Att redigera din webbplats .htaccess-fil kan verka skrämmande för WordPress-nybörjare. Men enligt vår erfarenhet är det ett verktyg du kan använda för att förbättra din webbplats prestanda, säkerhet och SEO.
Du kan se filen som en kontrollpanel för att finjustera din webbplats serverinställningar utan att behöva vara en kodningsguru.
I den här artikeln visar vi dig några användbara .htaccess-knep för WordPress som ger dig större kontroll över din online-närvaro.
Vad är .htaccess-filen och hur redigerar man den?
.htaccess-filen är en konfigurationsfil för Apache-webbservern. Det är en textfil som låter dig definiera regler för din server att följa för din WordPress-webbplats.
WordPress använder .htaccess-filen för att generera en SEO-vänlig URL-struktur. Den här filen kan dock göra mycket mer än att lagra inställningar för permalänkar.
.htaccess-filen finns i din WordPress-webbplats rotmapp. Du måste ansluta till din webbplats med en FTP-klient eller cPanel-filhanterare för att redigera den.
Om du inte kan hitta din .htaccess-fil, se vår guide om hur du hittar .htaccess-filen i WordPress.
Innan du redigerar din .htaccess-fil är det viktigt att ladda ner en kopia av den till din dator som en säkerhetskopia. Du kan använda den filen om något går fel.
Med det sagt, låt oss titta på några användbara .htaccess-knep för WordPress som du kan prova:
- Skydda ditt WordPress-administratörsområde
- Lösenordsskydda WordPress admin-mapp
- Inaktivera katalogbläddring
- Inaktivera PHP-körning i vissa WordPress-kataloger
- Skydda din WordPress-konfigurationsfil wp-config.php
- Konfigurera 301-omdirigeringar via .htaccess-filen
- Blockera misstänkta IP-adresser
- Inaktivera bildhotlinking i WordPress med .htaccess
- Skydda .htaccess från obehörig åtkomst
- Öka filuppladdningsstorleken i WordPress
- Inaktivera åtkomst till XML-RPC-fil med .htaccess
- Blockera författar-skanningar i WordPress
1. Skydda ditt WordPress adminområde
Du kan använda .htaccess för att skydda ditt WordPress-adminområde genom att begränsa åtkomsten till endast utvalda IP-adresser.
Kopiera och klistra bara in den här kodsnutten i din .htaccess-fil:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>
Glöm inte att ersätta xx-värden med din egen IP-adress. Om du använder mer än en IP-adress för att komma åt internet, se till att lägga till dem också.
För detaljerade instruktioner, se vår guide om hur du begränsar åtkomst till WordPress-admin med .htaccess.
2. Lösenordsskydda WordPress administrationsmapp
Om du kommer åt din WordPress-webbplats från flera platser, inklusive offentliga internetplatser, kanske det inte fungerar för dig att begränsa åtkomsten till specifika IP-adresser.
Du kan använda .htaccess-filen för att lägga till ytterligare lösenordsskydd för ditt WordPress-administratörsområde.
Först måste du generera en .htpasswds-fil. Du kan enkelt skapa en med hjälp av denna onlinegenerator.
Ladda upp den här .htpasswds-filen utanför din publikt tillgängliga webbkatalog eller /public_html/-mapp. En bra sökväg skulle vara:
/home/user/.htpasswds/public_html/wp-admin/passwd/
Skapa sedan en .htaccess-fil och ladda upp den i katalogen /wp-admin/ och lägg sedan till följande kod där:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Viktigt: Glöm inte att ersätta sökvägen för AuthUserFile med filsökvägen till din .htpasswds-fil och lägg till ditt eget användarnamn.
För detaljerade instruktioner, se vår guide om hur du lösenordsskyddar WordPress admin-mapp.
3. Inaktivera katalogbläddring
Många WordPress-säkerhetsexperter rekommenderar att inaktivera katalogbläddring. Med katalogbläddring aktiverat kan hackare titta in i din webbplats katalog- och filstruktur för att hitta en sårbar fil.
För att inaktivera kataloglistning på din webbplats behöver du lägga till följande rad i din .htaccess-fil:
Options -Indexes
För mer information om detta ämne, se vår guide om hur du inaktiverar katalogbläddring i WordPress.
4. Inaktivera PHP-körning i vissa WordPress-kataloger
Ibland bryter hackare sig in på en WordPress-webbplats och installerar en bakdörr. Dessa bakdörrsfiler är ofta förklädda till kärnfiler i WordPress och placeras i mapparna /wp-includes/ eller /wp-content/uploads/.
Ett enklare sätt att förbättra din WordPress-säkerhet är att inaktivera PHP-körning för vissa WordPress-kataloger.
Du måste skapa en tom .htaccess-fil på din dator och sedan klistra in följande kod i den:
<Files *.php>
deny from all
</Files>
Spara filen och ladda sedan upp den till dina kataloger /wp-content/uploads/ och /wp-includes/.
För mer information, kolla in vår handledning om hur du inaktiverar PHP-körning i vissa WordPress-kataloger.
5. Skydda din WordPress-konfigurationsfil wp-config.php
Förmodligen den viktigaste filen i din WordPress-webbplats rotkatalog är wp-config.php-filen. Den innehåller information om din WordPress-databas och hur du ansluter till den.
För att skydda din wp-config.php-fil från obehörig åtkomst, lägg helt enkelt till denna kod i din .htaccess-fil:
<files wp-config.php>
order allow,deny
deny from all
</files>
6. Konfigurera 301-omdirigeringar via .htaccess-filen
Att använda 301-omdirigeringar är det mest SEO-vänliga sättet att tala om för dina användare att innehåll har flyttats till en ny plats. Om du vill hantera dina 301-omdirigeringar korrekt för varje enskilt inlägg, kolla in vår guide om hur man ställer in omdirigeringar i WordPress.
Å andra sidan, om du snabbt vill ställa in omdirigeringar, behöver du bara klistra in den här koden i din .htaccess-fil:
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/
8. Blockera misstänkta IP-adresser
Ser du ovanligt många förfrågningar till din webbplats från en specifik IP-adress? Du kan enkelt blockera dessa förfrågningar genom att blockera IP-adressen i din .htaccess-fil.
Lägg helt enkelt till följande kod i din .htaccess-fil:
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
Glöm inte att ersätta xx med den IP-adress du vill blockera.
14. Inaktivera bildhotlinking i WordPress med .htaccess
Andra webbplatser som direkt länkar bilder från din webbplats kan göra din WordPress-webbplats långsam och överskrida din bandbreddsgräns. Detta är inte ett stort problem för de flesta mindre webbplatser. Men om du driver en populär webbplats eller en webbplats med många foton, kan detta bli ett allvarligt problem.
Du kan förhindra bildhotlinking genom att lägga till den här koden i din .htaccess-fil:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Den här koden tillåter endast bilder att visas om begäran kommer från wpbeginner.com eller Google.com. Glöm inte att ersätta wpbeginner.com med ditt eget domännamn.
För fler sätt att skydda dina bilder, se vår guide om sätt att förhindra bildstöld i WordPress.
9. Skydda .htaccess från obehörig åtkomst
Som du har sett finns det så många saker som kan göras med hjälp av .htaccess-filen. På grund av dess kraft och kontroll över din webbserver är det viktigt att skydda den från obehörig åtkomst av hackare.
Lägg helt enkelt till följande kod i din .htaccess-fil:
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
10. Öka filuppladdningsstorleken i WordPress
Det finns olika sätt att öka filuppladdningsgränsen i WordPress. För användare på delad hosting fungerar dock inte vissa av dessa metoder.
En av metoderna som har fungerat för många användare är att lägga till följande kod i deras .htaccess-fil:
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
Den här koden talar helt enkelt om för din webbserver att använda dessa värden för att öka filuppladdningsstorleken samt maximal exekveringstid i WordPress.
11. Inaktivera åtkomst till XML-RPC-filen med .htaccess
Varje WordPress-installation levereras med en fil som heter xmlrpc.php. Den här filen tillåter tredjepartsappar att ansluta till din WordPress-webbplats. De flesta WordPress-säkerhetsexperter rekommenderar att om du inte använder några tredjepartsappar, bör du inaktivera den här funktionen.
Det finns flera sätt att göra det. Ett av dem är att lägga till följande kod i din .htaccess-fil:
# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
För mer information, se vår guide om hur man inaktiverar XML-RPC i WordPress.
12. Blockera författarskanningar i WordPress
En vanlig teknik som används i brute force-attacker är att köra författar-skanningar på en WordPress-webbplats och sedan försöka knäcka lösenord för dessa användarnamn.
Du kan blockera sådana skanningar genom att lägga till följande kod i din .htaccess-fil:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
För mer information, se vår artikel om hur du avskräcker brute force-attacker genom att blockera författarskanningar i WordPress.
Vi hoppas att den här artikeln hjälpte dig att lära dig de mest användbara .htaccess-knepen för WordPress. Du kanske också vill se vår guide om hur man utför en säkerhetsrevision av WordPress och vårt experttips om de bästa plugins för innehållsskydd i WordPress.
Om du gillade den här artikeln, prenumerera då på vår YouTube-kanal för WordPress-videoguider. Du kan också hitta oss på Twitter och Facebook.
Olaf
.htaccess-filen, som en av Apache-konfigurationsfilerna, är fantastisk för att modifiera en webbplats och förbättra säkerheten. Du kan verkligen åstadkomma underverk med den. Förbättra säkerheten, modifiera URL:er, öka gränser och mer. Tack för de bra exemplen för den här filen! För mig har förhindrande av hotlinking (som jag tidigare hanterade via Cloudflare) och lösenordsskydd för kataloger (vanligtvis hanterade jag via ett plugin) varit särskilt användbara.
Dennis Muthomi
wp-config.php-avsnittet var superhjälpsamt. Jag har använt detta på flera klientwebbplatser och kan intyga det. En annan sak jag skulle lägga till är att alltid säkerhetskopiera din ursprungliga .htaccess-fil innan du gör ändringar. Detta har räddat mig så många gånger när jag felsökt serverproblem. Bra guide!
Dan
Hej, kan någon av dessa koder påverka Google Analytics? Jag har lagt till 5, 9 och 12 och nu kan GA inte upptäcka besökarinformation på webbplatsen eller ens visa om det finns någon på plattformen.
WPBeginner Support
Metoderna i den här artikeln bör inte påverka Googles analysförmåga att spåra ditt innehåll. Det skulle bero på hur du har lagt till Google Analytics vad som kan vara problemet.
Admin
Jiří Vaněk
Jag var ganska intresserad av punkt 9, att skydda htaccess i sig. Betyder detta att den här filen också är tillgänglig på annat sätt än via FTP? Jag försökte komma åt den klassiskt via en webbläsare och kunde inte hitta något sätt att göra det. Såvitt jag förstår, förbjuder uttrycken åtkomst till allt med hh, tt, aa i namnet. Betyder detta att det finns ett sätt att attackera htaccess på annat sätt än via FTP?
WPBeginner Support
Det finns fler sätt än bara FTP att komma åt filer, detta är ett sätt att hjälpa till att begränsa sätten att komma åt som ett annat verktyg för din webbplats säkerhet.
Admin
Jiří Vaněk
Jag förstår och tackar för svaret. Jag ställde in behörigheterna till 644 på htaccess-filen och infogade även dina direktiv i den. Tack för den här artikeln, som återigen öppnade mina ögon eftersom jag alltid trodde att htaccess bara kunde hanteras via FTP eller WordPress-admin. Man lär sig alltid :).
Simeon
Tack så mycket för detta. Mycket hjälpsamt!
WPBeginner Support
Kul att det var till hjälp!
Admin
Jackson Andrade
Jag använder lösenordsskydd för wp-login.php. Mina kunder kan inte logga ut när login.php är skyddad. Finns det ett sätt jag kan tillåta kunder att logga ut utan att anropa wp-login.php?action=logout?
Administratörer kan inte heller logga ut, men det är inget problem.
Woocommerce-kundens utloggnings-URL är, domain.com/account/customer-logout.
Båda anropar wp-login.php för utloggning. Kunder ombeds om htaccess-ID och lösenord. Om det finns en lösning, låt mig veta. Tack
WPBeginner Support
Om din webbplats har en inloggning för användare som inte är dina administratörer, rekommenderar vi inte att du lösenordsskyddar din wp-login.php för tillfället och vi har ingen lösning för detta för närvarande.
Admin
Jackson Andrade
Tack för den informationen. Hoppas Wordpress lägger till en funktion i framtiden där den inte omdirigerar till login.php för utloggning.
HtaccessGuy
Lösenordsskydda inte wpadmin om du använder AJAX, annars kommer det att orsaka problem.
WPBeginner Support
Om du menar för 2 i den här listan har vi lagt till kod för att tillåta ajax att fortsätta fungera.
Admin
Ana
Detta löste mitt problem med ovanstående kod. Tack.
Abhi
Snälla hjälp mig.
När jag klistrar in följande kod i .htaccess-filen visas ett fel som är..
Du verkar inte ha behörighet att komma åt den här sidan.
403-fel. Förbjudet.
WPBeginner Support
För att lösa 403-felet bör du titta på vår guide här: https://www.wpbeginner.com/wp-tutorials/how-to-fix-the-403-forbidden-error-in-wordpress/
Admin
Ben
Bra artikel!
Måste jag göra detta om jag redan har installerat WordFence-pluginet?
En del rekommenderar inte att man rör .htaccess-filen.
Hälsningar.
WPBeginner Support
Inget av dessa knep krävs om du inte vill använda dem, de är bara användbara verktyg som du kan använda.
Admin
Sebastian
Jag är inte säker på vad "Skydda .htaccess från obehörig åtkomst" betyder exakt. Kommer jag att kunna komma åt den om jag gör ändringar från punkt 9?
WPBeginner Support
Det innebär att om någon vet var din htaccess finns och försöker visa filen genom att ange den adressen i webbadressen, kommer webbläsaren inte att kunna visa den.
Admin
reus
hur man använder wp-inloggningsanvändarnamn och lösenord (registrerad användare) för att komma åt ditt nr. 2-ämne (Lösenordsskydda WordPress Admin-mapp).
hoppas hitta svar här.
tack
WPBeginner Support
Om du ville använda det, skulle du behöva ställa in informationen i htpasswds-filen
Admin
reus
tack för ditt svar, hur ställer jag in den informationen i htpasswds? tack
WPBeginner Support
We show the tool to use under tip 2 in the article
Selvakumaran Krishnan
Hej Syed Balkhi,
Jag måste öppna en URL som har frågeparametrar och strängar som dessa.
something.example.com/pagename.php?query1=string1&query2=string2&redirecturl=http%3A%2F%2Fsomething.example2.com/something&query3=string3
I ovanstående URL är problemet %3A%2F%2F. Det visar 403 förbjudet fel. Om jag tar bort den delen fungerar URL:en bra.
Jag har sökt och provat alla metoder som mod rewrite, redirect, etc., men inget fungerar.
Finns det något sätt att ta bort (eller) skriva om (eller) omdirigera den kodade delen med hjälp av en .htaccess-fil. Den delen är mitt i så många parametrar. Det finns många frågeparametrar före och efter den delen.
Vänligen dela din idé.
Kathrine
Det här är en fantastisk artikel!! Jag följde dina instruktioner och allt fungerar bra. Jag försökte öppna min admin-webbplats med en annan IP-adress och det fungerar utmärkt. Tack för att du delar med dig av din kunskap.
Mohamed Adel
När katalogen till wp-admin skyddas (som förklaras i 2. Lösenordsskydda WordPress Admin-mapp), när jag går till någon sida på webbplatsen visas meddelandet om att ange lösenord.. Hur fixar jag det?
Jag försökte från Cpanel och samma problem uppstår
Tony
Tipset i punkt 4 för att inaktivera php-körning har börjat orsaka problem med tinymce-redigeraren i sidor och inlägg. En php-fil inkluderas i tinymce-mappen som laddar relevanta js-filer. Jag har precis tagit bort htaccess-koden från wp-include-mappen för att stoppa problemet. Kanske finns det ett annat sätt att lösa detta?
Pankaj
Punkt 5 fungerar inte
(5. Skydda din WordPress-konfigurationsfil wp-config.php)
[05-Mar-2018 08:20:03 Etc/GMT] PHP Parse error: syntax error, unexpected ‘<' in /home/—–/public_html/xyz.com/wp-config.php on line 91
WPBeginner Support
Hej Pankaj,
Koden i det 5:e tricket måste klistras in i .htaccess-filen och inte i wp-config.php-filen.
Admin
Maximilian
Hej där, tack!
Är det möjligt att se hela .htaccess någonstans? Ja, jag kunde läsa: "lägg en rad efter den andra" men jag är fortfarande inte säker.
Är då "# SLUT WordPress" den sista raden eller ligger den någonstans högst upp?
Och vad tycker du om att sätta "Options -Indexes" allra sist?
Tack för ditt svar!
WPBeginner Support
Hej Maximilian,
Du kan lägga till nya rader efter raden #END WordPress.
Admin
yudi cahyadi
bra artikel..jag har en fråga, efter att ha implementerat koden i htaccess. Behöver jag installera ett säkerhetsplugin eller inte..??
yudi cb(nybörjare)
WPBeginner Support
Hej Yudi Cahyadi,
Ja, du behöver fortfarande installera ett säkerhetsplugin. Se vår WordPress-säkerhetsguide för mer information.
Admin
Mario von Gollaz
Hej, fin artikel. Finns det ett sätt att massomdirigera?
Mario
Kevin
Hej,
Bra artikel och bara en fråga!
Ska man placera den extra koden (särskilt hastighetsoptimeringar) före eller efter # BEGIN WordPress-delen?
Hälsningar
Kevin
Brian Wohn
Hej, min temautvecklare sa att detta kan finnas i htaccess, men jag vet inte varför min wordpress lägger till detta i slutet av alla mina sidor:
Någon idé varför den lägger till "/?v=8f2564d40946"? Jag har kontrollerat mina Permalänkar, Slugs, etc och inget där?
Tack för din hjälp!
WPBeginner Support
Hej Brian,
Det ser ut som att GeoLocation-taggen läggs till av WooCommerce.
Om du använder WooCommerce kan du stänga av det. Gå till WooCommerce Allmänna alternativ och avmarkera alternativet 'Geolokalisera med sidcache-stöd'.
Admin
Adrienne Warden
Ett annat underbart inlägg från WP Beginner… Bara ett tips för oss nybörjare… Medan WP Beginner har några av de bästa tipsen och knepen för WordPress, när det gäller att skydda din webbplats, om du är på en delad server, sök först efter ”support”. Jag har lärt mig mycket om backend genom att läsa inlägg på WP Beginner, men sanningen är – jag är ingen backend-expert och de flesta delade värdtjänster har redan en lösning på plats för den här typen av saker… Jag använder InMotion och de har faktiskt satt upp en-klickslösningar för många problem som påverkar webbplatsens säkerhet. Jag stängde av filindexeringen direkt från CPanel.
Fortfarande är WP Beginner min go-to för WordPress-kunskap... Ni är fantastiska!
Fien
Det är en fin artikel om htaccess. Men hur implementerar man detta i en fil? Kan jag lägga alla rader efter varandra?
WPBeginner Support
Hej Fien,
Du kan lägga till dem en efter en.
Admin
Liew CheonFong
Bra lista. Bokmärkt!
Har du samma lista för NGINX webbserver (som inte läser .htaccess-filen)?
Pattye
Det finns ett sätt att blockera bottar från att genomsöka din webbplats med den här filen. Några förslag på hur man gör det, förutom att blockera IP-adressen?