Введение в использование файла. Кэширование в htaccess. Как проверить работает ли.htaccess

Если вы установите ВордПресс на собственные хостинг, то у вас будет возможность руководить корневым каталогом. Сегодня я хочу рассказать вам о файле.htaccess, который является важным по нескольким причинам. С его помощью вы можете устанавливать различные настройки безопасности, добавлять условия перенаправления, блокировать ботов, защитить собственный блог от спаммеров и многое другое. Тем не менее, многие пользователи системы WordPress до сих пор ничего не знают о.htaccess, и о том, как его создать специально для WP. Сегодня я расскажу вам о многих аспектах данного файла и в дальнейшем буду делиться с вами удобными и эффективными отрывками кода, предназначенными для того, чтобы повысить безопасность вашего блога.

Что же такое файл.htaccess?

Htaccess предназначен не только для WordPress, но для любого вебсайта, расположенного на веб-сервере Apache. При установке WordPress, этот файл в большинстве случаев создается по умолчанию, но остается в скрытом режиме в корневом каталоге вашего сайта. Временами этот файл вообще отсутствует, и тогда вам необходимо вручную создать файл.htaccess. Мы можем использовать обычный текстовый редактор, чтобы обновлять или удалять содержимое этого файла. В WordPress стандартное наполнение данного файла выглядит следующим образом:

# BEGIN WordPress RewriteRule ^index\.php$ – [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress

Если у вас возникает вопрос о том, как отредактировать прямые ссылки в WordPress и придать им формат /%postname?, и вы даже нашли какой-то код, который нужно вставить в файл.htaccess (но не можете найти файл в консоли вашей системы или корневом каталоге) то сегодня я покажу вам, как решить эту проблему.

Как создать файл.htaccess для WordPress?

В большинстве версий установки WordPress, файл.htaccess присутствует по умолчанию в корневом каталоге. Если вы используете FTP-клиент Filezilla, то можете обратиться за помощью к уже существующему руководству о том, как отредактировать файл.htaccess. Все, что вам нужно сделать, это кликнуть по пункту отображения скрытых файлов. Если же необходимый нам файл вообще отсутствует, то вы можете просто создать его с помощью блокнота (htaccess.txt), а затем переименовать его в.htaccess. Убедитесь, что название файла именно такое, а не.htaccess.txt. Если вы используете Windows, то можете отключить опцию скрывания расширения файлов. Как только переименуете файл, загрузите его в корневой каталог WordPress, и отредактируйте в соответствии с вашими требованиями. Если у вас возникли проблемы с изменением имени файла, просто загрузите файл htaccess.txt на сервер, и измените имя уже на сервере.

Стандартные для безопасности права доступа к файлу.htaccess – 644, но в случае изменения прямых ссылок посредством консоли WP, системе будет закрыт доступ к этому файлу. Вы можете изменить их на 777. Но не забудьте затем вернуть значение 644, иначе это может вызвать серьезные пробелы в безопасности сайта.

О предназначении файла.htaccess знает каждый веб-разработчик. На базовом уровне он позволяет управлять доступом к каталогам сайта. Но добавляя в него различные дополнительные фрагменты кода, с ним можно сделать и много других интересных вещей.

Если же вам нужны базовые сведения о предназначении данного файла, то вы можете получить из нашей статьи введение в.htaccess (перевод данной статьи не делал, так как там основы, их достаточно в русскоязычном сегменте Сети, но если будет проявлен интерес, то можно и ее перевести для полноты картины - прим. переводчика ), в которой достаточно подробно раскрыты все аспекты его применения.

Итак, полезные примеры использования. htaccess:

1. Управление доступом к файлам и каталогам

Чтобы сделать это, поместите данный код в файл. htaccess и сохраните его в каталоге к которому закрываете доступ:

Deny from all
Однако учитывайте, что доступ будет блокирован для всех пользователей, включая и вас. Открыть доступ для конкретного пользователя можно прописав его IP-адрес. Вот код, который для этого потребуется:

Order deny,allow deny from all allow from xxx.xxx.xxx.xxx
где xxx. xxx. xxx. xxx - это ваш IP. Для задания разрешенных диапазонов IP-адресов вы можете заменить три последние цифры. Например, написав вместо них «0/12», вы зададите диапазон IP-адресов одной сети, что избавит вас от необходимости вводить в список все разрешенные IP-адреса отдельно.

Если вы хотите заблокировать доступ к определенному файлу, включая сам. htaccess, используйте следующий фрагмент кода:

order allow,deny deny from all
Если вы хотите указать определенные IP-адреса которым надо запретить доступ, перечислите их при помощи allow from.

Если же вы хотите заблокировать доступ к файлам определенного типа, используйте этот код:

Order Allow,Deny Deny from all

2. Запрет на просмотр директорий

Options All -Indexes
Если же по какой-то причине вы хотите разрешить просмотр всех директорий, используйте код:

Options All +Indexes

3. Ускорение времени загрузки за счет сжатия файлов

AddOutputFilterByType DEFLATE text/html
Для сжатия текстовых файлов используйте:

AddOutputFilterByType DEFLATE text/plain
Вы также можете сжать JavaScript или включить сжатие для других различных типов файлов командами:

AddOutputFilterByType DEFLATE application/javascript AddOutputFilterByType DEFLATE application/rss+xml
Кроме того, вы можете сжать все ваши JavaScript, HTML и CSS файлы при помощи GZIP. Для этого используйте следующий код:

mod_gzip_on Yes mod_gzip_dechunk Yes mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$ mod_gzip_item_include handler ^cgi-script$ mod_gzip_item_include mime ^text\.* mod_gzip_item_include mime ^application/x-javascript.* mod_gzip_item_exclude mime ^image\.* mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*

4. Защита сайта от вставки изображений с других ресурсов

RewriteEngine on RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com RewriteRule \.(jpg|jpeg|png|gif)$ -
Не забудьте заменить yourdomain.com на имя вашего домена.

5. Блокировка посетителей, перешедших с определенного домена

RewriteEngine on RewriteCond %{HTTP_REFERER} bannedurl1.com RewriteCond %{HTTP_REFERER} bannedurl2.com RewriteRule .* - [F]
Вам необходимо заменить bannedurl1.com и bannedurl2.com доменами, которые вы хотите внести в черный список. Вы можете использовать флаг , указывающий, что введенное доменное имя нечувствительно к регистру. Флаг [F] указывает на тип действия, в данном случае - отображение ошибки 403 Forbidden. Если вы хотите запретить несколько сайтов, используйте флаги для каждого домена, если же вы хотите запретить использование одного домена - используйте только флаг .

6. Блокирование запросов от определенных браузеров

RewriteEngine On RewriteBase / SetEnvIfNoCase Referer "^$" bad_user SetEnvIfNoCase User-Agent "^badbot1" bad_user SetEnvIfNoCase User-Agent "^badbot2" bad_user SetEnvIfNoCase User-Agent "^badbot3" bad_user Deny from env=bad_user
Замените badbot1, badbot1 и т. д. именами ботов из вашего журнала. Это закроет посторонним программам доступ к вашему сайту.

7. Кэширование файлов

Header set Cache-Control "max-age=2592000"
Вы можете добавить больше типов файлов (или удалить некоторые из них) в перечисленныq в данном примере список файлов. Вы также можете указать время сохранения файлов в кэше (в секундах) при помощи переменной max-age.

8. Отключение кэширования для разных типов файлов

9. Обход диалога загрузки

AddType application/octet-stream .pdf AddType application/octet-stream .zip AddType application/octet-stream .mp3

10. Переименование файла.htaccess

AccessFileName htac.cess
Кроме того, необходимо обновить все записи, в которых упоминается файл.htaccess, иначе возникнет множество ошибок.

11. Замена стартовой страницы сайта

DirectoryIndex mypage.html
Замените mypage.html на URL страницы, которую вы хотите использовать в качестве главной.

12. Перенаправление на защищенное соединение HTTPS

RewriteEngine On RewriteCond %{HTTPS} !on RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

13. Ограничение максимального размера загружаемых файлов в PHP, максимального размера передаваемых данных, максимального времени выполнения скриптов и т.п.

Php_value upload_max_filesize 15M
Вы можете установить любое значение, в примере размер файла ограничен 15M (MБ). Помимо этого вы можете ограничить максимальный размер передаваемых при загрузке в PHP данных:

Php_value post_max_size 10M
Вы можете заменить 10М на любое требуемое вам значение. Если вам не требуется постоянное выполнение скриптов, вы можете ограничить время их выполнения с помощью строки:

Php_value max_execution_time 240
240 - время выполнения (в секундах), после которого скрипт будет остановлен, вы можете изменить это значение на любое другое. Наконец, если вы хотите ограничить время анализа скриптом исходных данных, используйте следующий код:

Php_value max_input_time 180
Установите вместо 180 любое требуемое вам время (в секундах).

14. Скрытие типов файлов

ForceType application/x-httpd-php ForceType application/x-httpd-php
И это лишь часть того, что может.htaccess, а вообще он позволяет сделать гораздо больше. Например, вы можете установить автоматический перевод страниц вашего сайта, установить часовой пояс сервера, удалить WWW из URL-адресов или использовать причудливые представления каталогов и т.д. Но в любом случае, прежде чем начинать эксперименты с файлом.htaccess, всегда сохраняйте резервную копию оригинального.htaccess, чтобы при возникновении проблем можно было быстро восстановить работу сайта.

Запретить доступ с определенного ip: order allow deny
deny from all
deny from <ваш ip> Использование <ваш ip> аналогично для примера выше.

В зависимости от того в каком порядке указаны директивы меняется логика работы сервера. В случае если Deny,Allow то запрещается доступ со всех IP кроме оговоренных, в случае если Allow,Deny разрешается доступ со всех IP кроме оговоренных. Далее должны идти секции описания для доступа и запрета. Ключевое слово all означает со всех IP

Например мы хотим запретить (блокировать) доступ с IP 81.222.144.12 и 81.222.144.20 и разрешить всем остальным нам необходимо добавить в .htaccess следующий код:

Order Allow,Deny
Allow from all
Deny from 81.222.144.12, 81.222.144.20

Для обратной ситуации когда мы хотим запретить доступ со всех IP кроме 81.222.144.12 и 81.222.144.20 нам необходимо добавить в .htaccess следующий код:

Order Deny,Allow
Deny from all
Allow from 81.222.144.12, 81.222.144.20

Чтобы разрешить только в частности хостов или групп хостов для доступа к серверу, хост может быть указан в любом из следующих форматов:

• для доменного имени (или его части): Allow from apache.org
  Allow from .net example.edu
• для ip адреса: Allow from 10.1.2.3
  Allow from 192.168.1.104 192.168.1.205
• для части ip адреса:
  Allow from 10.1
  Allow from 10 172.20 192.168.2
• для пары сеть/маска: Allow from 10.1.0.0/255.255.0.0
• для сети/nnn CIDR спецификации:
  Allow from 10.1.0.0/16

Запрет на группу файлов по маске:
order allow,deny
deny from all
Определяет доступ к файлу по его расширению.
Например запрет на доступ к файлам с расширениям "inc" для веб-посетителей:

order allow,deny
deny from all

В данном примере сам веб-сервер Апач может обращаться к файлам с таким расширениям.

Запрет на конкретный файл:
Можно поставить запрет на конкретный файл по его названию и расширению.
order allow,deny
deny from all
В данном примере стоит запрет на обращения к файлу config.inc.php.

Пароль на директорию: AuthName "Private zone"
AuthType Basic
require valid-user
Значение AuthName будет выводиться для посетителя и может использоваться для пояснения запроса авторизации. Значение AuthUserFile указывает на место, где хранится файл с паролями для доступа к данной директории. Этот файл создается специальной утилитой htpasswd.exe.

Например в директории, которую защищаем паролем создаем такой.htaccess: AuthName "For Registered Users Only"
AuthType Basic
AuthUserFile /pub/site.ru/.htpasswd
require valid-user
В этом примере, посетитель при запросе директории, будет читать фразу "For Registered Users Only", файл с паролями для доступа должен лежать в директории /pub/site.ru/ и называться.htapasswd . Директория указывается от корня сервера, если вы неправильно зададите директорию, то Апач не сможет прочитать файл.htpasswd и никто не получит доступа к данной директории.

Пароль только на 1 файл: Tue Feb 09 2010 15:44:59 GMT+0300
Аналогично паролированию директории полностью, можно ставить пароль только на 1 файл.
Пример установки пароля на файл private.zip:
AuthName "Users zone"
AuthType Basic
AuthUserFile /pub/home/твой_логин/.htpasswd

Пароль на группу файлов:
Аналогично, используя , можно ставить пароли по маске файлов.
Пример установки пароля на доступ ко всем файла с расширением "sql":

AuthName "Users zone"
AuthType Basic
AuthUserFile /pub/home/твой_логин/.htpasswd

Случается, что доступ к вашему сайту или его части нужно ограничить. Запретить вход кому-то конкретному или разрешить только узкому кругу лиц. Сделать закрытыми определенные папки (директории) или поддомены, защитить их паролями. Всё это можно сделать с помощью файла.htaccess. Не стоит пугаться сложностей, эти настройки - вовсе не тайна секты бородатых вебмастеров. Если следовать инструкциям, разобраться сможет даже новичок. Сегодня мы разберем несколько самых популярных и полезных настроек.

Что такое файл.htaccess и как его создать?

Для начала совсем чуть-чуть о терминах. .htaccess - это файл, который позволяет изменять многие настройки вашего сайта (настройки веб-сервера Apache, опции PHP) и управлять доступом к нему. Вы можете создать этот файл сами в любой момент (либо он уже есть на вашем сайте). Как правило, файл.htaccess создается в корневой директории сайта, а иногда во вложенных директориях, для которых требуются отдельные настройки.

Правила, указанные в файле.htaccess, распространяются на ту директорию (папку), в которой он находится, а также на все вложенные директории. Распространяются эти правила в том числе и на поддомены, поскольку директории поддоменов являются поддиректориями основного сайта.

Возможно, на вашем сайте уже есть файл.htaccess. Тогда создавать его повторно не нужно, достаточно дописать новые правила в конец существующего файла. Если такого файла нет, создайте его. Для этого в файловом менеджере (пункт «Файлы» в верхнем меню панели управления), находясь в нужной папке, нажмите «Создать» — «Файл», в качестве имени файла укажите: .htaccess (точка в начале обязательна). Готово. Осталось наполнить его нужными правилами.

Разрешить доступ только с определеных IP

Если ваш сайт или какая-то его часть не предназначены широкому кругу лиц, вы можете ограничить к ним доступ по IP-адресу. Например, если к странице входа в административную часть вашего сайта наблюдаются подозрительные запросы, похожие на попытку взлома, такое ограничение может быть полезно. C сайтами на WordPress такое случается достаточно регулярно. В этом случае мы обычно рекомендуем заблокировать доступ к административному разделу со всех IP-адресов, кроме вашего собственного (как это сделать, мы разберем ниже).

Если вы хотите закрыть доступ к сайту целиком, добавьте в ваш файл.htaccess следующие правила:

Order deny,allow
Deny from all
Allow from *.*.*.*

Первая строчка в этой директиве задает порядок действий: сначала запретить, затем разрешить. Вторая строчка запрещает доступ всем (поскольку таков порядок, указанный в первой строчке). Третья строчка разрешает доступ только определенному IP-адресу. Так что вместо *.*.*.* подставьте разрешенный IP-адрес.

Вы можете разрешить доступ нескольким IP-адресам, целой подсети IP-адресов или даже нескольким подсетям. Только каждый новый IP-адрес или подсеть следует указывать с новой строчки.

Например, если IP-адресов несколько:

Allow from *.*.*.*
Allow from *.*.*.*

Если адреса относятся к одной подсети, то задайте подсеть, для этого вместо цифр после последней точки укажите диапазон: 0/*, например:

Аналогичным образом вы можете указать несколько подсетей:

Allow from *.*.*.0/12
Allow from *.*.*.0/12

Если Вы хотите запретить доступ не ко всему сайту, а только к части сайта, то файл.htaccess следует создавать именно в той папке, доступ к которой вы хотите ограничить. Например, если вы хотите защитить административную часть сайта на WordPress, то файл.htaccess следует создавать именно в директории wp-admin. В строчке Allow from *.*.*.* следует указать ваш собственный IP-адрес.

Как узнать свой IP, подсеть?

Для определения Вашего IP воспользуйтесь сервисами для определения IP:

Для уточнения подсети можно использовать следующий сервис: ip-calculator.ru .

Если вы затрудняетесь определить нужную маску подсети самостоятельно, обратитесь в службу поддержки.

Запретить доступ определенным IP-адресам

Иногда бывает необходимо запретить доступ только определенным IP-адресам. Такая необходимость может возникнуть, например, если обращения к вашему сайту с одного конкретного IP-адреса носят массовый характер и затрудняют работу сайта, создавая повышенную нагрузку.

Чтобы установить запрет на доступ к вашему сайту с определенных IP-адресов, добавьте в файл.htaccess следующий текст:

Order allow,deny
Allow from all
Deny from *.*.*.*

Вместо *.*.*.* подставьте нужный IP-адрес. В описанном случае с массовыми обращениями определить IP-адрес «виновника» поможет служба поддержки хостинга.

Здесь, как вы видите, порядок обратный: сначала мы разрешаем доступ всем, затем ограничиваем определенным IP-адресам. Точно так же, как в предыдущем примере, вы можете указать несколько IP-адресов (каждый с отдельной строчки), целую подсеть или несколько подсетей. Каждый IP-адрес или подсеть пишутся с новой строчки.

Установить пароль доступа к папке или поддомену

Предположим, на вашем сайте есть папки с содержимым, доступ к которому вы хотели бы ограничить. Или вы создаете закрытый сайт на поддомене. В обоих случаях подходящим решением будет установка пароля доступа.

Установить пароль на папку вы можете прямо из Панели управления. Для достаточно кликнуть по полю с нужной папкой и выбрать функцию «Защита паролем», а затем задать пароль.

Но таким образом вы сможете задать пароль только для одного конкретного пользователя. Если же нужен пароль для круга лиц, снова поможет файл.htaccess.

Как вы помните, директивы из файла.htaccess распространяются только на папку, в которой находится этот файл и вложенные в нее папки (за одним исключением , которое мы сейчас не будем рассматривать). Поэтому, чтобы установить пароль на конкретную папку, создайте прямо в ней файл.htaccess со следующими директивами (а если такой файл в ней уже есть, то просто допишите в конец файла):

AuthName "your_text"
AuthType Basic
Require valid-user
AuthUserFile "полный_путь_к _файлу_.htpasswd"

В первой строке (AuthName) вместо "your_text" укажите любое сообщение, которое будет отображаться при попытке обращения к защищенной директории. Например: "Private zone" или "Administrators Only" , или что-то еще на ваше усмотрение. Важно! Значение текста в поле AuthName не должно содержать кириллицы и специальных символов .

Строчка Require valid-user означает, что имя пользователя может быть любым. Мы рекомендуем это так и оставить. Но вы при желании можете указать список имен пользователей, которым разрешен вход. Для этого в данной строчке после Require следует через запятую указать разрешенные имена. Valid-user в этом случае не дописываем.

В последней строке AuthUserFile необходимо указать полный путь к файлу, содержащему логин и пароль доступа в зашифрованном виде. Предварительно такой файл необходимо создать и загрузить на сайт.

Для этого создайте в файловом менеджере новый файл и назовите его.htpasswd (точка в названии также обязательна). Файл следует создавать в папке того домена, для которого вы задаете пароль (в корневой папке найдите папку domains и в ней нужный домен).

Для генерации логина и пароля в зашифрованном виде используйте либо утилиту консоли.htpasswd (этот способ больше подойдет специалисту), либо сторонние сервисы с аналогичными функциями, например, вот этот: Htpasswd-generator . Последнее совсем просто: задайте пароль и логин — и получите зашифрованную строчку. Эту строчку следует скопировать и вставить в ваш файл с именем.htpasswd.

Вернемся к оформлению директивы. Путь к файлу.htpasswd указывается в полном формате: /home/login/domains/domain.ru/.htpasswd

Пример правильно оформленной директивы:

AuthName "Private zone!"
AuthType Basic
Require valid-user
AuthUserFile /home/a0000001/domains/mydomain/.htpasswd

Если вы войдете во вкус, то больше информации о настройках.htaccess вы найдете на нашем сайте . А для еще более искушенных пользователей - интересно о более тонких настройках.htaccess можно узнать из этой статьи . Напоминаем также, что с недавних пор вы самостоятельно и легко можете