WordPress 的 12 個最有用的 .htaccess 技巧

?

?.htaccess 文件是一個服務(wù)器配置文件，位于你的WordPress 站點的根文件夾中。它允許您為您的服務(wù)器定義您的網(wǎng)站遵循的規(guī)則?？梢允褂肍TP 客戶端進(jìn)行編輯，也可以直接登錄主機(jī)服務(wù)器后臺進(jìn)行編輯。 ?

?

以下是有用的htaccess文件的12個技巧：

黑客可以關(guān)閉您的網(wǎng)站，并損害您的收入和聲譽。他們可以竊取數(shù)據(jù)甚至向您的網(wǎng)站訪問者分發(fā)惡意軟件，并讓您的域被 Google 和其他人列入黑名單。阻止黑客的一種聰明方法是保護(hù)您的 WordPress 管理區(qū)域免受未經(jīng)授權(quán)的訪問。您可以使用.htaccess 來保護(hù)您的 WordPress 管理區(qū)域。

?

如果只有您或少數(shù)受信任的用戶需要訪問管理區(qū)域，那么一個好的方法是將 /wp-admin/ 的訪問權(quán)限限制為您團(tuán)隊的 IP 地址。只需將此代碼復(fù)制并粘貼到您的/wp-admin/文件里的 .htaccess文件中。

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "WordPress Admin Access Control"

AuthType Basic

order deny,allow

deny from all

# whitelist Syed's IP address

allow from xx.xx.xx.xxx

# whitelist David's IP address

allow from xx.xx.xx.xxx

將 xx 值替換為您自己的 IP 地址。如果您使用多個 IP 地址訪問互聯(lián)網(wǎng)，請確保也添加它們。里面的Syed，David 為IP主人的名稱，方便識別每個IP對應(yīng)的操作人，沒更多含義。

如文件夾中不存在該文件，可以用記事本創(chuàng)建一個新文件，加入以上內(nèi)容和IP后，命名為.htaccess上傳到/wp-admin/

查詢ip工具：https://supportally.com/

注意：如果是分配的隨機(jī)ip，這個方法無效。

密碼保護(hù)您的管理目錄是為您的WP

網(wǎng)站添加另一層密碼保護(hù)的明智方法。如果您從多個位置（包括公共互聯(lián)網(wǎng)站點）訪問您的 WordPress 站點，那么限制對特定 IP 地址的訪問可能不起作用。

您可以使用 .htaccess 文件為您的 WordPress 管理區(qū)域添加額外的密碼保護(hù)。

首先，您需要生成一個.htpasswds 文件。您可以使用此在線生成器（http://www.htaccesstools.com/htpasswd-generator/）輕松創(chuàng)建一個。

記錄好輸入的賬戶和密碼。將此 .htpasswds 文件上傳到您可公開訪問的 Web 目錄或 /public_html/ 文件夾之外。

一條好的路徑是：

/home/user/.htpasswds/public_html/wp-admin/passwd/

接下來，創(chuàng)建一個 .htaccess 文件并將其上傳到 /wp-admin/ 目錄，然后在其中添加以下代碼：

AuthName "Admins Only"

AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd

AuthGroupFile /dev/null

AuthType basic

requireuser putyourusernamehere

Order allow,deny

Allow from all

Satisfy any

記得將 AuthUserFile 路徑替換為您的 .htpasswds 文件的文件路徑并添加您自己的用戶名。

?

如果啟用目錄瀏覽后，黑客可以查看您網(wǎng)站的目錄和文件結(jié)構(gòu)以找到易受攻擊的文件。所以建議禁用目錄瀏覽。

要在您的網(wǎng)站上禁用目錄瀏覽，您需要將以下行添加到您的網(wǎng)站根目錄的 .htaccess 文件的末端中。

Options -Indexes

也可以使用Sucuri WordPress 插件實現(xiàn)。

Sucuri的5個重要功能是：阻止所有攻擊，網(wǎng)站完整性監(jiān)控，現(xiàn)場審核日志，服務(wù)器端掃描，惡意軟件清理服務(wù)。

?

?

有時黑客會闖入 WordPress 網(wǎng)站并安裝后門。這些后門文件通常偽裝成核心 WordPress 文件，并放置在 /wp-includes/ 或 /wp-content/uploads/ 文件夾中。

提高 WordPress 安全性的更簡單方法是禁用某些 WordPress 目錄的 PHP 執(zhí)行。

您需要在計算機(jī)上創(chuàng)建一個空白 .htaccess 文件，然后將以下代碼粘貼到其中。

deny from all

保存文件，然后將其上傳到您的 /wp-content/uploads/ 和 /wp-includes/ 目錄。

?

?

WordPress 網(wǎng)站根目錄中最重要的文件可能是wp-config.php 文件。它包含有關(guān)您的 WordPress 數(shù)據(jù)庫以及如何連接到它的信息。

要保護(hù)您的 wp-config.php 文件免受未經(jīng)授權(quán)的訪問，只需將此代碼添加到您的 .htaccess 文件中：

order allow,deny

deny from all

?

?

使用 301 重定向是告訴用戶內(nèi)容已移至新位置的最友好的 SEO 方式?？焖僭O(shè)置重定向，那么您需要做的就是將此代碼粘貼到您的 .htaccess 文件中。

Redirect 301 /oldurl/ http://www.example.com/newurl

Redirect 301 /category/television/ http://www.example.com/category/tv/

詳細(xì)步驟參考上篇文章“如何使用htaccess進(jìn)行WordPress 301重定向”

?

?

如果你看到來自特定 IP 地址的對您網(wǎng)站的請求異常的高，您可以通過阻止 .htaccess 文件中的 IP 地址輕松阻止這些請求。

將以下代碼添加到您的 .htaccess 文件中：

order allow,deny

deny from xxx.xxx.xx.x

allow from all

不要忘記將 xx 替換為您要阻止的 IP 地址。

?

?

當(dāng)你發(fā)現(xiàn)有網(wǎng)站直接從您的網(wǎng)站盜取鏈接圖像，使您的 WordPress 網(wǎng)站變慢并超出您的帶寬限制。對于大多數(shù)較小的網(wǎng)站來說，這不是一個大問題。但是，如果您運行一個受歡迎的網(wǎng)站或一個有很多照片的網(wǎng)站，那么這可能會成為一個嚴(yán)重的問題。

您可以通過將此代碼添加到您的 .htaccess 文件來防止圖像盜鏈：

#disable hotlinking of images with forbidden or custom image option

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?xxxxxx.com [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]

RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

僅當(dāng)請求來自xxxxxxx.com 或 Google.com 時，此代碼才允許顯示圖像。不要忘記將 此xxxxxx.com 替換為您自己的域名。

?

正如您所看到的，使用 .htaccess 文件可以完成很多事情。由于它對您的網(wǎng)絡(luò)服務(wù)器具有強(qiáng)大的控制力，因此保護(hù)它免受黑客未經(jīng)授權(quán)的訪問非常重要。只需將以下代碼添加到您的 .htaccess 文件中：

order allow,deny

deny from all

satisfy all

?

有時，較低的文件上傳大小限制可能會阻止您使用媒體上傳器上傳文件或安裝更大的 WordPress 插件和主題。對于共享主機(jī)上的用戶，增加wp中的文件上傳大小的有效方法之一是將以下代碼添加到他們的 .htaccess 文件中：

php_value upload_max_filesize 64M

php_value post_max_size 64M

php_value max_execution_time 300

php_value max_input_time 300

此代碼只是告訴您的 Web 服務(wù)器使用這些值來增加文件上傳大小以及 WordPress 中的最大執(zhí)行時間。

?

每個 WordPress 安裝都附帶一個名為 xmlrpc.php 的文件。此文件允許第三方應(yīng)用程序連接到您的 WordPress 站點。大多數(shù) WordPress 安全專家建議，如果您不使用任何第三方應(yīng)用程序，則應(yīng)禁用此功能。

有多種方法可以做到這一點，其中之一是將以下代碼添加到您的 .htaccess 文件中：

# Block WordPress xmlrpc.php requests

order deny,allow

deny from all

?

蠻力攻擊中使用的一種常見技術(shù)是在 WordPress 網(wǎng)站上運行作者掃描，然后嘗試破解這些用戶名的密碼。

您可以通過將以下代碼添加到 .htaccess 文件來阻止此類掃描：

# BEGIN block author scans

RewriteEngine On

RewriteBase /

RewriteCond %{QUERY_STRING} (author=\d+) [NC]

RewriteRule .* - [F]

# END block author scans