Editar o arquivo .htaccess do seu site pode parecer intimidante para iniciantes no WordPress. Mas, em nossa experiência, é uma ferramenta que você pode usar para melhorar o desempenho, a segurança e o SEO do seu site.
Você pode pensar no arquivo como um painel de controle para ajustar as configurações do servidor do seu site sem precisar ser um mago da codificação.
Neste artigo, mostraremos alguns truques úteis de .htaccess para WordPress que lhe darão maior controle sobre sua presença online.
O que é o Arquivo .htaccess e Como Editá-lo?
O arquivo .htaccess é um arquivo de configuração do servidor web Apache. É um arquivo de texto que permite definir regras para o seu servidor seguir para o seu site WordPress.
O WordPress usa o arquivo .htaccess para gerar uma estrutura de URL amigável para SEO. No entanto, este arquivo pode fazer muito mais do que armazenar configurações de permalink.
O arquivo .htaccess está localizado na pasta raiz do seu site WordPress. Você precisará se conectar ao seu site usando um cliente FTP ou o gerenciador de arquivos do cPanel para editá-lo.
Se você não conseguir encontrar seu arquivo .htaccess, consulte nosso guia sobre como encontrar o arquivo .htaccess no WordPress.
Antes de editar seu arquivo .htaccess, é importante baixar uma cópia dele para o seu computador como backup. Você pode usar esse arquivo caso algo dê errado.
Dito isso, vamos dar uma olhada em alguns truques úteis do .htaccess para WordPress que você pode experimentar:
- Proteja sua Área de Administração do WordPress
- Proteja por Senha a Pasta de Administração do WordPress
- Desative a Navegação de Diretórios
- Desative a Execução de PHP em Alguns Diretórios do WordPress
- Proteja o Arquivo de Configuração do WordPress wp-config.php
- Configurando Redirecionamentos 301 Através do Arquivo .htaccess
- Bloqueie Endereços IP Suspeitos
- Desative o Hotlinking de Imagens no WordPress Usando .htaccess
- Proteja o .htaccess Contra Acesso Não Autorizado
- Aumente o Tamanho de Upload de Arquivos no WordPress
- Desative o Acesso ao Arquivo XML-RPC Usando .htaccess
- Bloqueando Varreduras de Autores no WordPress
1. Proteja sua Área de Administração do WordPress
Você pode usar o .htaccess para proteger sua área de administração do WordPress, limitando o acesso apenas a endereços IP selecionados.
Simplesmente copie e cole este trecho de código em seu arquivo .htaccess:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Não se esqueça de substituir os valores xx pelo seu próprio endereço IP. Se você usa mais de um endereço IP para acessar a internet, certifique-se de adicioná-los também.
Para instruções detalhadas, veja nosso guia sobre como limitar o acesso à administração do WordPress usando .htaccess.
2. Proteja por Senha a Pasta de Administração do WordPress
Se você acessa seu site WordPress de vários locais, incluindo pontos de internet públicos, limitar o acesso a endereços IP específicos pode não funcionar para você.
Você pode usar o arquivo .htaccess para adicionar uma proteção de senha adicional à sua área de administração do WordPress.
Primeiro, você precisa gerar um arquivo .htpasswds. Você pode facilmente criar um usando este gerador online.
Faça o upload deste arquivo .htpasswds fora do seu diretório web acessível publicamente ou da pasta /public_html/. Um bom caminho seria:
/home/user/.htpasswds/public_html/wp-admin/passwd/
Em seguida, crie um arquivo .htaccess e faça o upload dele no diretório /wp-admin/ e, em seguida, adicione o seguinte código nele:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Importante: Não se esqueça de substituir o caminho AuthUserFile pelo caminho do arquivo .htpasswds e adicionar seu próprio nome de usuário.
Para instruções detalhadas, consulte nosso guia sobre como proteger por senha a pasta de administração do WordPress (wp-admin).
3. Desativar a Navegação de Diretório
Muitos especialistas em segurança do WordPress recomendam desativar a navegação de diretório. Com a navegação de diretório ativada, hackers podem examinar a estrutura de diretórios e arquivos do seu site para encontrar um arquivo vulnerável.
Para desativar a navegação de diretório em seu site, você precisa adicionar a seguinte linha ao seu arquivo .htaccess:
Options -Indexes
Para mais informações sobre este tópico, consulte nosso guia sobre como desativar a navegação de diretório no WordPress.
4. Desativar a Execução de PHP em Alguns Diretórios do WordPress
Às vezes, hackers invadem um site WordPress e instalam um backdoor. Esses arquivos backdoor geralmente são disfarçados como arquivos principais do WordPress e são colocados nas pastas /wp-includes/ ou /wp-content/uploads/.
Uma maneira mais fácil de melhorar a segurança do seu WordPress é desabilitando a execução de PHP para alguns diretórios do WordPress.
Você precisará criar um arquivo .htaccess em branco no seu computador e, em seguida, colar o seguinte código dentro dele:
<Files *.php>
deny from all
</Files>
Salve o arquivo e, em seguida, faça o upload dele para os seus diretórios /wp-content/uploads/ e /wp-includes/.
Para mais informações, confira nosso tutorial sobre como desabilitar a execução de PHP em certos diretórios do WordPress.
5. Proteja o arquivo wp-config.php de configuração do seu WordPress
Provavelmente o arquivo mais importante no diretório raiz do seu site WordPress é o arquivo wp-config.php. Ele contém informações sobre o seu banco de dados WordPress e como se conectar a ele.
Para proteger seu arquivo wp-config.php contra acesso não autorizado, basta adicionar este código ao seu arquivo .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
6. Configurando Redirecionamentos 301 através do arquivo .htaccess
Usar redirecionamentos 301 é a maneira mais amigável para SEO de informar aos seus usuários que o conteúdo foi movido para um novo local. Se você deseja gerenciar corretamente seus redirecionamentos 301 em uma base de post por post, confira nosso guia sobre como configurar redirecionamentos no WordPress.
Por outro lado, se você quiser configurar redirecionamentos rapidamente, tudo o que você precisa fazer é colar este código no seu arquivo .htaccess:
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/
7. Banir Endereços IP Suspeitos
Você está vendo um número incomumente alto de requisições para o seu site de um endereço IP específico? Você pode facilmente bloquear essas requisições bloqueando o endereço IP no seu arquivo .htaccess.
Simplesmente adicione o seguinte código ao seu arquivo .htaccess:
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
Não se esqueça de substituir xx pelo endereço IP que você deseja bloquear.
8. Desativar Hotlinking de Imagens no WordPress Usando .htaccess
Outros sites que fazem hotlinking direto de imagens do seu site podem deixar seu site WordPress lento e exceder seu limite de banda. Isso não é um grande problema para a maioria dos sites menores. No entanto, se você gerencia um site popular ou um site com muitas fotos, isso pode se tornar uma preocupação séria.
Você pode impedir o hotlinking de imagens adicionando este código ao seu arquivo .htaccess:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Este código permite que as imagens sejam exibidas apenas se a solicitação se originar de wpbeginner.com ou Google.com. Não se esqueça de substituir wpbeginner.com pelo nome do seu próprio domínio.
Para mais maneiras de proteger suas imagens, veja nosso guia sobre maneiras de impedir o roubo de imagens no WordPress.
9. Proteja o .htaccess Contra Acesso Não Autorizado
Como você viu, há muitas coisas que podem ser feitas usando o arquivo .htaccess. Devido ao poder e controle que ele tem sobre seu servidor web, é importante protegê-lo contra acesso não autorizado por hackers.
Simplesmente adicione o seguinte código ao seu arquivo .htaccess:
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
10. Aumente o Tamanho do Upload de Arquivos no WordPress
Existem diferentes maneiras de aumentar o limite de tamanho de upload de arquivos no WordPress. No entanto, para usuários em hospedagem compartilhada, alguns desses métodos não funcionam.
Um dos métodos que funcionou para muitos usuários é adicionar o seguinte código ao arquivo .htaccess:
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
Este código simplesmente diz ao seu servidor web para usar esses valores para aumentar o tamanho do upload de arquivos, bem como o tempo máximo de execução no WordPress.
11. Desabilite o Acesso ao Arquivo XML-RPC Usando .htaccess
Cada instalação do WordPress vem com um arquivo chamado xmlrpc.php. Este arquivo permite que aplicativos de terceiros se conectem ao seu site WordPress. A maioria dos especialistas em segurança do WordPress aconselha que, se você não estiver usando nenhum aplicativo de terceiros, deverá desabilitar este recurso.
Existem várias maneiras de fazer isso. Uma delas é adicionando o seguinte código ao seu arquivo .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Para mais informações, consulte nosso guia sobre como desativar o XML-RPC no WordPress.
12. Bloqueando varreduras de autor no WordPress
Uma técnica comum usada em ataques de força bruta é executar varreduras de autor em um site WordPress e, em seguida, tentar quebrar senhas para esses nomes de usuário.
Você pode bloquear tais varreduras adicionando o seguinte código ao seu arquivo .htaccess:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Para mais informações, consulte nosso artigo sobre como desencorajar ataques de força bruta bloqueando varreduras de autor no WordPress.
Esperamos que este artigo tenha ajudado você a aprender os truques mais úteis do .htaccess para WordPress. Você também pode querer ver nosso guia sobre como realizar uma auditoria de segurança do WordPress e nossa escolha de especialista dos melhores plugins de proteção de conteúdo WordPress.
Se você gostou deste artigo, por favor, inscreva-se em nosso Canal do YouTube para tutoriais em vídeo do WordPress. Você também pode nos encontrar no Twitter e no Facebook.
Olaf
O arquivo .htaccess, como um dos arquivos de configuração do Apache, é fantástico para modificar um site e aprimorar a segurança. Você pode realmente fazer maravilhas com ele. Melhorar a segurança, modificar URLs, aumentar limites e muito mais. Obrigado pelos ótimos exemplos para este arquivo! Para mim, a prevenção de hotlinking (que eu anteriormente gerenciava através do Cloudflare) e a proteção de diretório por senha (geralmente eu gerenciava via plugin) têm sido particularmente úteis.
Dennis Muthomi
A seção wp-config.php foi super útil. Usei isso em vários sites de clientes e posso atestar. Outra coisa que eu adicionaria é sempre fazer backup do seu arquivo .htaccess original antes de fazer alterações. Isso me salvou tantas vezes ao solucionar problemas do servidor. Ótimo guia!
Dan
Olá, algum desses códigos pode afetar o Google Analytics? Adicionei 5, 9 e 12 e agora o GA não consegue detectar informações de visitantes do site ou mesmo mostrar se há alguém na plataforma.
WPBeginner Support
Os métodos neste artigo não devem afetar a capacidade do Google Analytics de rastrear seu conteúdo. Dependeria de como você adicionou o Google Analytics para o que poderia ser o problema.
Admin
Jiří Vaněk
Fiquei bastante interessado no ponto 9, sobre proteger o htaccess em si. Isso significa que este arquivo também está disponível de outra forma que não seja via FTP? Tentei acessá-lo classicamente através de um navegador web e não consegui encontrar uma maneira de fazer isso. Pelo que entendi, as expressões proíbem o acesso a qualquer coisa com hh, tt, aa no nome. Isso significa que existe uma maneira de atacar o htaccess que não seja via FTP?
WPBeginner Support
Existem mais maneiras do que apenas FTP para acessar arquivos, esta é uma maneira de ajudar a limitar as formas de acesso como outra ferramenta para a segurança do seu site.
Admin
Jiří Vaněk
Entendi e agradeço a resposta. Defini as permissões para 644 no arquivo htaccess e também inseri suas diretivas nele. Obrigado por este artigo, que mais uma vez abriu meus olhos porque eu sempre pensei que o htaccess só poderia ser gerenciado via FTP ou pelo admin do WordPress. A gente está sempre aprendendo :).
Simeon
Muito obrigado por isso. Muito útil!
WPBeginner Support
Que bom que foi útil!
Admin
Jackson Andrade
Eu uso proteção por senha para wp-login.php. Meus clientes não conseguem fazer logout quando login.php está protegido. Existe alguma maneira de permitir que os clientes façam logout sem chamar wp-login.php?action=logout?
Os administradores também não conseguem fazer logout, mas isso não é um problema.
A URL de logout do cliente do Woocommerce é, domain.com/account/customer-logout.
Ambos chamam wp-login.php para fazer logout. Os clientes são solicitados a fornecer ID e senha do htaccess. Se houver uma solução alternativa, me avise. Obrigado
WPBeginner Support
Se o seu site tiver um login para usuários que não são seus administradores, não recomendamos proteger seu wp-login.php com senha por enquanto e não temos uma solução alternativa neste momento.
Admin
Jackson Andrade
Obrigado por essa informação. Espero que o WordPress adicione um recurso no futuro onde não redirecione para login.php para sair.
HtaccessGuy
Não proteja o wpadmin com senha se você usar AJAX, caso contrário, isso quebrará as coisas.
WPBeginner Support
Se você se refere a 2 nesta lista, adicionamos código para permitir que o ajax continue funcionando.
Admin
Ana
Isso resolveu meu problema com o código acima. Obrigado.
Abhi
Por favor, me ajude.
quando eu colo o seguinte código no arquivo .htaccess, ele mostra um erro que é..
Parece que você não tem
permissão para acessar esta página.
Erro 403. Proibido.
WPBeginner Support
Para resolver o erro 403, você deve dar uma olhada em nosso guia aqui: https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ben
Ótimo artigo!
Preciso fazer isso se eu já tiver o plugin WordFence instalado?
Algumas pessoas não recomendam mexer no arquivo .htaccess.
Atenciosamente.
WPBeginner Support
Nenhum desses truques é necessário se você não quiser usá-los, são apenas ferramentas úteis que você pode usar.
Admin
Sebastian
Não tenho certeza do que significa exatamente “Proteger .htaccess de acesso não autorizado”. Poderei acessá-lo se fizer alterações a partir do ponto 9?
WPBeginner Support
Significa que se alguém souber onde seu htaccess está localizado e tentar visualizar o arquivo colocando esse endereço na URL, o navegador não conseguirá visualizá-lo.
Admin
reus
como usar nome de usuário e senha do wp login (usuário registrado) para acessar em seu tópico nº 2 (Pasta de Administração do WordPress Protegida por Senha).
espero encontrar a resposta aqui.
obrigado
WPBeginner Support
Se você quisesse usar isso, precisaria definir as informações no arquivo htpasswds
Admin
reus
obrigado pela sua resposta, como definir essas informações em htpasswds? obrigado
WPBeginner Support
We show the tool to use under tip 2 in the article
Selvakumaran Krishnan
Oi Syed Balkhi,
Tenho que abrir uma URL que tem parâmetros de consulta e strings como esta.
something.example.com/pagename.php?query1=string1&query2=string2&redirecturl=http%3A%2F%2Fsomething.example2.com/something&query3=string3
Na URL acima, o problema é %3A%2F%2F. Ele mostra um erro 403 proibido. Se eu remover essa parte, a URL funciona bem.
Pesquisei e tentei todos os métodos como mod rewrite, redirect, etc., mas nada funciona.
Existe alguma maneira de remover (ou) reescrever (ou) redirecionar essa parte codificada usando o arquivo .htaccess. Essa parte está no meio de muitos parâmetros. Há muitos parâmetros de consulta antes e depois dessa parte.
Por favor, compartilhe sua ideia.
Kathrine
Este é um ótimo artigo!! Segui suas instruções e tudo funciona bem. Tentei abrir meu site de administração usando um endereço IP diferente e funcionou muito bem. Obrigado por compartilhar seu conhecimento.
Mohamed Adel
Ao proteger o diretório para wp-admin (como explicado em 2. Proteja por senha a pasta do WordPress), quando acesso qualquer página do site, a mensagem para inserir a senha aparece. Como corrigir isso?
Eu tentei pelo Cpanel e o mesmo problema acontece.
Tony
A dica no ponto 4 para desabilitar a execução de php começou a causar problemas com o editor tinymce em páginas e posts. Um arquivo php é incluído na pasta tinymce que carrega os arquivos js relevantes. Acabei de remover o código htaccess da pasta wp-include para parar o problema. Talvez haja outra maneira de contornar isso?
Pankaj
O Ponto 5 não está funcionando
(5. Proteja o arquivo de configuração do WordPress wp-config.php)
[05-Mar-2018 08:20:03 Etc/GMT] Erro de análise PHP: erro de sintaxe, inesperado '<' em /home/—–/public_html/xyz.com/wp-config.php na linha 91
WPBeginner Support
Olá Pankaj,
O código na 5ª dica precisa ser colado no arquivo .htaccess e não no arquivo wp-config.php.
Admin
Maximilian
Olá, obrigado!
É possível ver o .htaccess completo em algum lugar? Sim, eu li: “coloque uma linha após a outra”, mas ainda não tenho certeza.
E então o "# END WordPress°" é a última linha ou está em algum lugar no topo?
E o que você acha de colocar "Options -Indexes" no final?
Obrigado pela sua resposta!
WPBeginner Support
Olá Maximilian,
Você pode adicionar novas linhas após a linha #END WordPress.
Admin
yudi cahyadi
bom artigo..tenho uma pergunta, depois de implementar o código no htaccess. Preciso instalar um plugin de segurança ou não..??
yudi cb(iniciante)
WPBeginner Support
Olá Yudi Cahyadi,
Sim, você ainda precisa instalar um plugin de segurança. Por favor, veja nosso guia de segurança do WordPress para mais informações.
Admin
Mario von Gollaz
Olá, ótimo artigo. Existe alguma maneira de redirecionar em massa?
Mario
Kevin
Olá,
Ótimo artigo e apenas uma pergunta!
Você deve colocar o código extra (especialmente otimizações de velocidade) antes ou depois da parte # BEGIN WordPress?
Atenciosamente
Kevin
Brian Wohn
Olá, meu desenvolvedor de temas me disse que isso pode estar no htaccess, mas não sei por que meu wordpress está adicionando isso no final de todas as minhas páginas:
Alguma ideia de por que está adicionando o "/?v=8f2564d40946"? Verifiquei meus Permalinks, Slugs, etc. e nada lá?
Obrigado pela sua ajuda!
WPBeginner Support
Olá Brian,
Parece que a tag GeoLocation foi adicionada pelo WooCommerce.
Se você estiver usando o WooCommerce, poderá desativá-la. Vá para a página de Opções Gerais do WooCommerce e desmarque a opção 'Geolocalizar com suporte a cache de página'.
Admin
Adrienne Warden
Mais um post maravilhoso do WP Beginner… Apenas uma dica para todos nós novatos… Embora o WP Beginner tenha algumas das melhores dicas e truques para WordPress, quando se trata de proteger seu site, se você estiver em um servidor compartilhado, pesquise "suporte" primeiro. Aprendi muito sobre o backend lendo posts no WP Beginner, mas a verdade é que – eu não sou um especialista em backend e a maioria das hospedagens compartilhadas já tem uma solução para esses tipos de problemas… Estou com a InMotion e eles realmente configuraram soluções de um clique para muitos problemas que afetam a segurança do site. Desativei o índice de arquivos diretamente do CPanel…
Ainda assim, o WP Beginner é minha referência para conhecimento de WordPress… Vocês são incríveis!
Fien
Este é um bom artigo sobre htaccess. Mas como implementar isso em um arquivo? Posso colocar todas as linhas uma após a outra?
WPBeginner Support
Olá Fien,
Você pode adicioná-las uma após a outra.
Admin
Liew CheonFong
Ótima lista. Marcado!
Você tem uma lista semelhante para o servidor web NGINX (que não lê o arquivo .htaccess)?
Pattye
Existe uma maneira de proibir que bots rastreiem seu site com este arquivo. Alguma sugestão para fazer isso, além de proibir o IP?