?

?.htaccess 文件是一個(gè)服務(wù)器配置文件，位于你的WordPress 站點(diǎn)的根文件夾中。它允許您為您的服務(wù)器定義您的網(wǎng)站遵循的規(guī)則?？梢允褂肍TP 客戶端進(jìn)行編輯，也可以直接登錄主機(jī)服務(wù)器后臺(tái)進(jìn)行編輯。 ?

?

以下是有用的htaccess文件的12個(gè)技巧：

黑客可以關(guān)閉您的網(wǎng)站，并損害您的收入和聲譽(yù)。他們可以竊取數(shù)據(jù)甚至向您的網(wǎng)站訪問者分發(fā)惡意軟件，并讓您的域被 Google 和其他人列入黑名單。阻止黑客的一種聰明方法是保護(hù)您的 WordPress 管理區(qū)域免受未經(jīng)授權(quán)的訪問。您可以使用.htaccess 來保護(hù)您的 WordPress 管理區(qū)域。

?

如果只有您或少數(shù)受信任的用戶需要訪問管理區(qū)域，那么一個(gè)好的方法是將 /wp-admin/ 的訪問權(quán)限限制為您團(tuán)隊(duì)的 IP 地址。只需將此代碼復(fù)制并粘貼到您的/wp-admin/文件里的 .htaccess文件中。

AuthUserFile /dev/null

AuthGroupFile /dev/null

AuthName "WordPress Admin Access Control"

AuthType Basic

order deny,allow

deny from all

# whitelist Syed's IP address

allow from xx.xx.xx.xxx

# whitelist David's IP address

allow from xx.xx.xx.xxx

將 xx 值替換為您自己的 IP 地址。如果您使用多個(gè) IP 地址訪問互聯(lián)網(wǎng)，請(qǐng)確保也添加它們。里面的Syed，David 為IP主人的名稱，方便識(shí)別每個(gè)IP對(duì)應(yīng)的操作人，沒更多含義。

如文件夾中不存在該文件，可以用記事本創(chuàng)建一個(gè)新文件，加入以上內(nèi)容和IP后，命名為.htaccess上傳到/wp-admin/

查詢ip工具：https://supportally.com/

注意：如果是分配的隨機(jī)ip，這個(gè)方法無效。

密碼保護(hù)您的管理目錄是為您的WP

網(wǎng)站添加另一層密碼保護(hù)的明智方法。如果您從多個(gè)位置（包括公共互聯(lián)網(wǎng)站點(diǎn)）訪問您的 WordPress 站點(diǎn)，那么限制對(duì)特定 IP 地址的訪問可能不起作用。

您可以使用 .htaccess 文件為您的 WordPress 管理區(qū)域添加額外的密碼保護(hù)。

首先，您需要生成一個(gè).htpasswds 文件。您可以使用此在線生成器（http://www.htaccesstools.com/htpasswd-generator/）輕松創(chuàng)建一個(gè)。

記錄好輸入的賬戶和密碼。將此 .htpasswds 文件上傳到您可公開訪問的 Web 目錄或 /public_html/ 文件夾之外。

一條好的路徑是：

/home/user/.htpasswds/public_html/wp-admin/passwd/

接下來，創(chuàng)建一個(gè) .htaccess 文件并將其上傳到 /wp-admin/ 目錄，然后在其中添加以下代碼：

AuthName "Admins Only"

AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd

AuthGroupFile /dev/null

AuthType basic

requireuser putyourusernamehere

Order allow,deny

Allow from all

Satisfy any

記得將 AuthUserFile 路徑替換為您的 .htpasswds 文件的文件路徑并添加您自己的用戶名。

?

如果啟用目錄瀏覽后，黑客可以查看您網(wǎng)站的目錄和文件結(jié)構(gòu)以找到易受攻擊的文件。所以建議禁用目錄瀏覽。

要在您的網(wǎng)站上禁用目錄瀏覽，您需要將以下行添加到您的網(wǎng)站根目錄的 .htaccess 文件的末端中。

Options -Indexes

也可以使用Sucuri WordPress 插件實(shí)現(xiàn)。

Sucuri的5個(gè)重要功能是：阻止所有攻擊，網(wǎng)站完整性監(jiān)控，現(xiàn)場(chǎng)審核日志，服務(wù)器端掃描，惡意軟件清理服務(wù)。

?

?

有時(shí)黑客會(huì)闖入 WordPress 網(wǎng)站并安裝后門。這些后門文件通常偽裝成核心 WordPress 文件，并放置在 /wp-includes/ 或 /wp-content/uploads/ 文件夾中。

提高 WordPress 安全性的更簡(jiǎn)單方法是禁用某些 WordPress 目錄的 PHP 執(zhí)行。

您需要在計(jì)算機(jī)上創(chuàng)建一個(gè)空白 .htaccess 文件，然后將以下代碼粘貼到其中。

deny from all

保存文件，然后將其上傳到您的 /wp-content/uploads/ 和 /wp-includes/ 目錄。

?

?

WordPress 網(wǎng)站根目錄中最重要的文件可能是wp-config.php 文件。它包含有關(guān)您的 WordPress 數(shù)據(jù)庫(kù)以及如何連接到它的信息。

要保護(hù)您的 wp-config.php 文件免受未經(jīng)授權(quán)的訪問，只需將此代碼添加到您的 .htaccess 文件中：

order allow,deny

deny from all

?

?

使用 301 重定向是告訴用戶內(nèi)容已移至新位置的最友好的 SEO 方式。快速設(shè)置重定向，那么您需要做的就是將此代碼粘貼到您的 .htaccess 文件中。

Redirect 301 /oldurl/ http://www.example.com/newurl

Redirect 301 /category/television/ http://www.example.com/category/tv/

詳細(xì)步驟參考上篇文章“如何使用htaccess進(jìn)行WordPress 301重定向”

?

?

如果你看到來自特定 IP 地址的對(duì)您網(wǎng)站的請(qǐng)求異常的高，您可以通過阻止 .htaccess 文件中的 IP 地址輕松阻止這些請(qǐng)求。

將以下代碼添加到您的 .htaccess 文件中：

order allow,deny

deny from xxx.xxx.xx.x

allow from all

不要忘記將 xx 替換為您要阻止的 IP 地址。

?

?

當(dāng)你發(fā)現(xiàn)有網(wǎng)站直接從您的網(wǎng)站盜取鏈接圖像，使您的 WordPress 網(wǎng)站變慢并超出您的帶寬限制。對(duì)于大多數(shù)較小的網(wǎng)站來說，這不是一個(gè)大問題。但是，如果您運(yùn)行一個(gè)受歡迎的網(wǎng)站或一個(gè)有很多照片的網(wǎng)站，那么這可能會(huì)成為一個(gè)嚴(yán)重的問題。

您可以通過將此代碼添加到您的 .htaccess 文件來防止圖像盜鏈：

#disable hotlinking of images with forbidden or custom image option

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?xxxxxx.com [NC]

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]

RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

僅當(dāng)請(qǐng)求來自xxxxxxx.com 或 Google.com 時(shí)，此代碼才允許顯示圖像。不要忘記將 此xxxxxx.com 替換為您自己的域名。

?

正如您所看到的，使用 .htaccess 文件可以完成很多事情。由于它對(duì)您的網(wǎng)絡(luò)服務(wù)器具有強(qiáng)大的控制力，因此保護(hù)它免受黑客未經(jīng)授權(quán)的訪問非常重要。只需將以下代碼添加到您的 .htaccess 文件中：

order allow,deny

deny from all

satisfy all

?

有時(shí)，較低的文件上傳大小限制可能會(huì)阻止您使用媒體上傳器上傳文件或安裝更大的 WordPress 插件和主題。對(duì)于共享主機(jī)上的用戶，增加wp中的文件上傳大小的有效方法之一是將以下代碼添加到他們的 .htaccess 文件中：

php_value upload_max_filesize 64M

php_value post_max_size 64M

php_value max_execution_time 300

php_value max_input_time 300

此代碼只是告訴您的 Web 服務(wù)器使用這些值來增加文件上傳大小以及 WordPress 中的最大執(zhí)行時(shí)間。

?

每個(gè) WordPress 安裝都附帶一個(gè)名為 xmlrpc.php 的文件。此文件允許第三方應(yīng)用程序連接到您的 WordPress 站點(diǎn)。大多數(shù) WordPress 安全專家建議，如果您不使用任何第三方應(yīng)用程序，則應(yīng)禁用此功能。

有多種方法可以做到這一點(diǎn)，其中之一是將以下代碼添加到您的 .htaccess 文件中：

# Block WordPress xmlrpc.php requests

order deny,allow

deny from all

?

蠻力攻擊中使用的一種常見技術(shù)是在 WordPress 網(wǎng)站上運(yùn)行作者掃描，然后嘗試破解這些用戶名的密碼。

您可以通過將以下代碼添加到 .htaccess 文件來阻止此類掃描：

# BEGIN block author scans

RewriteEngine On

RewriteBase /

RewriteCond %{QUERY_STRING} (author=\d+) [NC]

RewriteRule .* - [F]

# END block author scans