe, aliasy itp. i nic tam nie ma?
Dzięki za pomoc!
Wsparcie WPBeginner
Cześć Brian,
Wygląda na to, że tag GeoLocation został dodany przez WooCommerce.
Jeśli używasz WooCommerce, możesz to wyłączyć. Przejdź do strony Opcje ogólne WooCommerce i odznacz opcję „Geolokalizacja z obsługą pamięci podręcznej strony”.
Admin
Adrienne Warden
Kolejny wspaniały post od WP Beginner… Tylko jedna wskazówka dla nas wszystkich nowicjuszy… Chociaż WP Beginner ma jedne z najlepszych wskazówek i sztuczek dla WordPressa, jeśli chodzi o ochronę Twojej witryny, jeśli korzystasz ze współdzielonego serwera, najpierw wyszukaj „wsparcie”. Nauczyłem się wiele o backendzie, czytając posty na WP Beginner, ale prawda jest taka – nie jestem backendowcem, a większość współdzielonych hostingów ma już wdrożone poprawki dla tego typu rzeczy… Jestem z InMotion i faktycznie mają gotowe rozwiązania jednym kliknięciem dla wielu problemów, które wpływają na bezpieczeństwo witryny. Wyłączyłem indeksowanie plików bezpośrednio z CPanelu.
WP Beginner nadal jest moim ulubionym źródłem wiedzy o WordPressie… Jesteście niesamowici!
Fien
To świetny artykuł o htaccess. Ale jak zaimplementować to w jednym pliku? Czy mogę umieścić wszystkie linie jedna po drugiej?
Wsparcie WPBeginner
Cześć Fien,
Możesz dodawać je jeden po drugim.
Admin
Liew CheonFong
Świetna lista. Zakładka dodana!
Czy masz podobną listę dla serwera NGINX (który nie odczytuje pliku .htaccess)?
Pattye
Istnieje sposób, aby zablokować botom indeksowanie Twojej witryny za pomocą tego pliku. Czy masz jakieś sugestie, jak to zrobić, oprócz blokowania adresów IP?