Всем привет друзья! Сегодняшний пост посвящаю теме – настройка htaccess файла. И в ней вы узнаете о 9 полезных и нужных трюках, которые можно проделать, используя конфигурации htaccess. Поехали!
Большинство пользователей wordpress так или иначе сталкивались и знают что такое htaccess. Это мощный конфигурационный файл, который позволяет улучшить безопасность и производительность вашего сайта вцелом.
В этой статье мы покажем 9 фокусов, которые вы можете проделать с этим файлом прямо сейчас.
Содержание
Прежде чем вносить изменения в файл, вам необходимо сделать резервную копию вашего файла htaccess. Соединитесь с вашим фтп сервером и загрузите файл из корня сайта на свой компьютер. Если вдруг что-то пойдет не так вы всегда можете восстановить прежние настройки. Рекомендую ознакомиться со статьей – как сделать бекап блога.
Если вы по каким –то причинам не видите этого файла, то вам нужно включить опцию показать скрытые файлы.
Если у вас нет .htaccess в корневой папке с сайтом, тогда вам необходимо его создать. Создаете пустой файл в блокноте и сохраняете его именно в таком расширении .htaccess. На первом месте стоит точка. После загружаете на свой сервер.
Это будет первая настройка htaccess в который мы используем защиту панели входа в админ панель нашего блога только по выбранным ip адресам. Т.е только перечисленным IP адресам разрешено войти внутрь блога. Скопируйте код ниже и вставьте:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx # whitelist Amanda's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx </LIMIT> |
Вместо xx.xx.xxподставьте свои IP адреса с которых вы входите на ваш блог. Их может быть несколько, вот все их и добавляете.
Первое что вам нужно сделать это создать файл .htpasswds. Его можно просто создать используя вот этот генератор онлайн — [urlspan]http://www.htaccesstools.com/htpasswd-generator/[/urlspan]
Загрузите .htpasswds вне публичных папок, т.е создайте папку внутри той, что вы хотите защитить паролем. В нашем примере мы будем ставить защиту паролем на папку wp-admin (директория администратора). Идеальный путь будет следующим:
1 |
home/user/.htpasswds/public_html/wp-admin/passwd/ |
Далее создаем еще один файл htaccess и помещаем его уже не в корень сайта, а в папку wp-admin .
Вот этот код нужно вставить:
1 2 3 4 5 6 7 8 9 10 |
AuthName "Admins Only" AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd AuthGroupFile /dev/null AuthType basic require user putyourusernamehere <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files> |
Важно: Не забудьте изменить строчку AuthUserFile на свой путь к файлу .htpaswds и добавить свое собственное имя, заменив putyourusernamehere.
Рекомендую ознакомиться с полезной статьей – как ограничить доступ к админ панели вордпресс.
Большинство экспертов по безопасности рекомендуют отключать просмотр каталогов в браузере. Поскольку хакеры могут увидеть уязвимости и навредить сайту. Другими словами, если вы вводите путь к какому нибудь каталогу и этот урл вбиваете в браузере – он не должен у вас отображаться и, соответственно, не должна отображаться и структура содержимого папок. Вместо этого должно появиться белое окно. На примере ниже мы видим, что контент полностью открыт.
Чтобы отключить отображение нужно в настройки htaccess файла добавить следующую строчку
Options –Indexes
Иногда взломанные сайты на вордпресс имеют, как правило, бэкдор файлы. Они часто маскируются под основные папки и файлы wordpress и помещаются в раздел wp-includes или wp-content/uploads/folders.
Самый простой способ улучшить безопасность своего блога это отключить выполнение php кода для некоторых каталогов.
Создайте .htaccess файл и добавьте в него следующий фрагмент кода:
1 2 3 |
<Files *.php> deny from all </Files> |
Теперь загрузите этот файл в директорию /wp-content/uploads/ и /wp-includes/
Наверное самый важный файл, который находится в wordpress, является wp-config.php . Он содержит информацию о базе данных и как к ней подключиться. Чтобы защитить свой wp-config.php файл от несанкционированного доступа, добавьте код ниже в настройки .htaccess:
1 2 3 4 |
<files wp-config.php> order allow,deny deny from all </files> |
Использование 301 редиректа является самым правильным способом с точки зрения seo оптимизации сайта, благодаря которому мы говорим своим пользователям, что контент сайта переехал на новое место. Происходит так называемое склеивание страниц сайта. Была страница следующего вида www.yoursite.ru/novosti-saita , а стала www.anothersite.ru/novosti-saita
Все пользователи зашедшие с поиска по первому адресу автоматически будут перенаправляться на второй. Так вот, такую переадресацию легко настроить через htaccess
Вот пример как это сделать:
1 2 |
Redirect 301 /oldurl/ http://www.example.com/newurl Redirect 301 /category/television/http://www.example.com/category/tv/ |
Видите необычные запросы от IP адресов? Хотите заблокировать их от доступа к вашему сайту? Копируйте и вставляйте следующий код в настройки htaccess
1 2 3 4 5 |
<Limit GET POST> order allow,deny deny from xxx.xxx.xx.x allow from all </Limit> |
Вместо xxx прописывайте тот подозрительный айпи, который вы заметили. Тогда ему будет запрещено обращаться к вашему сайту.
Хотлинкинг – это когда на вашем сайте присутствует очень много картинок, уникальных и находится какой-то х*й, который берет и вставляет урл вашей картинки к себе на сайт, вместо того, чтобы сохранить, отредактировать и залить к себе на сайт. Все бы ничего, НО на ваш сервер возрастает нагрузка, при этом вы Не получаете посетителей. В худшем случае ваш хостер предъявит вам требование снизить нагрузку, в противном случае отключит вам ваш сайт. Это печально, но факт имеет место быть.
Тем не менее если вы запускаете масштабный сайт с большим количеством изображений и фотографий, то проблема хотлинкинга может стать существенным барьером на вашем пути. Есть решение – вы можете это предотвратить, добавив следующий код в htaccess:
1 2 3 4 5 6 7 |
#disable hotlinking of images with forbidden or custom image option RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?feeds2.feedburner.com/wpbeginner [NC] RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L] |
Не забудьте заменить wpbeginner.com на ваше доменное имя.
Вы сами убедились на примерах выше, какую помощь может оказать настройка htaccess файла. В связи с этим этот файл может стать ахиллесовой пятой, если его не защитить от хакеров. Просто добавьте этот код и спите спокойно:
1 2 3 4 5 |
<files ~ "^.*\.([Hh][Tt][Aa])"> order allow,deny deny from all satisfy all </files> |
На этом все. Надеюсь приведенные выше трюки и хаки по настройке htaccess помогут вам обезопасить и улучшить производительность вашего блога.
Также советую вам прочитать статью — 4 способа защиты изображений от копирования и воровства
Рекомендуйте нас друзьям и знакомым, кому интересна тема блоггинга и интернет бизнеса. До встречи в следующих уроках. Ваш, Макс Метелев