Файл .htaccess — основа работы вашего сайта. С его помощью можно контролировать трафик на сайт, устанавливать уровень безопасности, управлять производительностью. Грамотное использование этого файла поможет избежать проблем в работе, защитить сайт от вредоносных действий, создать оптимальную конфигурацию, при которой работа вашего сайта будет наиболее безопасной и производительной. Давайте посмотрим несколько примеров использования файла .htaccess для WordPress.
Запрет просмотра директорий
Чтобы посетители не могли просматривать структуру вашего сайта, видеть, какие файлы находятся в директориях, достаточно в самое начало файла .htaccess добавить
Options -Indexes
Запрет на выполнение PHP
С целью улучшения безопасности специалисты советую отключать возможность выполнения PHP-кода в тех директориях, где выполняться он не должен. К таким директориям относится, например, папка /wp-content/uploads/, в которой находятся файлы, закачанные на сайт с помощью встроенных средств WordPress. Так как в этой папке содержится много файлов, то злоумышленники пользуются этим, и добавляют в нее скрипты. Всего несколько строчек отключат возможность выполнения любого PHP-кода, и тем самым сделают скрипты неработающим мусором.
Для этого создайте пустой файл .htaccess, и добавьте в него следующий код:
deny from all
Перепишите этот файл в директорию, в которой вы хотите запретить выполнение PHP-кода.
Защита файла wp-config.php
Конфигурационный файл wp-config.php содержит сведения, определяющие доступ к базе данных и работоспособность WordPress. Поэтому доступ к этому файлу извне должен быть ограничен. Сделать это можно, добавив в файл .htaccess следующий код:
order allow,deny deny from all
Защита всех файлов .htaccess
То же самое можно сделать и со всеми файлами .htaccess, которые вы используете в разных директориях — закрыть возможность доступа к ним извне. Добавьте в файл .htaccess, расположенный в корневой папке WordPress, следующий код:
order allow,deny deny from all satisfy all
Ограничение доступа в административную часть
С помощью файла .htaccess можно разрешать доступ к сайту только с определенных IP-адресов. Если у вас постоянный IP-адрес, то вы можете воспользоваться этим для увеличения безопасности — разрешить доступ в административную часть только с него. Для этого добавьте в файл .htaccess следующий код:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Acodeess Control" AuthType Basic order deny,allow deny from all # администратор allow from xx.xx.xx.xxx # редактор allow from xx.xx.xx.xxx # автор 1 allow from xx.xx.xx.xxx # автор 2 allow from xx.xx.xx.xxx # автор 3 allow from xx.xx.xx.xxx
Замените xx.xx.xx.xxx на соответствующие IP-адреса, и в админку можно будет попасть только с них.
Блокирование нежелательных IP-адресов
Если вы, просматривая логи сайта (что я советую делать регулярно), заметили какую-то подозрительную или нехорошую активность с определенных IP-адресов, то вы можете заблокировать доступ с них на сайт. Для этого добавьте в файл .htaccess следующий код:
order allow,deny deny from xxx.xxx.xx.x allow from all
Замените xxx.xxx.xx.x на IP-адрес, доступ с которого нужно заблокировать.
В кодах, приведенных выше, имеется ввиду файл .htaccess, находящийся в корневой папке WordPress — там же, где и файл wp-load.php — если не указано иное расположение.