【海北网站开发】.htaccess配置文件设置和其作用

【海北网站开发】.htaccess配置文件设置和其作用

.htaccess文件是一个配置文件,允许您控制当前目录和所有子目录中的文件和文件夹。文件名是超文本访问大多数服务器都支持。

对于许多WordPress用户来说,他们第一次接触.htaccess文件是在自定义网站的permalink设置时。为了获得我们都知道和喜欢的漂亮的Permalink(例如https://www.elegantthemes.com/sample-post/而不是https://www.elegantthemes.com/?p=123),),我们需要在.htaccess文件中添加这样的内容:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

如果不存在.htaccess文件,您可以自己创建一个文件并上传。您所要做的就是创建一个空白文本文件,将其保存为.htaccess,然后将其上传到WordPress安装的根目录。确保在文件名开始时包含句点(即将文件保存为.htaccess而不是htaccess)。

您还需要确保.htaccess文件是可写的,以便WordPress可以将适当的permalink代码添加到.htaccess文件中。WordPress.org通知文件权限对于.htaccess文件,为644。

海北网站开发

.htaccess文件是一个隐藏文件。因此,您需要确保FTP客户端或文件管理器配置为在目录中显示文件。

.htaccess文件不仅用于permalinks。该文件以其加强网站安全的能力而为人们所熟知。数以百万计的WordPress用户使用.htaccess文件来保护他们的网站免受垃圾邮件发送者、黑客和其他已知的威胁。

在本文中,我想与您分享几段.htaccess的代码片段,这些片段将使您的网站更加安全。我还包括了一些额外的片段,我相信你会发现有用的。

在上面的permalink示例中,您可能注意到代码以#开始WordPress并以#结束WordPress..WordPress可以更新放置在这些标记中的任何代码。因此,您应该在.htaccess文件的顶部或底部(即前面)添加本文中所示的代码段。#开始WordPress或之后#结束WordPress).

注意!

.htaccess文件是您在使用WordPress时将遇到的最不正常的文件之一。代码不正确只需要一个字符就不正确了。当这种情况发生时,它通常会导致你的整个网站崩溃。因此,您必须正确地将本文中提到的代码复制到您自己的.htaccess文件中。

即使你很谨慎,意外也会发生,而且经常发生。

海北网站开发使用.htaccess文件时不要偷工减料。在开始之前,备份当前工作版本的.htaccess。将它存储在您的计算机上的一个安全的地方,如果可能的话,在另一个位置,如USB闪存或云存储。

每当您在服务器上更新.htaccess文件时,请刷新您的网站以查看您的网站是否仍在运行。不要跳过这一步,因为这是至关重要的,你的网站仍然是正确的工作。如果您的网站返回空白屏幕,则立即恢复到保存的.htaccess副本,方法是将其上传到包含错误的版本上。

如果无法找到备份文件,请上载空白的.htaccess文件或完全删除.htaccess文件。这将使您的网站恢复在线,这显然将是您的网站离线优先。

不要冒险使用.htaccess。总是有后援。你已经被警告过了

1.保护.htaccess

由于.htaccess对整个网站有多大的控制,保护文件不受未经授权的用户影响是很重要的。下面的代码段将阻止黑客访问.htaccess文件。当然,您仍然可以通过FTP并通过宿主控制面板的文件管理器编辑文件。

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

2.保护WP-Config.php

另一个重要文件是wp-config.php。此配置文件包含WordPress数据库的登录信息以及其他重要的维护设置。因此,最好禁用对它的访问。

<files wp-config.php>
order allow,deny
deny from all
</files>

3.保护/可湿性粉剂-含量/

wp-内容目录是WordPress网站最重要的领域之一。它是重要文件的位置,如你的主题,插件,上传的媒体(图像和视频),和缓存的文件。

因此,它是黑客攻击的主要目标之一。去年,当一个垃圾邮件发送者设法破坏了我的一个旧网站时,他把一个邮件脚本上传到我的上传文件夹中。然后,海北网站开发使用我的服务器发送垃圾邮件;随后,我的服务器被列入垃圾邮件黑名单。

您可以通过创建一个单独的.htaccess文件并向其添加以下代码来解决类似的威胁:

Order deny,allow
    Deny from all
    <Files ~ ".(xml|css|jpe?g|png|gif|js)$">
    Allow from all
    </Files>

然后,您需要将这个单独的.htaccess文件上传到主wp-content目录,即www.yourwebsite.com/wp-content/。这样做将允许上传媒体文件,包括XML、CSS、JPG、JPEG、PNG、GIF和Javascript。所有其他文件类型都将被拒绝。

4.块只包含文件

有些文件从未被用户访问过。可以通过添加以下代码到.htaccess文件:

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

5.限制对行政区域的访问

黑客的另一个切入点是WordPress管理区域。如果他们能够进入这个区域,他们几乎可以对你的网站做任何事情。

为了使这个区域更安全,创建一个新的.htaccess文件并将下面的代码添加到其中:

# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from 12.34.56.78
</Limit>

确保将12.34.56.78更改为您自己的IP地址(您可以在我的IP是什么?)。然后将文件上传到您的网站的/wp-admin/文件夹,即www.yourwebsite.com/wp-admin/。

这将允许您访问WordPress管理区域,但将阻止其他人。

可以为其他管理员和工作人员添加其他IP地址。您可以通过添加额外的允许行或在主允许行中列出它们的IP地址,并使用逗号分隔它们来做到这一点。例如:

allow from 12.34.56.78, 98.76.54.32, 19.82.73.64

6.禁止某人进入你的网站

如果您知道恶意方的IP地址,您可以使用下面的代码片段完全禁止他们进入您的网站。例如,您可以禁止经常留下辱骂性评论的人或试图访问您的管理区域的人。

<Limit GET POST>
order allow,deny
deny from 123.456.78.9
deny from 987.654.32.1
allow from all
</Limit>

7.将访问者发送到维护页面

维护插件,如终极维修模式维修对于在开发网站时或在后台更新网站时向访问者显示临时消息非常有用。

不幸的是,如果您面对臭名昭著的情况,维护插件没有多大帮助。死亡的白色屏幕。只有当您的网站正常工作时,它们才能正常工作。

如果您想做最坏的准备,我建议您创建一个名为maintenance.html的基本HTML页面,该页面建议访问者您的网站目前遇到问题,但很快就会恢复联机。海北网站开发当您的网站因为黑客攻击或白屏幕死亡而关闭时,只需将下面的代码片段添加到.htaccess文件中,就可以将所有流量发送到maintenance.html上。

RewriteEngine on
RewriteCond %{REQUEST_URI} !/maintenance.html$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123
RewriteRule $ /maintenance.html [R=302,L]

您需要为您自己的网站配置上述代码。将html文件名更改为第二行和第四行中您自己的维护文件的名称和位置。您还需要添加您自己的IP地址到第三行,以确保您可以访问您的网站,同时维护消息显示给其他人。代码使用302重定向,确保维护页本身没有索引。

8.禁用目录浏览

允许未经授权的个人查看您的文件和文件夹可能是一个重大的安全风险。要禁用目录浏览,只需将这段小代码添加到.htaccess文件中:

# disable directory browsing
Options All -Indexes

9.启用浏览器缓存

浏览器缓存是我最近在文章中讨论的内容。使用这些简单的提示优化WordPress网站“一旦启用,浏览器缓存将允许访问者从您的网页保存项目,使他们不需要再次下载。

它用于设计元素,如CSS样式表和媒体项目(如图像)。这是一个实用的解决方案,因为当有人上传一个图片到一个网站,图像很少再次更新。因此,浏览器缓存将允许访问者加载保存在其计算机上而不是服务器上的图像。这减少了带宽,增加了页面加载时间。

要启用浏览缓存,只需将此代码添加到.htaccess文件中:

## EXPIRES CACHING ##
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg "access 1 year"
ExpiresByType image/jpeg "access 1 year"
ExpiresByType image/gif "access 1 year"
ExpiresByType image/png "access 1 year"
ExpiresByType text/css "access 1 month"
ExpiresByType application/pdf "access 1 month"
ExpiresByType text/x-javascript "access 1 month"
ExpiresByType application/x-shockwave-flash "access 1 month"
ExpiresByType image/x-icon "access 1 year"
ExpiresDefault "access 2 days"
</IfModule>
 
## EXPIRES CACHING ##

10.重定向URL

301重定向允许您通知搜索引擎URL已永久移动到新位置。他们可以用来重定向一个网页,文件夹,甚至一个全新的网站。

因此,每当页面的URL发生更改时,都会使用它们。这可能是由于更改域、更改网站的permalink结构或简单地更改页面段塞(例如,更改文章的页面段塞)。我的新闻我的好消息).

要重定向位置,只需添加一行重定向301,然后是旧位置,然后是新位置。您可以在下面的实践中看到这是如何工作的:

Redirect 301 /oldpage.html http://www.yourwebsite.com/newpage.html
Redirect 301 /oldfolder/page2.html /folder3/page7.html
Redirect 301 / http://www.mynewwebsite.com/

11.禁用热连接

热链接是一种实践,在这种做法中,有人通过直接链接到图像URL从您的网站共享图像。它通常发生在讨论论坛,但许多网站所有者仍然这样做(这是一个错误,因为它意味着图像可以从你的内容在任何时候删除)。热链接可能会对您的网站产生负面影响。除了减慢您的网站,它还可以显著增加您的带宽成本与您的托管公司。

您可以防止热链接,只允许您自己的网站,以及任何其他您拥有的,以执行图像文件。将下面的代码添加到.htaccess文件中,以阻止其他人热链接您的图像。请确保用您自己的网站地址替换URL下面的内容。

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourotherwebsite.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://i.imgur.com/g7ptdBB.png [NC,R,L]

海北网站开发当某人现在另一个URL上查看您的图像时,他们将被显示在最后一行代码中表示的图像。这个图像可以更改为任何你想要的。

*请注意,禁用热链接可能会导致一些RSS阅读器在RSS提要中显示图像时出现问题。

我希望您已经享受了.htaccess文件的提示和技巧列表。正如您所看到的,它是一个多功能的配置文件,可以用于许多事情。





二维码