欢迎咨询

致电 400 876 5098

邮件 cs@kengnu.com

htaccess
In: 网站建设

什么是.htaccess文件

首先.htaccess文件是Apache服务器的配置文件。通过它可以做很多事情,比如:实现301/302重定向、自定义404错误页面、改变文件扩展名、允许/阻止特定的用户或者目录的访问、禁止目录列表、配置默认文档等。

WordPress就是通过配置.htaccess文件实现伪静态,从而生成SEO友好的URL结构。

如何编辑.htaccess文件

.htaccess文件位于您的WordPress网站的根目录中。

您可以通过FTP客户端下载到本地进行编辑。

使用记事本即可进行编辑,保存时一定要注意文件编码正确。

重要提示

由于.htaccess文件配置错误会导致很多问题发生,所以:

1、很多虚拟主机不允许客户自行修改.htaccess文件文件,所以请先确认您是否有修改.htaccess文件的权限;

2、在自行尝试修改.htaccess文件之前,请先备份.htaccess文件;

1、保护WordPress后台登录

您可以使用.htaccess文件来保护WordPress后台登录,即设置可以登录后台的IP地址。

只需将该代码复制并粘贴到.htaccess文件中即可:

  1. AuthUserFile /dev/null
  2. AuthGroupFile /dev/null
  3. AuthName “WordPress Admin Access Control”
  4. AuthType Basic
  5. <LIMIT GET>
  6. order deny,allow
  7. deny from all
  8. # IP地址白名单 公司
  9. allow from xx.xx.xx.xxx
  10. # IP地址白名单 家里
  11. allow from xx.xx.xx.xxx
  12. </LIMIT>

不要忘记用自己的IP地址替换xx值。如果您使用多个IP地址访问互联网,可以继续添加。

2、密码保护WordPress下的/wp-admin/文件夹

您可以使用.htaccess文件为您的WordPress网站下的/wp-admin/文件夹添加额外的密码保护功能。

首先,您需要生成.htpasswds文件,您可以通过使用在线.htpasswds生成器轻松创建一个。

然后,将此.htpasswds文件上传到可公开访问的Web目录或/ public_html /文件夹之外。

接下来,创建一个.htaccess文件,并将其上传到/wp-admin/目录中,然后在其中添加以下代码:

  1. AuthName “Admins Only”
  2. AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
  3. AuthGroupFile /dev/null
  4. AuthType basic
  5. require user putyourusernamehere
  6. <Files admin-ajax.php>
  7. Order allow,deny
  8. Allow from all
  9. Satisfy any
  10. </Files>

重要提示:请勿忘记用.htpasswds文件的文件路径替换AuthUserFile路径并添加您自己的用户名。

3、禁用目录浏览

许多WordPress安全专家建议禁用目录浏览。

启用目录浏览后,黑客可以查看您的站点的目录和文件结构,以查找易受攻击的文件。

要禁用您网站上的目录浏览,您需要将以下行添加到.htaccess文件中。

  1. Options -Indexes

4、禁用某些WordPress目录中的PHP执行

有时黑客进入WordPress网站并安装一个后门。这些后门文件通常被伪装成核心WordPress文件,并放在/wp-includes/或/wp-content/uploads/文件夹中。

改进WordPress安全性的一个更简单的方法是禁用某些WordPress目录的PHP执行。

您将需要在计算机上创建一个空白的.htaccess文件,然后将以下代码粘贴到其中。

  1. <Files *.php>
  2. deny from all
  3. </Files>

保存文件,然后将其上传到/wp-includes/或/wp-content/uploads/文件夹中。

5、保护WordPress下的wp-config.php配置文件

您的WordPress网站的目录中最重要的文件可能是根目录下的wp-config.php文件。

因为wp-config.php文件中包含有关网站数据库的链接信息,如果它被黑客拿到了,那么你的数据库就危险了。

要保护您的wp-config.php文件免受非正常的访问,只需将以下代码添加到.htaccess文件中:

  1. <files wp-config.php>
  2. order allow,deny
  3. deny from all
  4. </files>

6、通过.htaccess文件实现301重定向

如果在迫不得已的情况下,你必须要更换域名,或者改变网站的URL结构。

那么,对搜索引擎最友好的方式,就是使用301重定向:告诉您的用户一个内容已经移动到一个新的位置。

相关的.htaccess文件代码如下:

  1. #将/oldurl/重定向到http://www.77shw.com/newurl
  2. Redirect 301 /oldurl/ http://www.77shw.com/newurl
  3. #将/category/television/重定向到http://www.77shw.com/category/tv/
  4. Redirect 301 /category/television/ http://www.77shw.com/category/tv/

7、阻止可疑的IP地址访问网站

如果你发现有可疑的IP地址访问你的网站,您可以通过.htaccess文件来阻止对应的IP地址访问你的网站。

将以下代码添加到.htaccess文件中:

  1. <Limit GET POST>
  2. order allow,deny
  3. deny from xxx.xxx.xx.x
  4. allow from all
  5. </Limit>

不要忘记用要阻止的IP地址替换xx。

8、使用.htaccess设置网站图片防盗链

如果有人复制了你的网站内容,并且没有更改图片地址。

那么,在你网站之外的其他地方访问这些内容的时候,图片也会显示,但是图片是从你的服务器上下载的,并且占用你的带宽。

对于大多数小型网站来说,这不是一个大问题。

但是,此类情况出现的多了,很有可能会使您的WordPress网站出现访问速度缓慢,或者超出带宽限制。

特别是,如果您运行一个受欢迎的网站或网站上有很多照片,那么这可能会成为一个严重的问题。

您可以通过将此代码添加到.htaccess文件来实现图片防盗链功能:

  1. #disable hotlinking of images with forbidden or custom image option
  2. RewriteEngine on
  3. RewriteCond %{HTTP_REFERER} !^$
  4. RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomian.com [NC]
  5. RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?baidu.com [NC]
  6. RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

如果请求源自yourdomian.com或baidu.com,此代码仅允许显示图像。不要忘记用您自己的域名替换yourdomian.com。

9、禁止网站服务器通过未经授权的访问

由于服务器具有电源和控制权,因此保护服务器免受黑客的访问非常重要。

只需将以下代码添加到.htaccess文件中即可:

  1. <files ~ “^.*\.([Hh][Tt][Aa])”>
  2. order allow,deny
  3. deny from all
  4. satisfy all
  5. </files>

10、配置网站上传文件的大小限制

在WordPress中网站中配置上传文件的大小限制有很多不同的方法。

但是,对于使用共享虚拟主机的用户,这些方法也许不起作用。

那么,你可以尝试通过.htaccess文件来实现。

将以下代码添加到.htaccess文件中:

  1. php_value upload_max_filesize 64M
  2. php_value post_max_size 64M
  3. php_value max_execution_time 300
  4. php_value max_input_time 300

此代码只是告诉您的Web服务器使用这些值来增加上传文件的大小限制,以及在WordPress中的最大执行时间。

11、禁用通过xmlrpc.php来的请求

每个WordPress安装都附带一个名为xmlrpc.php的文件。

此文件允许第三方应用程序连接到您的WordPress网站。

大多数WordPress安全专家建议,如果您没有使用任何第三方应用程序,那么您应该禁用此功能。

有多种方法可以做到这一点,其中之一是将以下代码添加到.htaccess文件中:

  1. # Block WordPress xmlrpc.php requests
  2. <Files xmlrpc.php>
  3. order deny,allow
  4. deny from all
  5. </Files>

12、阻止对网站中的作者进行扫描

在暴力攻击中使用的常见技术是在WordPress站点上运行作者扫描,然后尝试破解这些用户名的密码。

您可以通过将以下代码添加到.htaccess文件来阻止此类扫描:

  1. # BEGIN block author scans
  2. RewriteEngine On
  3. RewriteBase /
  4. RewriteCond %{QUERY_STRING} (author=\d+) [NC]
  5. RewriteRule .* – [F]
  6. # END block author scans

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

Datamica工业B2B

电子烟商城B2C

Bag民品B2B

SAAS平台:网站评估

有什么可以效劳的?

外贸网站没有流量? SEO、SEM效果不好? 网站功能落后,客户转化率低?

让我们来帮您。

我们能帮您做什么?