Файлы .htaccess для популярных CMS | REG.RU

В данной статье приведены стандартные файлы .htaccess для наиболее популярных CMS. Файл .htaccess находится в корневой папке сайта.

Файл .htaccess для Joomla

##
# @version $Id: htaccess.txt 14401 2010-01-26 14:10:00Z louis $
# @package Joomla
# @copyright Copyright (C) 2005 - 2010 Open Source Matters. All rights reserved.
# @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
# Joomla! is Free Software
##

#####################################################
#  READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
#
# The line just below this section: 'Options +FollowSymLinks' may cause problems
# with some server configurations.  It is required for use of mod_rewrite, but may already
# be set by your server administrator in a way that dissallows changing it in
# your .htaccess file.  If using it causes your server to error out, comment it out (add # to
# beginning of line), reload your site in your browser and test your sef url's.    If they work,
# it has been set by your server administrator and you do not need it set here.
#
#####################################################

##  Can be commented out if causes errors, see notes above.
Options +FollowSymLinks

#
#  mod_rewrite in use

RewriteEngine On

########## Begin - Rewrite rules to block out some common exploits
## If you experience problems on your site block out the operations listed below
## This attempts to block the most common type of exploit `attempts` to Joomla!
#
## Deny access to extension xml files (uncomment out to activate)
#<Files ~ "\.xml$">
#Order allow,deny
#Deny from all
#Satisfy all
#</Files>
## End of deny access to extension xml files
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.
  .]*)$  [NC]
RewriteRule (.*) index.php
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization},L]
#
########## End - Joomla! core SEF Section

Файл .htaccess для WordPress

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

В REG.RU вы можете заказать WordPress hosting.

Файл .htaccess для HostCMS

Options +FollowSymlinks
AddDefaultCharset Off
<IfModule mod_php4.c>
 php_flag magic_quotes_gpc off
 php_flag magic_quotes_runtime off
 php_flag register_globals off
</IfModule>
<IfModule mod_php5.c>
 php_flag magic_quotes_gpc off
 php_flag magic_quotes_runtime off
 php_flag register_globals off
</IfModule>
<IfModule mod_dir.  (.*)$ index.php?q=$1 [L,QSA]
#
# Make sure .htc files are served with the proper MIME type, which is critical # for XP SP2. Un-comment if your host allows htaccess MIME type overrides.
#AddType text/x-component .htc
#
# If your server is not already configured as such, the following directive
# should be uncommented in order to set PHP's register_globals option to OFF.
# This closes a major security hole that is abused by most XSS (cross-site
# scripting) attacks. For more information: http://php.net/register_globals
#
# To verify that this option has been set to OFF, open the Manager and choose
# Reports -> System Info and then click the phpinfo() link. Do a Find on Page
# for "register_globals". The Local Value should be OFF. If the Master Value
# is OFF then you do not need this directive here.
#
# IF REGISTER_GLOBALS DIRECTIVE CAUSES 500 INTERNAL SERVER ERRORS :
#
# Your server does not allow PHP directives to be set via .
  htaccess. In that
# case you must make this change in your php.ini file instead. If you are
# using a commercial web host, contact the administrators for assistance in
# doing this. Not all servers allow local php.ini files, and they should
# include all PHP configurations (not just this one), or you will effectively
# reset everything to PHP defaults. Consult www.php.net for more detailed
# information about setting PHP directives.
#
#php_flag register_globals Off
#
# For servers that support output compression, you should pick up a bit of
# speed by un-commenting the following lines.
#
#php_flag zlib.output_compression On
#php_value zlib.output_compression_level 5
#
# The following directives stop screen flicker in IE on CSS rollovers. If
# needed, un-comment the following rules. When they're in place, you may have
# to do a force-refresh in order to see changes in your designs.
#
#ExpiresActive On
#ExpiresByType image/gif A2592000
#ExpiresByType image/jpeg A2592000
#ExpiresByType image/png A2592000
#BrowserMatch "MSIE" brokenvary=1
#BrowserMatch "Mozilla/4.  (\..*|Entries.*|Repository|Root|Tag|Template)$">
  Order allow,deny
</FilesMatch>

# Don't show directory listings for URLs which map to a directory.
Options -Indexes

# Follow symbolic links in this directory.
Options +FollowSymLinks

# Make Drupal handle any 404 errors.
ErrorDocument 404 /index.php

# Force simple error message for requests for non-existent favicon.ico.
<Files favicon.ico>
  # There is no end quote below, for compatibility with Apache 1.3.
  ErrorDocument 404 "The requested file favicon.ico was not found.
</Files>

# Set the default handler.
DirectoryIndex index.php index.html index.htm

# Override PHP settings that cannot be changed at runtime. See
# sites/default/default.settings.php and drupal_initialize_variables() in
# includes/bootstrap.inc for settings that can be changed at runtime.

# PHP 5, Apache 1 and 2.
<IfModule mod_php5.
  c>
  php_flag magic_quotes_gpc                 off
  php_flag magic_quotes_sybase              off
  php_flag register_globals                 off
  php_flag session.auto_start               off
  php_value mbstring.http_input             pass
  php_value mbstring.http_output            pass
  php_flag mbstring.encoding_translation    off
</IfModule>

# Requires mod_expires to be enabled.
<IfModule mod_expires.c>
  # Enable expirations.
  ExpiresActive On

  # Cache all files for 2 weeks after access (A).
  ExpiresDefault A1209600

  <FilesMatch \.php$>
    # Do not allow PHP scripts to be cached unless they explicitly send cache
    # headers themselves. Otherwise all scripts would have to overwrite the
    # headers set by mod_expires if they want another caching behavior. This may
    # fail if an error occurs early in the bootstrap process, and it may cause
    # problems if a non-Drupal PHP file is installed in a subdirectory.
 
 
  (.*)$ /index.php

<Files "plugins.dat">
order allow,deny
deny from all
</Files>

Файл .htaccess для PrestaShop

Файл .hraccess генерируется автоматически самой CMS:

# ~~start~~ Do not remove this comment, Prestashop will keep automatically the code outside this comment when .htaccess will be generated again
# .htaccess automaticaly generated by PrestaShop e-commerce open-source solution
# http://www.prestashop.com - http://www.prestashop.com/forums

Файл .htaccess для Moodle

DirectoryIndex index.php index.html index.htm
php_value memory_limit 40M (adjust to your version of Moodle)
php_flag magic_quotes_gpc 1
php_flag magic_quotes_runtime 0
php_flag file_uploads 1
php_flag session.auto_start 0
php_flag session.bug_compat_warn 0

Если у вас установлен Apache версии 2, добавьте следующие строки:

<IfDefine APACHE2>
    AcceptPathInfo on
</IfDefine>

Если у вас иная версия Apache, вставьте строку:

AcceptPathInfo on

Если конфигурационный файл отсутствует, ознакомьтесь со статьей: Проблемы с . htaccess. В ней дана инструкция, как создать файл htaccess для HTML сайта.

Помогла ли вам статья?

Да

раз уже
помогла

17 Полезных советов .htaccess | O₂ Digital Company

Некоторые программисты не могут представить себе всю мощь .htaccess. Ниже рассмотрено 17 примеров применения .htaccess, которые могут принести существенную пользу вашему сайту.

1. Установить часовой пояс

Иногда, когда вы используете date или mktime в php. Вы можете получить смешное сообщение о часовом поясе. Один из способов решить эту проблему прописать часовой пояс для вашего сервера в .htaccess. Список поддерживаемых часовых поясов можно посмотреть здесь.

	SetEnv TZ Australia/Melbourne

2. SEO дружественный 301 редирект

Почему SEO дружественный? Современные поисковые системы обладают возможностью определять 301 редирект и обновлять запись.

Redirect 301 http://www.queness.com/home http://www. (.*)$ http://queness.com/$1 [L,R=301]

5. Страницы ошибок

Можно создавать страницы для ошибок с любым кодом

	ErrorDocument 401 /error/401.php
ErrorDocument 403 /error/403.php
ErrorDocument 404 /error/404.php
ErrorDocument 500 /error/500.php

6. Сжатие файлов

Увеличьте скорость загрузки вашего сайта благодаря сжатию файлов

	# compress text, html, javascript, css, xml:
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/xml
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/x-javascript

7. Кэширование файлов

Кэширование фалов — еще один популярный способ увеличения скорости загрузки страницы

	<FilesMatch ".(flv|gif|jpg|jpeg|png|ico|swf|js|css|pdf)$">
Header set Cache-Control "max-age=2592000"
</FilesMatch>

8.

http://(www.)?queness.com/.*$ [NC] RewriteRule .(gif|jpg|swf|flv|png)$ /feed/ [R=302,L]

2. Предотвращение взломов

Если хотите увеличить безопасность вашего сайта, можете вставить эти несколько строк кода в ваш .htaccess файл это позволит предотвратить взломы по нескольким основным моделям взлома через URL.

	RewriteEngine On
# proc/self/environ? no way!
RewriteCond %{QUERY_STRING} proc/self/environ [OR]
# Block out any script trying to set a mosConfig value through the URL
RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
# Block out any script trying to base64_encode crap to send via URL
RewriteCond %{QUERY_STRING} base64_encode.*(.*) [OR]
# Block out any script that includes a <script> tag in URL
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
# Block out any script trying to set a PHP GLOBALS variable via URL
RewriteCond %{QUERY_STRING} GLOBALS(=|[|\%[0-9A-Z]{0,2}) [OR]
# Block out any script trying to modify a _REQUEST variable via URL
RewriteCond %{QUERY_STRING} _REQUEST(=|[|\%[0-9A-Z]{0,2})
# Send all blocked request to homepage with 403 Forbidden error!
RewriteRule ^(. *)$ index.php [F,L]

3. Закрыть доступ к вашему htaccess файлу

Следующий код позволит закрыть доступ к .htaccess файлу. Также можете закрыть доступ к любым другим файлам, даже файла по какой то маске

	# secure htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
# prevent viewing of a specific file
<Files secretfile.jpg>
 order allow,deny
 deny from all
</Files>
# multiple file types
<FilesMatch ".(htaccess|htpasswd|ini|phps|fla|psd|log|sh)$">
 Order Allow,Deny
 Deny from all
</FilesMatch>

4. Переименовать .htaccess файл

Вы можете переименовать htaccess файл для закрытия доступа к нему

AccessFileName htacc.ess

5. Отключение возможности просмотра содержимого папок на сервере

Избежание сервером выдачи содержимого папки или наоборот

	# disable directory browsing
Options All -Indexes
# enable directory browsing
Options All +Indexes

6. Изменение индексного файла

Можно поменять название индексного файла по умолчанию index. User-Agent$ .*(libwww-perl|aesop_com_spiderman) HTTP_SAFE_BADBOT Deny from env=HTTP_SAFE_BADBOT </ifModule>

9. Отключить выполнение скриптов в определенной папке

	# secure directory by disabling script execution
AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi
Options -ExecCGI

Поделиться:

Что такое .htaccess в WordPress?

.htaccess — это файл конфигурации, используемый веб-сервером Apache. Это скрытый файл, расположенный в корневой папке вашего сайта и содержащий правила работы веб-сервера.

WordPress автоматически сохраняет некоторые свои настройки в .htaccess, и опытные пользователи могут редактировать файл вручную, чтобы настроить свой сайт и решить проблемы.

Другие веб-серверы не используют файл .htaccess. Например, если ваш хостинг-провайдер WordPress использует Nginx или Microsoft Windows Server, то на вашем сайте не будет файла .htaccess.

Как WordPress использует файл .htaccess

WordPress автоматически сохраняет некоторые настройки в файле . htaccess. Например, он использует .htaccess, когда переписывает URL-адреса, чтобы сделать их более удобочитаемыми для людей и поисковых систем.

Когда вы переходите к Настройки » Постоянные ссылки и выбираете структуру URL для своего блога, WordPress автоматически перезаписывает ваш файл .htaccess для обработки выбранной вами структуры URL.

Кроме того, плагины, такие как W3 Total Cache, будут изменять ваш файл .htaccess, чтобы настроить инструменты кэширования и оптимизации, которые являются частью плагина.

Как настроить файл .htaccess вручную

Редактировать файл .htaccess вручную рискованно, так как при неправильной настройке это может привести к серьезным ошибкам сервера. Мы рекомендуем вам загрузить копию файла .htaccess на свой компьютер в качестве резервной копии. Вы можете использовать этот файл, если что-то пойдет не так.

Иногда WordPress не может записать файл .htaccess и попросит вас сделать это вручную. Будьте осторожны, копируйте только точное содержимое, предоставленное вам WordPress.

Вы также можете ознакомиться с нашим руководством по наиболее полезным трюкам с .htaccess для WordPress, где мы делимся фрагментами кода, позволяющими настроить ваш веб-сайт. Мы покажем вам, как защитить паролем вашу административную область WordPress, настроить перенаправления, заблокировать подозрительные IP-адреса и многое другое.

Кроме того, когда вы будете искать в WPBeginner .htaccess, вы найдете десятки статей, в которых показано, как редактировать .htaccess для улучшения вашего сайта и решения конкретных проблем.

Как получить доступ к файлу .htaccess

Чтобы получить доступ к файлу .htaccess, вам необходимо использовать FTP-клиент или опцию файлового менеджера в панели управления хостингом WordPress. Если вы раньше не использовали FTP, возможно, вы захотите ознакомиться с нашим руководством о том, как использовать FTP для загрузки файлов в WordPress.

Вы должны найти .htaccess в корневом каталоге вашего сайта WordPress. Однако ваш FTP-клиент может изначально не отображать файл, так как имена файлов, начинающиеся с точки, считаются сервером скрытыми.

Если вы не видите эти скрытые файлы, вам необходимо включить опцию «показывать скрытые файлы» в вашем FTP-клиенте. Если вы все еще не можете найти файл .htaccess, ознакомьтесь с нашим руководством о том, как найти файл .htaccess в WordPress.

Мы надеемся, что эта статья помогла вам узнать больше о .htaccess в WordPress. Вы также можете ознакомиться с нашим списком дополнительной литературы ниже, чтобы узнать о связанных статьях с полезными советами, приемами и идеями WordPress.

Если вам понравилось это руководство, рассмотрите возможность подписки на наш канал YouTube для видеоуроков по WordPress. Вы также можете найти нас в Twitter и Facebook.

Дополнительное чтение

• 12 самых полезных трюков с .htaccess для WordPress
• FTP
• Как защитить паролем каталог администратора WordPress (wp-admin)
• Как использовать FTP для загрузки файлов в WordPress для начинающих
• Как отключить выполнение PHP в определенных каталогах WordPress
• Почему вы не можете найти файл . htaccess на Ваш сайт WordPress
• Apache

Что такое файл .htaccess и как вы его используете в WordPress?

Возможно, вы уже слышали о файле .htaccess, но понятия не имели, что это такое и для чего он нужен. В этой статье мы собираемся привлечь внимание к файлу .htaccess и раскрыть его тайны раз и навсегда. К концу этой статьи вы поймете, что такое файл .htaccess, что делает файл .htaccess и как вы можете использовать файл .htaccess для выполнения определенных задач. Давайте идти!

Что такое файл .htaccess?

Что вы можете делать с файлом .htaccess

Заключение

Начните 14-дневную бесплатную пробную версию

Что такое файл .htaccess?

Начнем с того, что именно представляет собой файл .htaccess. «htaccess» означает «доступ к гипертексту». Это имя описывает, для чего использовался файл, когда он был впервые разработан. Короче говоря, он использовался для контроля доступа пользователей к определенным файлам и каталогам. Что-то изменилось с тех пор, как .htaccess впервые появился на сцене, и теперь он используется в WordPress различными способами, которые мы рассмотрим подробно.

.htaccess — это основной файл конфигурации WordPress, который используется для переопределения определенных настроек веб-сервера Apache (Apache — это программное обеспечение, обычно используемое на веб-серверах) или для реализации различных других функций, влияющих на работу вашего веб-сайта. Он включается во все установки WordPress сразу после включения постоянных ссылок и обычно находится в корневом каталоге установки. Вы можете просмотреть или отредактировать его, обратившись к установочным файлам через FTP-клиент, такой как FileZilla или WinSCP. 9индекс\.php$ — [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d Правило перезаписи. /index.php [Л] # END WordPress

Если вы еще не в курсе, «#» в начале строки — это комментарий. # НАЧАЛО WordPress и # КОНЕЦ WordPress строки комментариев используются для того, чтобы контент оставался организованным, когда дополнительные правила применяются позднее плагинами или вами. Любые будущие дополнения к файлу .htaccess следует размещать за пределами этих строк.

Файл .htaccess в основном используется в WordPress для управления постоянными ссылками на вашем сайте. Однако его также можно использовать в качестве мощного инструмента для различных других задач, таких как контроль доступа к определенным файлам, повышение безопасности и производительности, отправка пользовательских заголовков и многое другое.

Примечание. Важно, чтобы любые изменения, внесенные в файл .htaccess вашего веб-сайта, были внесены осторожно. Даже простая опечатка в этом файле может привести к сбою вашего сайта. Таким образом, если вы не уверены в каких-либо изменениях, которые вы вносите, вам в идеале следует протестировать их на промежуточном сервере, прежде чем применять к вашему действующему веб-сайту.

Что можно делать с файлом .htaccess

Итак, давайте посмотрим, как вы можете лучше контролировать свой веб-сайт с помощью файла .htaccess.

Перенаправление между «www» и «без www»

Обычно файл . htaccess используется для установки постоянного перенаправления с вашего «голого домена» (версия без www) на его версию с www или наоборот.

Прежде чем продолжить, убедитесь, что оба домена настроены в вашем DNS для разрешения правильного IP-адреса сервера. 9(.*)$ http://www.mycompanyname.com/$1 [R=301,L]

Если вы не знакомы с регулярными выражениями, используемыми в коде, и хотели бы больше понять синтаксис, почувствуйте бесплатно, чтобы не торопиться и узнать больше о REGEX. Шпаргалка HT Access — еще один очень полезный инструмент.

301 Redirect (постоянное перенаправление)

301 Redirect сообщает поисковым системам, что URL-адрес был навсегда заменен другим, а также перенаправляет пользователя к этому посетителю на новый (правильный!) URL-адрес. . . 9(.*)$ http://example.com/$1 [L,R=301,NC]

В приведенном выше примере мы перенаправили пользователей с сайта mycompanyname.com на example.com. Конечно, вы захотите заменить эти разделы своими собственными URL-адресами.

Это также относится ко всем путям в домене. Это означает, что, например, mycompanyname.com/new.html будет перенаправлять на example.com/new.html

302 Redirect (временное перенаправление)

Когда содержимое временно перемещается в другое место, используется перенаправление 302. Синтаксис такой же, как и в 301. Например:

 Перенаправление 302 /old.html http//www.mycompanyname.com/new.html 

С практической точки зрения результат точно такой же, но с одним важным отличием. С переадресацией 301 поисковым системам сообщают, что страница больше не существует, и при этом поисковые системы будут удалять эту страницу из результатов поиска. В случае перенаправления 302 исходный URL-адрес по-прежнему будет сканироваться Google и продолжит индексацию вместо нового URL-адреса. Таким образом, это идеальное решение для перенаправления, когда вы хотите только временно перенаправить на альтернативный контент.

Принудительно к HTTPS

Защита вашего веб-сайта с помощью SSL-сертификата очень важна в наши дни. Веб-сайты, которые этого не делают, теперь будут отображать предупреждение в строке браузера, что может подорвать доверие к вашему веб-сайту. Кроме того, Google фактически наказывает веб-сайты, которые не доставляют контент через HTTPS, и поэтому ваш поисковый рейтинг может пострадать.

Даже когда вы устанавливаете SSL-сертификат на свой веб-сайт, вы все равно можете обнаружить, что пользователи могут посещать не-HTTPS-версию вашего сайта. Если они сделают это, они все равно получат предупреждение в своем браузере, несмотря на то, что у вас установлен SSL-сертификат. Чтобы этого не произошло, вам нужно принудительно перевести весь трафик из небезопасной версии HTTP в безопасную версию HTTPS. Это очень легко сделать с помощью файла .htaccess, добавив следующий код: 9(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Блокировать IP-адреса

Если вы получаете спам-трафик или ваш сайт IP-адреса, с которыми вы можете действовать, используя файл .htaccess, блокируя трафик с этого IP-адреса, используя следующий код в файле . htaccess.

 Запретить с 94.66.58.135 

Если вы хотите узнать, как можно заблокировать IP-адрес другими способами, прочтите это руководство.

Предотвратить горячее связывание изображений 9http(s)?://(www\.)?yahoo.com [NC]

Конечно, вы можете включить в белый список любые другие веб-сайты. Наконец, последняя строка кода ( RewriteRule .(jpg|jpeg|png|gif)$ - [F] ) указывает, какие типы мультимедиа блокируются.

Защита файлов плагинов и тем

Файлы PHP плагинов и тем иногда могут быть целью хакеров, которые пытаются внедрить в них вредоносный код. Вы можете использовать свой файл .htaccess, чтобы предотвратить доступ к этим файлам, используя следующий код: 9/wp-content/themes/directory/to/exclude/ RewriteRule wp-content/themes/(.*\.php)$ — [R=404,L]

Защита основных файлов WordPress

Настоятельно рекомендуется сделать некоторые основные файлы WordPress недоступными для пользователей без прав администратора. wp-includes/theme-compat/ — [F,L]

Предотвращение сканирования вашего веб-сайта вредоносными ботами

Боты — это в основном автоматизированные веб-скрипты, которые могут сканировать миллионы веб-сайтов в день. Google использует ботов для сканирования веб-сайтов и использует данные этих сканирований для обновления своих обширных поисковых баз данных. Надеюсь, бот Google совершенно безвреден! Однако есть и другие боты, которым вы, возможно, не захотите сканировать свой сайт. Некоторые из этих «плохих» ботов могут ничего не делать, кроме как просто потреблять ненужную пропускную способность сервера, в то время как другие могут активно искать уязвимые места на вашем веб-сайте. Ваш файл .htaccess можно использовать для блокировки этих «плохих» ботов. 9Zeus [NC]

После сохранения изменений все боты из списка, которые теперь посещают ваш сайт, получат страницу 403 Forbidden.

Защита wp-config.php

Обычно рекомендуется ограничивать доступ к файлу wp-config. php, поскольку он содержит учетные данные для доступа к базе данных.

Чтобы сделать это через .htaccess, просто скопируйте и вставьте следующие строки в ваш файл .htaccess:

 запретить разрешить, запретить все файлы 

Отключить выполнение PHP

Очень эффективный способ защититься от попыток взлома — предотвратить выполнение PHP в определенных каталогах, где он не нужен. Например, каталоги /wp-includes/ и /wp-content/uploads/ являются популярными местами, используемыми хакерами для размещения кода, обеспечивающего несанкционированный доступ к серверу (известного как бэкдор-файлы). Отключение выполнения PHP в этих каталогах не удалит эти файлы, а вместо этого остановит выполнение их кода. Для этого добавьте следующий код в ваш файл .htaccess.

 <Файлы *.php>запретить все 

Вы также обнаружите, что многие хостинг-провайдеры, включая Pressidium, уже по умолчанию отключили выполнение PHP в этих каталогах, чтобы повысить уровень безопасности для своих клиентов.

Отключить доступ XML-RPC

Это обычная проблема, с которой часто сталкиваются группы поддержки хостинговых компаний, где установка WordPress получает тысячи запросов «POST /xmlrpc.php HTTP/1.1», которые часто связаны с атакой одного или несколько IP-адресов. Одним из решений этой проблемы является отключение XML-RPC.

Чтобы отключить XML-RPC для вашего веб-сайта, добавьте следующие строки кода в файл oyur .htaccess:

 # Блокировать запросы WordPress xmlrpc.php
<Файлы xmlrpc.php>
запретить заказ, разрешить
отрицать от всех

# КОНЕЦ защиты xmlrpc.php 

Стоит отметить, что xmlrpc.php необходим, если вы обновляете свой контент с помощью мобильных приложений или удаленных подключений. Поэтому, если вы планируете отключить его навсегда, убедитесь, что он не нужен для вашей работы.

Принудительная загрузка файлов

Пользователя веб-сайта может сильно раздражать, что когда вы хотите загрузить файл с веб-сайта (например, PDF), вместо этого файл открывается в окне браузера. Если на вашем веб-сайте есть файлы, которые предоставляются вашим пользователям в качестве загружаемых элементов, вы можете отредактировать файл .htaccess и добавить строку кода, которая может принудительно загружать определенные типы файлов, а не отображать их непосредственно в браузере. Вы увидите этот код ниже вместе с некоторыми примерами типов файлов, которые вы хотели бы, чтобы пользователи могли напрямую загружать.

 AddType application/octet-stream .avi .mpg .mov .pdf .xls .mp4 

Опытные пользователи могут захотеть иметь возможность отправлять пользовательские заголовки HTTP, используя преимущества директивы Apache Header. Для этого добавьте следующий код в ваш файл .htaccess.

 Header add my-custom-header "значение моего пользовательского заголовка" 

В приведенном выше примере Apache будет указывать добавлять заголовок с именем «my-custom-header» для каждого запроса к серверу. Если мы внедрим это обновление, а затем проверим вкладку нашей сети в инструментах нашего браузера, мы сможем подтвердить его ответ, как показано ниже.