?

?.htaccess 文件是一個服務器配置文件，位于你的WordPress 站點的根文件夾中。它允許您為您的服務器定義您的網站遵循的規則。可以使用FTP 客戶端進行編輯，也可以直接登錄主機服務器后臺進行編輯。 ?

?

以下是有用的htaccess文件的12個技巧：

黑客可以關閉您的網站，并損害您的收入和聲譽。他們可以竊取數據甚至向您的網站訪問者分發惡意軟件，并讓您的域被 Google 和其他人列入黑名單。阻止黑客的一種聰明方法是保護您的 WordPress 管理區域免受未經授權的訪問。您可以使用.htaccess 來保護您的 WordPress 管理區域。

?

如果只有您或少數受信任的用戶需要訪問管理區域，那么一個好的方法是將 /wp-admin/ 的訪問權限限制為您團隊的 IP 地址。只需將此代碼復制并粘貼到您的/wp-admin/文件里的 .htaccess文件中。

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "WordPress Admin Access Control"

AuthType Basic

order deny,allow

deny from all

# whitelist Syed's IP address

allow from xx.xx.xx.xxx

# whitelist David's IP address

allow from xx.xx.xx.xxx

將 xx 值替換為您自己的 IP 地址。如果您使用多個 IP 地址訪問互聯網，請確保也添加它們。里面的Syed，David 為IP主人的名稱，方便識別每個IP對應的操作人，沒更多含義。

如文件夾中不存在該文件，可以用記事本創建一個新文件，加入以上內容和IP后，命名為.htaccess上傳到/wp-admin/

查詢ip工具：https://supportally.com/

注意：如果是分配的隨機ip，這個方法無效。

密碼保護您的管理目錄是為您的WP

網站添加另一層密碼保護的明智方法。如果您從多個位置（包括公共互聯網站點）訪問您的 WordPress 站點，那么限制對特定 IP 地址的訪問可能不起作用。

您可以使用 .htaccess 文件為您的 WordPress 管理區域添加額外的密碼保護。

首先，您需要生成一個.htpasswds 文件。您可以使用此在線生成器（http://www.htaccesstools.com/htpasswd-generator/）輕松創建一個。

記錄好輸入的賬戶和密碼。將此 .htpasswds 文件上傳到您可公開訪問的 Web 目錄或 /public_html/ 文件夾之外。

一條好的路徑是：

/home/user/.htpasswds/public_html/wp-admin/passwd/

接下來，創建一個 .htaccess 文件并將其上傳到 /wp-admin/ 目錄，然后在其中添加以下代碼：

AuthName "Admins Only"

AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd

AuthGroupFile /dev/null

AuthType basic

requireuser putyourusernamehere

Order allow,deny

Allow from all

Satisfy any

記得將 AuthUserFile 路徑替換為您的 .htpasswds 文件的文件路徑并添加您自己的用戶名。

?

如果啟用目錄瀏覽后，黑客可以查看您網站的目錄和文件結構以找到易受攻擊的文件。所以建議禁用目錄瀏覽。

要在您的網站上禁用目錄瀏覽，您需要將以下行添加到您的網站根目錄的 .htaccess 文件的末端中。

Options -Indexes

也可以使用Sucuri WordPress 插件實現。

Sucuri的5個重要功能是：阻止所有攻擊，網站完整性監控，現場審核日志，服務器端掃描，惡意軟件清理服務。

?

?

有時黑客會闖入 WordPress 網站并安裝后門。這些后門文件通常偽裝成核心 WordPress 文件，并放置在 /wp-includes/ 或 /wp-content/uploads/ 文件夾中。

提高 WordPress 安全性的更簡單方法是禁用某些 WordPress 目錄的 PHP 執行。

您需要在計算機上創建一個空白 .htaccess 文件，然后將以下代碼粘貼到其中。

deny from all

保存文件，然后將其上傳到您的 /wp-content/uploads/ 和 /wp-includes/ 目錄。

?

?

WordPress 網站根目錄中最重要的文件可能是wp-config.php 文件。它包含有關您的 WordPress 數據庫以及如何連接到它的信息。

要保護您的 wp-config.php 文件免受未經授權的訪問，只需將此代碼添加到您的 .htaccess 文件中：

order allow,deny

deny from all

?

?

使用 301 重定向是告訴用戶內容已移至新位置的最友好的 SEO 方式。快速設置重定向，那么您需要做的就是將此代碼粘貼到您的 .htaccess 文件中。

Redirect 301 /oldurl/ http://www.example.com/newurl

Redirect 301 /category/television/ http://www.example.com/category/tv/

詳細步驟參考上篇文章“如何使用htaccess進行WordPress 301重定向”

?

?

如果你看到來自特定 IP 地址的對您網站的請求異常的高，您可以通過阻止 .htaccess 文件中的 IP 地址輕松阻止這些請求。

將以下代碼添加到您的 .htaccess 文件中：

order allow,deny

deny from xxx.xxx.xx.x

allow from all

不要忘記將 xx 替換為您要阻止的 IP 地址。

?

?

當你發現有網站直接從您的網站盜取鏈接圖像，使您的 WordPress 網站變慢并超出您的帶寬限制。對于大多數較小的網站來說，這不是一個大問題。但是，如果您運行一個受歡迎的網站或一個有很多照片的網站，那么這可能會成為一個嚴重的問題。

您可以通過將此代碼添加到您的 .htaccess 文件來防止圖像盜鏈：

#disable hotlinking of images with forbidden or custom image option

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?xxxxxx.com [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]

RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

僅當請求來自xxxxxxx.com 或 Google.com 時，此代碼才允許顯示圖像。不要忘記將 此xxxxxx.com 替換為您自己的域名。

?

正如您所看到的，使用 .htaccess 文件可以完成很多事情。由于它對您的網絡服務器具有強大的控制力，因此保護它免受黑客未經授權的訪問非常重要。只需將以下代碼添加到您的 .htaccess 文件中：

order allow,deny

deny from all

satisfy all

?

有時，較低的文件上傳大小限制可能會阻止您使用媒體上傳器上傳文件或安裝更大的 WordPress 插件和主題。對于共享主機上的用戶，增加wp中的文件上傳大小的有效方法之一是將以下代碼添加到他們的 .htaccess 文件中：

php_value upload_max_filesize 64M

php_value post_max_size 64M

php_value max_execution_time 300

php_value max_input_time 300

此代碼只是告訴您的 Web 服務器使用這些值來增加文件上傳大小以及 WordPress 中的最大執行時間。

?

每個 WordPress 安裝都附帶一個名為 xmlrpc.php 的文件。此文件允許第三方應用程序連接到您的 WordPress 站點。大多數 WordPress 安全專家建議，如果您不使用任何第三方應用程序，則應禁用此功能。

有多種方法可以做到這一點，其中之一是將以下代碼添加到您的 .htaccess 文件中：

# Block WordPress xmlrpc.php requests

order deny,allow

deny from all

?

蠻力攻擊中使用的一種常見技術是在 WordPress 網站上運行作者掃描，然后嘗試破解這些用戶名的密碼。

您可以通過將以下代碼添加到 .htaccess 文件來阻止此類掃描：

# BEGIN block author scans

RewriteEngine On

RewriteBase /

RewriteCond %{QUERY_STRING} (author=\d+) [NC]

RewriteRule .* - [F]

# END block author scans