Октябрь 9th, 2014 
admin
Всем привет друзья! Сегодняшний пост посвящаю теме – настройка htaccess файла. И в ней вы узнаете о 9 полезных и нужных трюках, которые можно проделать, используя конфигурации htaccess. Поехали!
Большинство пользователей wordpress так или иначе сталкивались и знают что такое htaccess. Это мощный конфигурационный файл, который позволяет улучшить безопасность и производительность вашего сайта вцелом.
В этой статье мы покажем 9 фокусов, которые вы можете проделать с этим файлом прямо сейчас.
Приступая к работе
Прежде чем вносить изменения в файл, вам необходимо сделать резервную копию вашего файла htaccess. Соединитесь с вашим фтп сервером и загрузите файл из корня сайта на свой компьютер. Если вдруг что-то пойдет не так вы всегда можете восстановить прежние настройки. Рекомендую ознакомиться со статьей – как сделать бекап блога.
Если вы по каким –то причинам не видите этого файла, то вам нужно включить опцию показать скрытые файлы.
Если у вас нет .htaccess в корневой папке с сайтом, тогда вам необходимо его создать. Создаете пустой файл в блокноте и сохраняете его именно в таком расширении .htaccess. На первом месте стоит точка. После загружаете на свой сервер.
Защита панели входа в блог WordPress
Это будет первая настройка htaccess в который мы используем защиту панели входа в админ панель нашего блога только по выбранным ip адресам. Т.е только перечисленным IP адресам разрешено войти внутрь блога. Скопируйте код ниже и вставьте:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>
|
Вместо xx.xx.xx подставьте свои IP адреса с которых вы входите на ваш блог. Их может быть несколько, вот все их и добавляете.
Защищаем паролем папку администратора в WordPress
защита папки администратора паролем через htaccess
Первое что вам нужно сделать это создать файл .htpasswds. Его можно просто создать используя вот этот генератор онлайн – http://www.htaccesstools.com/htpasswd-generator/
Загрузите .htpasswds вне публичных папок, т.е создайте папку внутри той, что вы хотите защитить паролем. В нашем примере мы будем ставить защиту паролем на папку wp-admin (директория администратора). Идеальный путь будет следующим:
|
1
|
home/user/.htpasswds/public_html/wp-admin/passwd/
|
Далее создаем еще один файл htaccess и помещаем его уже не в корень сайта, а в папку wp-admin.
Вот этот код нужно вставить:
|
1
2
3
4
5
6
7
8
9
10
|
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
|
Важно: Не забудьте изменить строчку AuthUserFile на свой путь к файлу .htpaswds и добавить свое собственное имя, заменив putyourusernamehere.
Рекомендую ознакомиться с полезной статьей – как ограничить доступ к админ панели вордпресс.
Отключение отображения папок в WordPress
Большинство экспертов по безопасности рекомендуют отключать просмотр каталогов в браузере. Поскольку хакеры могут увидеть уязвимости и навредить сайту. Другими словами, если вы вводите путь к какому нибудь каталогу и этот урл вбиваете в браузере – он не должен у вас отображаться и, соответственно, не должна отображаться и структура содержимого папок. Вместо этого должно появиться белое окно. На примере ниже мы видим, что контент полностью открыт.
Настройка htaccess – отключаем отображение папок
Чтобы отключить отображение нужно в настройки htaccess файла добавить следующую строчку
Options –Indexes
Отключение выполнения php для некоторых директорий WordPress
Иногда взломанные сайты на вордпресс имеют, как правило, бэкдор файлы. Они часто маскируются под основные папки и файлы wordpress и помещаются в раздел wp-includes или wp-content/uploads/folders.
Самый простой способ улучшить безопасность своего блога это отключить выполнение php кода для некоторых каталогов.
Создайте .htaccess файл и добавьте в него следующий фрагмент кода:
|
1
2
3
|
<Files *.php>
deny from all
</Files>
|
Теперь загрузите этот файл в директорию /wp-content/uploads/ и /wp-includes/
Защищаем конфигурационный файл wp-config.php
Наверное самый важный файл, который находится в wordpress, является wp-config.php . Он содержит информацию о базе данных и как к ней подключиться. Чтобы защитить свой wp-config.php файл от несанкционированного доступа, добавьте код ниже в настройки .htaccess:
|
1
2
3
4
|
<files wp-config.php>
order allow,deny
deny from all
</files>
|
Настройка Настройка 301 редиректа через htaccess
Использование 301 редиректа является самым правильным способом с точки зрения seo оптимизации сайта, благодаря которому мы говорим своим пользователям, что контент сайта переехал на новое место. Происходит так называемое склеивание страниц сайта. Была страница следующего вида www.yoursite.ru/novosti-saita , а стала www.anothersite.ru/novosti-saita
Все пользователи зашедшие с поиска по первому адресу автоматически будут перенаправляться на второй. Так вот, такую переадресацию легко настроить через htaccess
Вот пример как это сделать:
|
1
2
|
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/http://www.example.com/category/tv/
|
Запрет подозрительных IP адресов
Видите необычные запросы от IP адресов? Хотите заблокировать их от доступа к вашему сайту? Копируйте и вставляйте следующий код в настройки htaccess
|
1
2
3
4
5
|
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
|
Вместо xxx прописывайте тот подозрительный айпи, который вы заметили. Тогда ему будет запрещено обращаться к вашему сайту.
Отключение хотлинкинга изображений через директорию htaccess
Хотлинкинг – это когда на вашем сайте присутствует очень много картинок, уникальных и находится какой-то х*й, который берет и вставляет урл вашей картинки к себе на сайт, вместо того, чтобы сохранить, отредактировать и залить к себе на сайт. Все бы ничего, НО на ваш сервер возрастает нагрузка, при этом вы Не получаете посетителей. В худшем случае ваш хостер предъявит вам требование снизить нагрузку, в противном случае отключит вам ваш сайт. Это печально, но факт имеет место быть.
Тем не менее если вы запускаете масштабный сайт с большим количеством изображений и фотографий, то проблема хотлинкинга может стать существенным барьером на вашем пути. Есть решение – вы можете это предотвратить, добавив следующий код в htaccess:
|
1
2
3
4
5
6
7
|
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?feeds2.feedburner.com/wpbeginner [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
|
Не забудьте заменить wpbeginner.com на ваше доменное имя.
Защита самого файла htaccess от несанкционированного доступа
Вы сами убедились на примерах выше, какую помощь может оказать настройка htaccess файла. В связи с этим этот файл может стать ахиллесовой пятой, если его не защитить от хакеров. Просто добавьте этот код и спите спокойно:
|
1
2
3
4
5
|
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
|
На этом все. Надеюсь приведенные выше трюки и хаки по настройке htaccess помогут вам обезопасить и улучшить производительность вашего блога. Рекомендуйте нас друзьям и знакомым, кому интересна тема блоггинга и интернет бизнеса. До встречи в следующих уроках. Ваш, Макс Метелев
Опубликовано в рубрике 
