Editarea fișierului .htaccess al site-ului dvs. web poate părea intimidantă pentru începătorii WordPress. Dar, din experiența noastră, este un instrument pe care îl puteți folosi pentru a îmbunătăți performanța, securitatea și SEO-ul site-ului dvs. web.
Puteți considera fișierul ca pe un panou de control pentru ajustarea fină a setărilor serverului site-ului dvs., fără a fi nevoie să fiți un expert în codare.
În acest articol, vă vom arăta câteva trucuri utile .htaccess pentru WordPress care vă vor oferi un control mai mare asupra prezenței dumneavoastră online.
Ce este fișierul .htaccess și cum să îl editați?
Fișierul .htaccess este un fișier de configurare al serverului web Apache. Este un fișier text care vă permite să definiți reguli pe care serverul dvs. să le urmeze pentru site-ul dvs. WordPress.
WordPress folosește fișierul .htaccess pentru a genera o structură de URL prietenoasă cu SEO. Cu toate acestea, acest fișier poate face mult mai mult decât să stocheze setările permalink-urilor.
Fișierul .htaccess se află în folderul rădăcină al site-ului dvs. WordPress. Va trebui să vă conectați la site-ul dvs. web folosind un client FTP sau managerul de fișiere cPanel pentru a-l edita.
Dacă nu găsiți fișierul dvs. .htaccess, consultați ghidul nostru despre cum să găsiți fișierul .htaccess în WordPress.
Înainte de a edita fișierul dvs. .htaccess, este important să descărcați o copie a acestuia pe computer ca backup. Puteți folosi acel fișier în cazul în care ceva nu merge bine.
Acestea fiind spuse, să aruncăm o privire la câteva trucuri utile .htaccess pentru WordPress pe care le puteți încerca:
- Protejați-vă zona de administrare WordPress
- Protejare prin parolă a folderului de administrare WordPress
- Dezactivare navigare directoare
- Dezactivare execuție PHP în anumite directoare WordPress
- Protejați fișierul de configurare WordPress wp-config.php
- Configurarea redirecționărilor 301 prin fișierul .htaccess
- Blocarea adreselor IP suspecte
- Dezactivare hotlinking imagini în WordPress folosind .htaccess
- Protejați .htaccess de acces neautorizat
- Creșteți dimensiunea de încărcare a fișierelor în WordPress
- Dezactivare acces la fișierul XML-RPC folosind .htaccess
- Blocarea scanărilor de autori în WordPress
1. Protejați zona de administrare WordPress
Puteți utiliza .htaccess pentru a vă proteja zona de administrare WordPress prin limitarea accesului doar la adrese IP selectate.
Pur și simplu copiați și lipiți acest fragment de cod în fișierul dvs. .htaccess:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Nu uitați să înlocuiți valorile xx cu propriul dvs. adresă IP. Dacă utilizați mai mult de o adresă IP pentru a accesa internetul, asigurați-vă că le adăugați și pe acestea.
Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să limitați accesul la administrarea WordPress utilizând .htaccess.
2. Protejați prin parolă folderul de administrare WordPress
Dacă accesați site-ul dvs. WordPress din mai multe locații, inclusiv din puncte de internet publice, atunci limitarea accesului la adrese IP specifice s-ar putea să nu funcționeze pentru dvs.
Puteți folosi fișierul .htaccess pentru a adăuga o protecție suplimentară cu parolă zonei de administrare WordPress.
Mai întâi, trebuie să generați un fișier .htpasswds. Puteți crea unul cu ușurință folosind acest generator online.
Încărcați acest fișier .htpasswds în afara directorului web accesibil public sau a folderului /public_html/. O cale bună ar fi:
/home/user/.htpasswds/public_html/wp-admin/passwd/
Apoi, creați un fișier .htaccess și încărcați-l în directorul /wp-admin/, apoi adăugați următorul cod acolo:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Important: Nu uitați să înlocuiți calea AuthUserFile cu calea fișierului dvs. .htpasswds și să adăugați propriul nume de utilizator.
Pentru instrucțiuni detaliate, consultați ghidul nostru despre cum să protejați cu parolă folderul de administrare WordPress.
3. Dezactivați navigarea în directoare
Mulți experți în securitatea WordPress recomandă dezactivarea navigării prin directoare. Cu navigarea prin directoare activată, hackerii pot examina structura directoarelor și fișierelor site-ului dvs. pentru a găsi un fișier vulnerabil.
Pentru a dezactiva navigarea în directoare pe site-ul dvs., trebuie să adăugați următoarea linie în fișierul dvs. .htaccess:
Options -Indexes
Pentru mai multe informații despre acest subiect, consultați ghidul nostru despre cum să dezactivați navigarea directoarelor în WordPress.
4. Dezactivați execuția PHP în anumite directoare WordPress
Uneori, hackerii pătrund pe un site WordPress și instalează o ușă din spate. Aceste fișiere de tip ușă din spate sunt adesea deghizate în fișiere de bază WordPress și sunt plasate în folderele /wp-includes/ sau /wp-content/uploads/.
O modalitate mai ușoară de a îmbunătăți securitatea WordPress este prin dezactivarea execuției PHP pentru anumite directoare WordPress.
Va trebui să creați un fișier .htaccess gol pe computer și apoi să lipiți următorul cod în el:
<Files *.php>
deny from all
</Files>
Salvați fișierul și apoi încărcați-l în directoarele dvs. /wp-content/uploads/ și /wp-includes/.
Pentru mai multe informații, consultați tutorialul nostru despre cum să dezactivați execuția PHP în anumite directoare WordPress.
5. Protejați fișierul de configurare WordPress wp-config.php
Probabil cel mai important fișier din directorul rădăcină al site-ului dvs. WordPress este fișierul wp-config.php. Acesta conține informații despre baza de date WordPress și cum să vă conectați la ea.
Pentru a vă proteja fișierul wp-config.php de accesul neautorizat, pur și simplu adăugați acest cod în fișierul dvs. .htaccess:
<files wp-config.php>
order allow,deny
deny from all
</files>
6. Configurarea redirecționărilor 301 prin fișierul .htaccess
Utilizarea redirecționărilor 301 este cea mai bună metodă din punct de vedere SEO pentru a informa utilizatorii că un conținut s-a mutat într-o nouă locație. Dacă doriți să gestionați corect redirecționările 301 pe bază de postare individuală, consultați ghidul nostru despre cum să configurați redirecționări în WordPress.
Pe de altă parte, dacă doriți să configurați rapid redirecționări, atunci tot ce trebuie să faceți este să lipiți acest cod în fișierul dvs. .htaccess:
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/
7. Blocarea adreselor IP suspecte
Vedeți cereri neobișnuit de mari către site-ul dvs. web de la o adresă IP specifică? Puteți bloca cu ușurință aceste cereri blocând adresa IP în fișierul dvs. .htaccess.
Pur și simplu adăugați următorul cod în fișierul dvs. .htaccess:
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
Nu uitați să înlocuiți xx cu adresa IP pe care doriți să o blocați.
8. Dezactivați hotlinking-ul imaginilor în WordPress folosind .htaccess
Alte site-uri care încarcă direct imagini de pe site-ul dvs. pot face ca site-ul dvs. WordPress să fie lent și să depășească limita de lățime de bandă. Aceasta nu este o problemă majoră pentru majoritatea site-urilor web mai mici. Cu toate acestea, dacă aveți un site web popular sau un site web cu multe fotografii, atunci aceasta ar putea deveni o preocupare serioasă.
Puteți preveni hotlinking-ul imaginilor adăugând acest cod în fișierul dvs. .htaccess:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Acest cod permite afișarea imaginilor doar dacă cererea provine de la wpbeginner.com sau Google.com. Nu uitați să înlocuiți wpbeginner.com cu propriul nume de domeniu.
Pentru mai multe modalități de a vă proteja imaginile, consultați ghidul nostru despre modalități de a preveni furtul de imagini în WordPress.
9. Protejarea fișierului .htaccess de accesul neautorizat
După cum ați văzut, sunt atât de multe lucruri care pot fi făcute folosind fișierul .htaccess. Datorită puterii și controlului pe care îl are asupra serverului dvs. web, este important să îl protejați de accesul neautorizat al hackerilor.
Pur și simplu adăugați următorul cod în fișierul dvs. .htaccess:
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
10. Mărirea dimensiunii de încărcare a fișierelor în WordPress
Există diferite moduri de a crește limita de dimensiune a fișierelor încărcate în WordPress. Cu toate acestea, pentru utilizatorii de găzduire partajată, unele dintre aceste metode nu funcționează.
Una dintre metodele care a funcționat pentru mulți utilizatori este adăugarea următorului cod în fișierul lor .htaccess:
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
Acest cod spune pur și simplu serverului dvs. web să folosească aceste valori pentru a mări dimensiunea de încărcare a fișierelor, precum și timpul maxim de execuție în WordPress.
11. Dezactivați accesul la fișierul XML-RPC folosind .htaccess
Fiecare instalare WordPress vine cu un fișier numit xmlrpc.php. Acest fișier permite aplicațiilor terțe să se conecteze la site-ul dvs. WordPress. Majoritatea experților în securitate WordPress recomandă ca, dacă nu utilizați nicio aplicație terță, atunci ar trebui să dezactivați această funcționalitate.
Există mai multe moduri de a face acest lucru. Unul dintre ele este prin adăugarea următorului cod în fișierul dvs. .htaccess:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
Pentru mai multe informații, consultați ghidul nostru despre cum să dezactivați XML-RPC în WordPress.
12. Blocarea scanărilor de autori în WordPress
O tehnică comună utilizată în atacurile de tip brute force este rularea scanărilor de autori pe un site WordPress și apoi încercarea de a sparge parolele pentru acele nume de utilizator.
Puteți bloca astfel de scanări adăugând următorul cod în fișierul dvs. .htaccess:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
Pentru mai multe informații, consultați articolul nostru despre cum să descurajați atacurile de tip brute force prin blocarea scanărilor de autori în WordPress.
Sperăm că acest articol v-a ajutat să învățați cele mai utile trucuri .htaccess pentru WordPress. De asemenea, puteți consulta ghidul nostru despre cum să efectuați un audit de securitate WordPress și selecția noastră de experți a celor mai bune plugin-uri de protecție a conținutului WordPress.
Dacă ți-a plăcut acest articol, te rugăm să te abonezi la canalul nostru de YouTube pentru tutoriale video WordPress. Ne poți găsi, de asemenea, pe Twitter și Facebook.
Olaf
Fișierul .htaccess, ca unul dintre fișierele de configurare Apache, este fantastic pentru modificarea unui site web și îmbunătățirea securității. Puteți face minuni cu el. Îmbunătățirea securității, modificarea URL-urilor, creșterea limitelor și multe altele. Vă mulțumesc pentru exemplele grozave pentru acest fișier! Pentru mine, prevenirea hotlinking-ului (pe care anterior o gestionam prin Cloudflare) și protecția prin parolă a directoarelor (de obicei o gestionam printr-un plugin) au fost deosebit de utile.
Dennis Muthomi
Secțiunea wp-config.php a fost super utilă. Am folosit-o pe mai multe site-uri ale clienților și pot să o recomand. Un alt lucru pe care l-aș adăuga este să faceți întotdeauna backup la fișierul .htaccess original înainte de a face modificări. Acest lucru m-a salvat de atâtea ori atunci când am depanat probleme legate de server. Ghid excelent!
Dan
Salut, pot oare vreunul dintre aceste coduri să afecteze Google Analytics? Am adăugat 5, 9 și 12 și acum GA nu mai poate detecta informațiile vizitatorilor site-ului sau chiar să arate dacă este cineva pe platformă.
Suport WPBeginner
Metodele din acest articol nu ar trebui să afecteze capacitatea Google Analytics de a urmări conținutul dvs. Ar depinde de modul în care ați adăugat Google Analytics pentru a determina care ar putea fi problema.
Admin
Jiří Vaněk
Am fost destul de interesat de punctul 9, protejarea fișierului htaccess în sine. Înseamnă că acest fișier este disponibil și într-un alt mod decât prin FTP? Am încercat să-l accesez clasic printr-un browser web și nu am găsit nicio modalitate de a face acest lucru. Din câte înțeleg, expresiile interzic accesul la orice cu hh, tt, aa în nume. Înseamnă că există o modalitate de a ataca fișierul htaccess altfel decât prin FTP?
Suport WPBeginner
Există mai multe moduri decât doar FTP pentru a accesa fișierele, acesta este un mod de a ajuta la limitarea modurilor de acces ca un alt instrument pentru securitatea site-ului dvs.
Admin
Jiří Vaněk
Înțeleg și vă mulțumesc pentru răspuns. Am setat permisiunile la 644 pentru fișierul htaccess și am inserat, de asemenea, directivele dvs. în el. Vă mulțumesc pentru acest articol, care mi-a deschis din nou ochii, deoarece am crezut întotdeauna că fișierul htaccess poate fi gestionat doar prin FTP sau prin administratorul WordPress. Întotdeauna înveți :).
Simeon
Mulțumesc mult pentru asta. Foarte util!
Suport WPBeginner
Mă bucur că a fost util!
Admin
Jackson Andrade
Folosesc protecție prin parolă pentru wp-login.php. Clienții mei nu se pot deconecta când login.php este protejat. Există o modalitate prin care pot permite clienților să se deconecteze fără a apela wp-login.php?action=logout?
Administratorii nu se pot deconecta nici ei, dar asta nu este o problemă.
URL-ul de deconectare al clientului Woocommerce este, domain.com/account/customer-logout.
Ambele apelează wp-login.php pentru deconectare. Clienților li se solicită ID-ul și parola htaccess. Dacă există o soluție alternativă, anunțați-mă. Mulțumesc
Suport WPBeginner
Dacă site-ul dvs. are o autentificare pentru utilizatorii care nu sunt administratori, atunci nu recomandăm protejarea cu parolă a fișierului wp-login.php pentru moment și nu avem o soluție de moment.
Admin
Jackson Andrade
Mulțumesc pentru informație. Sper că Wordpress va adăuga o funcționalitate în viitor unde nu va redirecționa către login.php pentru deconectare.
HtaccessGuy
Nu protejați cu parolă wpadmin dacă folosiți AJAX, altfel va strica lucrurile.
Suport WPBeginner
Dacă vă referiți la 2 din această listă, am adăugat cod pentru a permite continuarea funcționării ajax.
Admin
Ana
Acest lucru mi-a rezolvat problema cu codul de mai sus. Mulțumesc.
Abhi
Vă rog să mă ajuta.
când lipesc următorul cod în fișierul .htaccess, apare o eroare care este..
Se pare că nu aveți
permisiunea de a accesa această pagină.
Eroare 403. Interzis.
Suport WPBeginner
Pentru rezolvarea erorii 403, ar trebui să consultați ghidul nostru aici: https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ben
Articol grozav!
Trebuie să fac asta dacă am deja instalat pluginul WordFence?
Unii oameni nu recomandă să te joci cu fișierul .htaccess.
Cu stimă.
Suport WPBeginner
Niciuna dintre aceste trucuri nu este necesară dacă nu doriți să le utilizați, sunt doar instrumente utile pe care le puteți folosi.
Admin
Sebastian
Nu sunt sigur ce înseamnă exact „Protejarea fișierului .htaccess de accesul neautorizat”. Voi putea să-l accesez dacă fac modificări de la punctul 9?
Suport WPBeginner
Aceasta înseamnă că, dacă cineva știe unde se află fișierul dvs. htaccess și încearcă să vizualizeze fișierul introducând acea adresă în URL, browserul nu va putea să-l vizualizeze.
Admin
reus
cum să folosiți numele de utilizator și parola WP login (utilizator înregistrat) pentru a accesa la subiectul nr. 2 (Protejați cu parolă folderul de administrare WordPress).
sper să găsesc răspuns aici.
mulțumesc
Suport WPBeginner
Dacă ați dori să folosiți asta, ar trebui să setați informațiile în fișierul htpasswds
Admin
reus
mulțumesc pentru răspuns, cum să setez acele informații în fișierele htpasswds? mulțumesc
Suport WPBeginner
We show the tool to use under tip 2 in the article
Selvakumaran Krishnan
Salut Syed Balkhi,
Trebuie să deschid un URL care are parametri de interogare și șiruri de caractere de genul acesta.
something.example.com/pagename.php?query1=string1&query2=string2&redirecturl=http%3A%2F%2Fsomething.example2.com/something&query3=string3
În URL-ul de mai sus, problema este %3A%2F%2F. Afișează eroarea 403 forbidden. Dacă elimin acea parte, URL-ul funcționează bine.
Am căutat și am încercat toate metodele precum mod rewrite, redirect, etc., dar nimic nu funcționează.
Există vreo modalitate de a elimina (sau) rescrie (sau) redirecționa acea parte codificată folosind fișierul .htaccess. Acea parte se află în mijlocul atâtor parametri. Există mulți parametri de interogare înainte și după acea parte.
Vă rugăm să împărtășiți ideea dumneavoastră.
Kathrine
Acesta este un articol grozav!! Am urmat instrucțiunile dvs. și totul funcționează bine. Am încercat să deschid site-ul meu de administrator folosind o adresă IP diferită și funcționează excelent. Vă mulțumesc pentru că ați împărtășit cunoștințele dvs.
Mohamed Adel
Când protejez directorul wp-admin (așa cum este explicat în 2. Protejați cu parolă directorul WordPress), când accesez orice pagină de pe site, apare mesajul de introducere a parolei.. Cum pot rezolva asta?
Am încercat din Cpanel și aceeași problemă apare
Tony
Sfatul de la punctul 4 pentru dezactivarea execuției php a început să cauzeze probleme cu editorul tinymce în pagini și postări. Un fișier php este inclus în folderul tinymce care încarcă fișierele js relevante. Tocmai am eliminat codul htaccess din folderul wp-include pentru a opri problema. Poate există o altă soluție?
Pankaj
Punctul 5 nu funcționează
(5. Protejați fișierul de configurare WordPress wp-config.php)
[05-Mar-2018 08:20:03 Etc/GMT] Eroare de analiză PHP: eroare de sintaxă, ‘<' neașteptat în /home/—–/public_html/xyz.com/wp-config.php pe linia 91
Suport WPBeginner
Salut Pankaj,
Codul din al 5-lea truc trebuie lipit în fișierul .htaccess și nu în fișierul wp-config.php.
Admin
Maximilian
Salut, mulțumesc!
Este posibil să văd .htaccess-ul complet undeva? Da, aș putea citi: „pune o linie după alta”, dar tot nu sunt sigur.
Este atunci „# END WordPress° ultima linie sau este undeva sus?
Și ce părere aveți despre punerea „Options -Indexes” chiar la final?
Vă mulțumesc pentru răspuns!
Suport WPBeginner
Salut Maximilian,
Puteți adăuga linii noi după linia #END WordPress.
Admin
yudi cahyadi
articol bun..am o întrebare, după implementarea codului în htaccess. Trebuie să instalez un plugin de securitate sau nu..??
yudi cb(beginner)
Suport WPBeginner
Salut Yudi Cahyadi,
Da, tot trebuie să instalați un plugin de securitate. Vedeți ghidul nostru despre securitatea WordPress pentru mai multe informații.
Admin
Mario von Gollaz
Salut, articol frumos. Există o modalitate de a redirecționa în masă?
Mario
Kevin
Salut,
Articol grozav și doar o întrebare!
Ar trebui să plasați codul suplimentar (în special optimizările de viteză) înainte sau după partea # BEGIN WordPress?
Salutări
Kevin
Brian Wohn
Salut, dezvoltatorul temei mele mi-a spus că acest lucru ar putea fi în htaccess, dar nu știu de ce wordpress-ul meu adaugă acest lucru la sfârșitul tuturor paginilor mele:
Aveți idee de ce adaugă „/?v=8f2564d40946”? Am verificat PermaLinks, Slugs etc. și nimic acolo?
Mulțumesc pentru ajutor!
Suport WPBeginner
Bună, Brian,
Se pare că tag-ul GeoLocation este adăugat de WooCommerce.
Dacă utilizați WooCommerce, atunci îl puteți dezactiva. Accesați pagina Opțiuni generale WooCommerce și debifați opțiunea „Geolocalizare cu suport pentru cache de pagină”.
Admin
Adrienne Warden
Un alt post minunat de la WP Beginner… Doar un sfat pentru toți începătorii… În timp ce WP Beginner are câteva dintre cele mai bune sfaturi și trucuri pentru WordPress, când vine vorba de protejarea site-ului dvs., dacă sunteți pe un server partajat, căutați mai întâi „suport”. Am învățat multe despre backend citind postări pe WP Beginner, dar adevărul este – nu sunt un expert în backend și majoritatea găzduirilor partajate au deja o soluție pentru aceste tipuri de probleme… Sunt cu InMotion și ei au configurat soluții cu un singur clic pentru multe probleme care afectează securitatea site-ului. Am dezactivat Indexul fișierelor direct din CPanel…
Încă WP Beginner este sursa mea pentru cunoștințe despre WordPress… Sunteți grozavi!
Fien
Acesta este un articol frumos despre htaccess. Dar cum să implementez asta într-un singur fișier? Pot pune toate liniile una după alta?
Suport WPBeginner
Salut Fien,
Le puteți adăuga una după alta.
Admin
Liew CheonFong
Listă grozavă. Am salvat-o!
Aveți aceeași listă pentru serverul web NGINX (care nu citește fișierul .htaccess)?
Pattye
Există o modalitate de a bloca roboții să acceseze site-ul dvs. prin acest fișier. Aveți sugestii în acest sens, pe lângă blocarea IP-ului?