15 Nyttige .htaccess-utdrag for ditt WordPress-nettsted

Å ha en godt konfigurert. Htaccess-fil er avgjørende hvis du vil øke sikkerheten og redusere sikkerhetsproblemer på WordPress-siden din. Vanligvis er hovedmålet med å opprette en egendefinert .htaccess-fil for å forhindre at nettstedet ditt blir hacket, men det er også en utmerket måte å håndtere omdirigeringer og administrere cache-relaterte oppgaver.

.htaccess er en konfigurasjonsfil som brukes på Apache webservere. De fleste WordPress-nettsteder kjøres på en Apache-server, selv om en liten del er drevet av Nginx . I denne artikkelen finner du en samling av .htaccess-kodestykker, hvorav det meste du kan bruke til å sikre nettstedet ditt mens resten implementerer andre nyttige funksjoner.

Ikke glem å sikkerhetskopiere .htaccess-filen før du redigerer den, slik at du alltid kan gå tilbake til forrige versjon hvis noe går galt.

Og hvis du er noen som heller ikke berører konfigurasjonsfiler, anbefaler jeg deg BulletProof Security plugin som er den mest pålitelige (og sannsynligvis den eldste) gratis .htaccess-sikkerhetspluggen på markedet.

Opprett standard WP .htaccess

.htaccess fungerer på en per-katalog basis som betyr at hver katalog kan ha sin egen .htaccess-fil. Det kan enkelt skje at ditt WordPress-nettsted ikke har en .htaccess-fil enda . Hvis du ikke finner en .htaccess-fil i rotkatalogen, oppretter du en tom tekstfil og heter den til .htaccess .

Nedenfor finner du standard .htaccess WordPress bruker. Når du trenger denne koden, kan du raskt se den opp i WordPress Codex. Legg merke til at det finnes en annen .htaccess for WP Multisite.

 # BEGIN WordPress  RewriteEngine On RewriteBase / RewriteRule ^ index \ .php $ - [L] RewriteCond% {REQUEST_FILENAME}! -f RewriteCond% {REQUEST_FILENAME}! -d RewriteRule. /index.php [L]  # END WordPress 

Linjene som begynner med # er kommentarer. Ikke rediger noe mellom linjene # BEGIN WordPress og # END WordPress . Legg til dine egendefinerte .htaccess-regler under disse standardreglene .

Alle kodestykker du finner i denne artikkelen, går til kjernen .htaccess-filen som finnes i rotkatalogen din.

1. Nekt tilgang til alle .htaccess-filer

Koden nedenfor nekter tilgang til alle .htaccess-filer du har installert i WordPress. På denne måten kan du forhindre at folk ser dine webserverkonfigurasjoner .

 # Avviser tilgang til alle .htaccess-filer  Ordre Tillat, Nekt Deny fra alle tilfredsstille alle 

2. Beskytt WP-konfigurasjonen

wp-config.php filen inneholder alle dine WP-konfigurasjoner, inkludert databasens innlogging og passord. Du kan enten nekte det fra alle eller gi tillatelse til admins å få tilgang til det .

Hvis du velger sistnevnte kommentar ut # Allow from xx.xx.xx.xxx linje (fjern # fra begynnelsen av linjen) og sett inn administrasjonens IP-adresse i stedet for xx.xx.xx.xxx .

 # Beskytter wp-config  Bestill Tillat, nekt # Tillat fra xx.xx.xx.xxx # Tillat fra yy.yy.yy.yyy Avvis fra alle 

3. Forhindre XML-RPC DDoS-angrep

WordPress støtter XML-RPC som standard, som er et grensesnitt som gjør det mulig for fjern publisering . Men mens det er en flott funksjon, er det også et av WPs største sikkerhetsproblem, fordi hackere kan utnytte det til DDoS-angrep .

Hvis du ikke vil bruke denne funksjonen, er det bedre å bare deaktivere den . Akkurat som før kan du legge til unntak ved å kommentere linjen # Allow from xx.xx.xx.xxx og legge til IP-adressene til administratoren din.

 # Beskytter XML-RPC, forhindrer DDoS-angrep  Ordre Avvis, Tillat # Tillat fra xx.xx.xx.xxx # Tillat fra yy.yy.yy.yyy Avvis fra alle 

4. Beskytt admin-området ditt

Det er også en god ide å beskytte administrasjonsområdet ved å gi tilgang til kun administratorer. Her, ikke glem å legge til minst ett "Tillat" unntak ellers vil du ikke kunne få tilgang til administratoren din i det hele tatt.

 # Beskytter admin-området etter IP AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic  Ordre Nekt, Tillat nekte fra alle Tillat fra xx.xx.xx.xxx Tillat fra yy.yy.yy.yyy 

5. Forhindre katalogoppføring

De fleste WordPress-nettsteder deaktiverer ikke katalogoppføring, noe som betyr at alle kan bla gjennom sine mapper og filer, inkludert mediaopplastinger og pluginfiler. Det er unødvendig å si at dette er et stort sikkerhetsproblem.

Nedenfor kan du se hvordan en typisk WordPress katalogoppføring ser ut .

Heldigvis trenger du bare en linje med kode for å blokkere denne funksjonen. Denne kodestykket returnerer en 403 feilmelding til alle som ønsker å få tilgang til katalogene dine.

 # Forhindrer katalogoppføring Alternativer -Indekser 

6. Forhindre brukernavn oppføring

Hvis WP-permalink er aktivert, er det ganske enkelt å oppregne brukernavn ved hjelp av forfatterarkivene. De avslørte brukernavnene (inkludert adminens brukernavn) kan deretter brukes i brute force angrep .

Sett inn koden nedenfor i .htaccess-filen din for å forhindre brukernavnsregistrering .

 # Forhindrer brukernavntelling RewriteCond% {QUERY_STRING} author = d RewriteRule ^ /? [L, R = 301] 

7. Blokker spammere og bots

Noen ganger vil du kanskje begrense tilgang fra bestemte IP-adresser . Denne kodestykket gir en enkel måte å blokkere spammere og roboter du allerede kjenner.

 # Blokkerer spammere og bots  Bestil Tillat, nekt å nekte fra xx.xx.xx.xxx Avvis fra yy.yy.yy.yyy  Tillat fra alle 

8. Forhindre bildelinkering

Selv om det ikke er en sikkerhetstrussel, er bildekobling fortsatt en irriterende ting. Folk bruker ikke bare bildene dine uten din tillatelse, men de gjør det til og med for deg selv. Med disse få kodelinjene kan du beskytte nettstedet ditt mot bildelinkering.

 # Forhindrer bildelinkering RewriteEngine på RewriteCond% {HTTP_REFERER}! ^ $ RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www.)? Yourwebsite.com [NC] RewriteCond% {HTTP_REFERER}! ^ Http s)?: // (www.)? yourwebsite2.com [NC] RewriteRule \. (jp? g? | png | gif | ico | pdf | flv | swf | gz) $ - [NC, F, L] 

9. Begrens direkte tilgang til plugin og tema PHP-filer

Det kan være farlig hvis noen kaller direkte din plugin og temafiler, enten det skjer ved et uhell eller av en ondsinnet angriper. Denne kodestykket kommer fra Acunetix nettside sikkerhetsselskap ; Du kan lese mer om dette sikkerhetsproblemet i deres blogginnlegg.

 # Begrenser tilgang til PHP-filer fra plugin og tema kataloger RewriteCond% {REQUEST_URI}! ^ / Wp-innhold / plugins / file / to / exclude \ .php RewriteCond% {REQUEST_URI}! ^ / Wp-innhold / plugins / directory / til / ekskluder / RewriteRule wp-innhold / plugins / (. * \ .php) $ - [R = 404, L] RewriteCond% {REQUEST_URI}! ^ / wp-innhold / temaer / file / to / exclude \ .php RewriteCond% {REQUEST_URI}! ^ / Wp-innhold / temaer / katalog / til / utelukke / RewriteRule wp-innhold / temaer / (. * \ Php) $ - [R = 404, L] 

10. Konfigurer faste omdirigeringer

Du kan enkelt håndtere faste omdirigeringer med .htaccess. Først må du legge til den gamle nettadressen, og deretter følge den nye nettadressen som peker til siden du vil omdirigere brukeren til.

 # Permanente omdirigeringer Omdirigering 301 / oldurl1 / http://yoursite.com/newurl1 Redirect 301 / oldurl2 / http://yoursite.com/newurl2 

11. Send besøkende til en vedlikeholdsside

Vi skrev om denne teknikken i detalj her. Du trenger en separat vedlikeholdsside ( maintenance.html i eksempelet) for denne .htaccess-regelen for å fungere. Denne koden setter ditt WordPress-nettsted i vedlikeholdsmodus .

 # Omadresserer til vedlikeholdssiden  RewriteEngine på RewriteCond% {REMOTE_ADDR}! ^ 123 \ .456 \ .789 \ .000 RewriteCond% {REQUEST_URI}! /maintenance.html$ [NC] RewriteCond% {REQUEST_URI}! \. (Jpe? G? | Png | gif ) [NC] RewriteRule. * / Vedlikehold.html [R = 503, L] 

12. Begrens all tilgang til WP inkluderer

Den /wp-includes/ mappen inneholder kjernen WordPress-filer som er nødvendige for at CMS skal fungere. Det er ikke noe innhold, plugins, temaer eller noe annet en bruker vil ha tilgang til her. For å herde sikkerhet er det best å begrense all tilgang til den .

 # Blokkerer alle wp-inkluderer mapper og filer  RewriteEngine On RewriteBase / RewriteRule ^ wp-admin / inkluderer / - [F, L] RewriteRule! ^ Wp-includes / - [S = 3] RewriteRule ^ wp-includes / [^ /] + \ .fp $ - [F, L] RewriteRule ^ wp-includes / js / tinymce / langs /.+ \ .php - [F, L] RewriteRule ^ wp-inkluderer / tema-kompatibel / - [F, L] 

13. Blokker cross-site scripting (XSS)

Følgende kodestykke er fra WP Mix, og det beskytter nettstedet mot noen vanlige XSS-angrep, nemlig skriptinjeksjoner og forsøk på å endre globale og forespørselsvariabler.

 # Blokkerer noen XSS-angrep  RewriteCond% {QUERY_STRING} (\ |% 3E) [NC, OR] RewriteCond% {QUERY_STRING} GLOBALS (= | \ [| \% [0-9A-Z] {0, 2}) [OR] RewriteCond% {QUERY_STRING } _REQUEST (= | \ [| \% [0-9A-Z] {0, 2}) RewriteRule. * Index.php [F, L] 

14. Aktiver nettleservakking

Som nevnt tidligere, er .htaccess ikke bare bra av sikkerhetsgrunner og omdirigeringer, men det kan også hjelpe deg med å administrere hurtigbufferen . Kodestykket nedenfor er fra Elegante temaer, og det gjør det mulig å koble nettleseren ved å gjøre det mulig for besøkende å lagre bestemte typer filer, slik at neste gang de besøker de ikke trenger å laste dem ned igjen.

 # Aktiverer nettleservakking  ExpiresByType image / jpg "access 1 år" ExpiresByType image / jpeg "tilgang 1 år" ExpiresByType image / gif "tilgang 1 år" ExpiresByType image / png "tilgang 1 år" ExpiresByType text / css "tilgang 1 måned" ExpiresByType applikasjon / pdf "tilgang 1 måned" ExpiresByType tekst / x-javascript "tilgang 1 måned" ExpiresByType program / x-shockwave-flash "tilgang 1 måned" ExpiresByType image / x-icon "tilgang 1 år" ExpiresDefault "tilgang 2 dager" 

15. Konfigurer tilpassede feil sider

Du kan bruke .htaccess til å konfigurere egendefinerte feil sider på WordPress-siden din. For at denne metoden skal fungere, må du også opprette de tilpassede feilsidene ( custom-403.html, custom-404.html i eksempelet) og laste dem opp til rotmappen din.

Du kan konfigurere en tilpasset feilside for hvilken som helst HTTP-feilstatuskode (4XX og 5XX statuskoder) du vil ha.

 # Setter opp tilpassede feilsider ErrorDocument 403 /custom-403.html ErrorDocument 404 /custom-404.html