Всем привет друзья! Сегодняшний пост посвящаю теме – настройка htaccess файла. И в ней вы узнаете о 9 полезных и нужных трюках, которые можно проделать, используя конфигурации htaccess. Поехали!
Большинство пользователей wordpress так или иначе сталкивались и знают что такое htaccess. Это мощный конфигурационный файл, который позволяет улучшить безопасность и производительность вашего сайта вцелом.
В этой статье мы покажем 9 фокусов, которые вы можете проделать с этим файлом прямо сейчас.
Содержание
Прежде чем вносить изменения в файл, вам необходимо сделать резервную копию вашего файла htaccess. Соединитесь с вашим фтп сервером и загрузите файл из корня сайта на свой компьютер. Если вдруг что-то пойдет не так вы всегда можете восстановить прежние настройки. Рекомендую ознакомиться со статьей – как сделать бекап блога.
Если вы по каким –то причинам не видите этого файла, то вам нужно включить опцию показать скрытые файлы.
Если у вас нет .htaccess в корневой папке с сайтом, тогда вам необходимо его создать. Создаете пустой файл в блокноте и сохраняете его именно в таком расширении .htaccess. На первом месте стоит точка. После загружаете на свой сервер.
Это будет первая настройка htaccess в который мы используем защиту панели входа в админ панель нашего блога только по выбранным ip адресам. Т.е только перечисленным IP адресам разрешено войти внутрь блога. Скопируйте код ниже и вставьте:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>
|
Вместо xx.xx.xxподставьте свои IP адреса с которых вы входите на ваш блог. Их может быть несколько, вот все их и добавляете.
Первое что вам нужно сделать это создать файл .htpasswds. Его можно просто создать используя вот этот генератор онлайн — [urlspan]http://www.htaccesstools.com/htpasswd-generator/[/urlspan]
Загрузите .htpasswds вне публичных папок, т.е создайте папку внутри той, что вы хотите защитить паролем. В нашем примере мы будем ставить защиту паролем на папку wp-admin (директория администратора). Идеальный путь будет следующим:
1
|
home/user/.htpasswds/public_html/wp-admin/passwd/
|
Далее создаем еще один файл htaccess и помещаем его уже не в корень сайта, а в папку wp-admin .
Вот этот код нужно вставить:
1
2
3
4
5
6
7
8
9
10
|
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user putyourusernamehere
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
|
Важно: Не забудьте изменить строчку AuthUserFile на свой путь к файлу .htpaswds и добавить свое собственное имя, заменив putyourusernamehere.
Рекомендую ознакомиться с полезной статьей – как ограничить доступ к админ панели вордпресс.
Большинство экспертов по безопасности рекомендуют отключать просмотр каталогов в браузере. Поскольку хакеры могут увидеть уязвимости и навредить сайту. Другими словами, если вы вводите путь к какому нибудь каталогу и этот урл вбиваете в браузере – он не должен у вас отображаться и, соответственно, не должна отображаться и структура содержимого папок. Вместо этого должно появиться белое окно. На примере ниже мы видим, что контент полностью открыт.
Чтобы отключить отображение нужно в настройки htaccess файла добавить следующую строчку
Options –Indexes
Иногда взломанные сайты на вордпресс имеют, как правило, бэкдор файлы. Они часто маскируются под основные папки и файлы wordpress и помещаются в раздел wp-includes или wp-content/uploads/folders.
Самый простой способ улучшить безопасность своего блога это отключить выполнение php кода для некоторых каталогов.
Создайте .htaccess файл и добавьте в него следующий фрагмент кода:
1
2
3
|
<Files *.php>
deny from all
</Files>
|
Теперь загрузите этот файл в директорию /wp-content/uploads/ и /wp-includes/
Наверное самый важный файл, который находится в wordpress, является wp-config.php . Он содержит информацию о базе данных и как к ней подключиться. Чтобы защитить свой wp-config.php файл от несанкционированного доступа, добавьте код ниже в настройки .htaccess:
1
2
3
4
|
<files wp-config.php>
order allow,deny
deny from all
</files>
|
Использование 301 редиректа является самым правильным способом с точки зрения seo оптимизации сайта, благодаря которому мы говорим своим пользователям, что контент сайта переехал на новое место. Происходит так называемое склеивание страниц сайта. Была страница следующего вида www.yoursite.ru/novosti-saita , а стала www.anothersite.ru/novosti-saita
Все пользователи зашедшие с поиска по первому адресу автоматически будут перенаправляться на второй. Так вот, такую переадресацию легко настроить через htaccess
Вот пример как это сделать:
1
2
|
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/http://www.example.com/category/tv/
|
Видите необычные запросы от IP адресов? Хотите заблокировать их от доступа к вашему сайту? Копируйте и вставляйте следующий код в настройки htaccess
1
2
3
4
5
|
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
|
Вместо xxx прописывайте тот подозрительный айпи, который вы заметили. Тогда ему будет запрещено обращаться к вашему сайту.
Хотлинкинг – это когда на вашем сайте присутствует очень много картинок, уникальных и находится какой-то х*й, который берет и вставляет урл вашей картинки к себе на сайт, вместо того, чтобы сохранить, отредактировать и залить к себе на сайт. Все бы ничего, НО на ваш сервер возрастает нагрузка, при этом вы Не получаете посетителей. В худшем случае ваш хостер предъявит вам требование снизить нагрузку, в противном случае отключит вам ваш сайт. Это печально, но факт имеет место быть.
Тем не менее если вы запускаете масштабный сайт с большим количеством изображений и фотографий, то проблема хотлинкинга может стать существенным барьером на вашем пути. Есть решение – вы можете это предотвратить, добавив следующий код в htaccess:
1
2
3
4
5
6
7
|
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?wpbeginner.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?feeds2.feedburner.com/wpbeginner [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
|
Не забудьте заменить wpbeginner.com на ваше доменное имя.
Вы сами убедились на примерах выше, какую помощь может оказать настройка htaccess файла. В связи с этим этот файл может стать ахиллесовой пятой, если его не защитить от хакеров. Просто добавьте этот код и спите спокойно:
1
2
3
4
5
|
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
|
На этом все. Надеюсь приведенные выше трюки и хаки по настройке htaccess помогут вам обезопасить и улучшить производительность вашего блога.
Также советую вам прочитать статью — 4 способа защиты изображений от копирования и воровства
Рекомендуйте нас друзьям и знакомым, кому интересна тема блоггинга и интернет бизнеса. До встречи в следующих уроках. Ваш, Макс Метелев
Я подготовил для Вас обращение, с ним можете ознакомиться тут
Макс Метелев - автор, блоггер, актер местного театра, ведущий городских мероприятий. Делюсь только лучшим!