WordPress 的 12 个最有用的 .htaccess 技巧
.htaccess 文件是一个服务器配置文件,位于你的WordPress 站点的根文件夹中。它允许您为您的服务器定义您的网站遵循的规则。可以使用FTP 客户端进行编辑,也可以直接登录主机服务器后台进行编辑。
以下是有用的htaccess文件的12个技巧:
黑客可以关闭您的网站,并损害您的收入和声誉。他们可以窃取数据甚至向您的网站访问者分发恶意软件,并让您的域被 Google 和其他人列入黑名单。阻止黑客的一种聪明方法是保护您的 WordPress 管理区域免受未经授权的访问。您可以使用.htaccess 来保护您的 WordPress 管理区域。
如果只有您或少数受信任的用户需要访问管理区域,那么一个好的方法是将 /wp-admin/ 的访问权限限制为您团队的 IP 地址。只需将此代码复制并粘贴到您的/wp-admin/文件里的 .htaccess文件中。
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
将 xx 值替换为您自己的 IP 地址。如果您使用多个 IP 地址访问互联网,请确保也添加它们。里面的Syed,David 为IP主人的名称,方便识别每个IP对应的操作人,没更多含义。
如文件夹中不存在该文件,可以用记事本创建一个新文件,加入以上内容和IP后,命名为.htaccess上传到/wp-admin/
查询ip工具:https://supportally.com/
注意:如果是分配的随机ip,这个方法无效。
密码保护您的管理目录是为您的WP
网站添加另一层密码保护的明智方法。如果您从多个位置(包括公共互联网站点)访问您的 WordPress 站点,那么限制对特定 IP 地址的访问可能不起作用。
您可以使用 .htaccess 文件为您的 WordPress 管理区域添加额外的密码保护。
首先,您需要生成一个.htpasswds 文件。您可以使用此在线生成器(http://www.htaccesstools.com/htpasswd-generator/)轻松创建一个。
记录好输入的账户和密码。将此 .htpasswds 文件上传到您可公开访问的 Web 目录或 /public_html/ 文件夹之外。
一条好的路径是:
/home/user/.htpasswds/public_html/wp-admin/passwd/
接下来,创建一个 .htaccess 文件并将其上传到 /wp-admin/ 目录,然后在其中添加以下代码:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
requireuser putyourusernamehere
Order allow,deny
Allow from all
Satisfy any
记得将 AuthUserFile 路径替换为您的 .htpasswds 文件的文件路径并添加您自己的用户名。
如果启用目录浏览后,黑客可以查看您网站的目录和文件结构以找到易受攻击的文件。所以建议禁用目录浏览。
要在您的网站上禁用目录浏览,您需要将以下行添加到您的网站根目录的 .htaccess 文件的末端中。
Options -Indexes
也可以使用Sucuri WordPress 插件实现。
Sucuri的5个重要功能是:阻止所有攻击,网站完整性监控,现场审核日志,服务器端扫描,恶意软件清理服务。
有时黑客会闯入 WordPress 网站并安装后门。这些后门文件通常伪装成核心 WordPress 文件,并放置在 /wp-includes/ 或 /wp-content/uploads/ 文件夹中。
提高 WordPress 安全性的更简单方法是禁用某些 WordPress 目录的 PHP 执行。
您需要在计算机上创建一个空白 .htaccess 文件,然后将以下代码粘贴到其中。
deny from all
保存文件,然后将其上传到您的 /wp-content/uploads/ 和 /wp-includes/ 目录。
WordPress 网站根目录中最重要的文件可能是wp-config.php 文件。它包含有关您的 WordPress 数据库以及如何连接到它的信息。
要保护您的 wp-config.php 文件免受未经授权的访问,只需将此代码添加到您的 .htaccess 文件中:
order allow,deny
deny from all
使用 301 重定向是告诉用户内容已移至新位置的最友好的 SEO 方式。快速设置重定向,那么您需要做的就是将此代码粘贴到您的 .htaccess 文件中。
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/television/ http://www.example.com/category/tv/
详细步骤参考上篇文章“如何使用htaccess进行WordPress 301重定向”
如果你看到来自特定 IP 地址的对您网站的请求异常的高,您可以通过阻止 .htaccess 文件中的 IP 地址轻松阻止这些请求。
将以下代码添加到您的 .htaccess 文件中:
order allow,deny
deny from xxx.xxx.xx.x
allow from all
不要忘记将 xx 替换为您要阻止的 IP 地址。
当你发现有网站直接从您的网站盗取链接图像,使您的 WordPress 网站变慢并超出您的带宽限制。对于大多数较小的网站来说,这不是一个大问题。但是,如果您运行一个受欢迎的网站或一个有很多照片的网站,那么这可能会成为一个严重的问题。
您可以通过将此代码添加到您的 .htaccess 文件来防止图像盗链:
#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?xxxxxx.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
仅当请求来自xxxxxxx.com 或 Google.com 时,此代码才允许显示图像。不要忘记将 此xxxxxx.com 替换为您自己的域名。
正如您所看到的,使用 .htaccess 文件可以完成很多事情。由于它对您的网络服务器具有强大的控制力,因此保护它免受黑客未经授权的访问非常重要。只需将以下代码添加到您的 .htaccess 文件中:
order allow,deny
deny from all
satisfy all
有时,较低的文件上传大小限制可能会阻止您使用媒体上传器上传文件或安装更大的 WordPress 插件和主题。对于共享主机上的用户,增加wp中的文件上传大小的有效方法之一是将以下代码添加到他们的 .htaccess 文件中:
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
此代码只是告诉您的 Web 服务器使用这些值来增加文件上传大小以及 WordPress 中的最大执行时间。
每个 WordPress 安装都附带一个名为 xmlrpc.php 的文件。此文件允许第三方应用程序连接到您的 WordPress 站点。大多数 WordPress 安全专家建议,如果您不使用任何第三方应用程序,则应禁用此功能。
有多种方法可以做到这一点,其中之一是将以下代码添加到您的 .htaccess 文件中:
# Block WordPress xmlrpc.php requests
order deny,allow
deny from all
蛮力攻击中使用的一种常见技术是在 WordPress 网站上运行作者扫描,然后尝试破解这些用户名的密码。
您可以通过将以下代码添加到 .htaccess 文件来阻止此类扫描:
# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans
