สุดยอดคู่มือสำหรับ WordPress .htaccess file

ฉันเข้าใจไม่ง่ายเลย: รหัสเริ่มต้นของฉันดูเหมือนภาษาจีน

ฉันโดดเด่นเพราะรูปร่างหน้าตาของฉันเอง เนื่องจากชื่อของฉันไม่มีนามสกุล

ฉันยังมีพลังวิเศษ หากคุณตั้งค่าฉันอย่างถูกต้อง ฉันสามารถทำสิ่งต่อไปนี้:

• ปรับปรุงความปลอดภัยของเว็บไซต์ของคุณ
• เพิ่มความเร็วในการโหลดหน้าเว็บของคุณ
• การตั้งค่าการเปลี่ยนเส้นทาง
• การจำกัดสแปม
• และแม้กระทั่งทำเรื่องตลกเล็กน้อย นั่นคือด้านที่ทะลึ่งของฉัน

คุณยังไม่รู้ว่าฉันเป็นใคร? ฉันคือไฟล์ . .htaccess ของเว็บไซต์ WordPress ของคุณ มารู้จักฉันให้ดีขึ้นในคู่มือนี้เกี่ยวกับวิธีการทำงานของฉัน

ในบรรทัดเหล่านี้ คุณจะค้นพบแนวทางการกำหนดค่าฉันมากกว่าสามสิบข้อ พวกมันถูกสร้างขึ้นมาในรูปแบบของโค้ดที่พร้อมใช้งาน ซึ่งคุณจะต้องคัดลอกและวางที่บ้าน

อ่านต่อไปคุณจะไม่ผิดหวัง!

เขียนครั้งแรกในเดือนตุลาคม 2015 บทความนี้ได้รับการปรับปรุงล่าสุดในเดือนกรกฎาคม 2022

โครงการ WordPress ที่ดีที่สุดของคุณต้องการโฮสต์ที่ดีที่สุด!

WPMarmite แนะนำ Bluehost: ประสิทธิภาพที่ยอดเยี่ยม การสนับสนุนที่ยอดเยี่ยม ทั้งหมดที่คุณต้องการเพื่อการเริ่มต้นที่ดี

ลอง Bluehost

ไฟล์ .htaccess คืออะไร

ไฟล์ . .htaccess เป็นไฟล์กำหนดค่าสำหรับ Apache ซึ่งเป็นซอฟต์แวร์ที่เว็บเซิร์ฟเวอร์ส่วนใหญ่ใช้เพื่อเรียกใช้ เนื้อหาของไฟล์นี้จะให้คำสั่งแก่ Apache เพื่อให้เซิร์ฟเวอร์ทำงานในลักษณะใดลักษณะหนึ่ง

ระวัง บางเว็บโฮสต์ทำงานบนเซิร์ฟเวอร์ NGINX เท่านั้น นี่เป็นกรณีของมู่เล่เป็นต้น พวกเขาไม่มีไฟล์ . .htaccess

เว็บไซต์เกือบทั้งหมดที่ใช้ WordPress มีไฟล์ . .htaccess อันที่จริง WordPress สร้างขึ้นโดยอัตโนมัติระหว่างการติดตั้ง เพื่อรวมการตั้งค่าลิงก์ถาวรสำหรับเว็บไซต์

เมื่อคุณไปที่การ ตั้งค่า > ลิงก์ถาวร เพื่อเลือกรูปแบบ URL (ปกติคือ “ชื่อโพสต์”) ไฟล์ . .htaccess จะถูกแก้ไข

ไฟล์ .htaccess ทำงานอย่างไร

คุณควรรู้ว่าเว็บไซต์สามารถมีไฟล์ . .htaccess ได้หลายไฟล์

อันดับแรก มีไฟล์ . .htaccess หลัก ซึ่งอยู่ที่รูทของเว็บไซต์

รากของเว็บไซต์เป็นที่ที่ไฟล์ WordPress ( wp-admin , wp-includes และโฟลเดอร์ wp-content รวมทั้งไฟล์อื่นๆ บางไฟล์) อยู่บนเซิร์ฟเวอร์ของคุณ คุณสามารถเข้าถึงได้โดยเชื่อมต่อกับไคลเอนต์ FTP ของคุณเป็นต้น ชื่อของโฟลเดอร์รูทนี้อาจแตกต่างกันไปขึ้นอยู่กับผู้ให้บริการโฮสต์ของคุณ ตัวอย่างเช่น เรียกว่า public_html พร้อม Bluehost (ลิงก์พันธมิตร) และ www พร้อม OVH

เนื้อหาของไฟล์ . .htaccess หลักจะมีผลกับทั้งเว็บไซต์

ไฟล์ . .htaccess อื่นๆ สามารถสร้างได้ในไดเรกทอรีย่อย ในกรณีของ WordPress คุณสามารถวางไว้ในไดเร็กทอรี wp-admin หรือ wp-content/uploads เป็นต้น

ไฟล์ . .htaccess จะส่งผลต่อไดเร็กทอรีที่พวกเขาอยู่ เช่นเดียวกับไดเร็กทอรีย่อย

หากเราคิดว่ามีไฟล์ . .htaccess อยู่ใน wp-content/uploads ไดเร็กทอรี uploads และไดเร็กทอรีย่อยทั้งหมดจะได้รับผลกระทบจากสิ่งที่กำหนดไว้ในไฟล์ . .htaccess

วิธีสร้างไฟล์ .htaccess

ตามหลักเหตุผล เว็บไซต์ของคุณควรมีไฟล์ . .htaccess อย่างน้อยหนึ่งไฟล์ ซึ่งอยู่ที่รากของเว็บไซต์ของคุณ คุณสามารถแก้ไขได้โดยใช้โปรแกรมแก้ไขโค้ดที่คุณชื่นชอบ (Sublime Text, Brackets, Notepad++, Coda ฯลฯ)

มีวิธีแก้ไขปัญหาอื่นๆ เช่น ปลั๊กอิน Htaccess File Editor เพื่อแก้ไขโดยตรงจากแดชบอร์ด WordPress ของคุณ

แต่ถ้ามีปัญหาใดๆ คุณจะต้องผ่านไคลเอ็นต์ FTP และโปรแกรมแก้ไขโค้ด ดังนั้นคุณจึงอาจทำได้โดยตรงเช่นกัน

หากคุณต้องการเพิ่มไฟล์ . .htaccess ลงในไดเร็กทอรีย่อย ให้ทำตามคำแนะนำเหล่านี้

สร้างไฟล์ .htaccess จากคอมพิวเตอร์ของคุณ

1. สร้างไฟล์ข้อความใหม่และตั้งชื่อเป็น htaccess.txt
2. แก้ไขตามที่คุณต้องการ
3. ส่งไปที่รูทของเซิร์ฟเวอร์ของคุณ
4. เปลี่ยนชื่อเป็น . .htaccess

สร้างไฟล์ .htaccess จากเซิร์ฟเวอร์ของคุณ

1. คลิกขวาในไดเร็กทอรีที่ควรจะเป็น
2. เพิ่มไฟล์ใหม่และตั้งชื่อเป็น .htaccess.
3. แก้ไขด้วยโปรแกรมแก้ไขโค้ดของคุณ (Notepad++, Coda, Sublime Text หรืออื่นๆ)

ขอแสดงความยินดี ตอนนี้คุณรู้แล้วว่าไฟล์ . .htaccess มีไว้เพื่ออะไร และจะสร้างได้อย่างไร ก่อนที่คุณจะรู้ว่าคุณสามารถเพิ่มหลักเกณฑ์ใดได้บ้าง โปรดใช้ความระมัดระวัง!

มาตรการป้องกันก่อนปรับแต่ง .htaccess file

การปรับแต่งโค้ดของไฟล์ . .htaccess นั้นค่อนข้างตรงไปตรงมา (โดยเฉพาะอย่างยิ่งกับข้อมูลโค้ดที่มีให้ในส่วนที่เหลือของบทความนี้) แต่คุณก็ไม่ควรพูดถึงเรื่องนี้ด้วยเหตุที่กระสุนปืนลุกเป็นไฟ

ก่อนทำการเปลี่ยนแปลงใดๆ เราขอแนะนำให้คุณสำรองข้อมูลเว็บไซต์ WordPress ของคุณก่อน สำหรับสิ่งนี้ คุณสามารถใช้ปลั๊กอินเฉพาะเช่น UpdraftPlus

ถัดไป บันทึกเนื้อหาเริ่มต้นของไฟล์ . .htaccess ของคุณ ในการดำเนินการนี้ คุณสามารถ:

• ทำซ้ำไฟล์ . .htaccess บนเซิร์ฟเวอร์ของคุณให้เป็นไฟล์ . .htaccess-initial
• คัดลอกเนื้อหาของไฟล์ลงในไฟล์ข้อความบนคอมพิวเตอร์ของคุณ

หากคุณมีปัญหา คุณสามารถกู้คืนเนื้อหาต้นฉบับได้อย่างง่ายดาย

วิธีแก้ไขไฟล์ .htaccess ของคุณอย่างถูกต้อง

หากต้องการเปลี่ยนแปลง ให้ทำตามขั้นตอนด้านล่าง:

• เปิดไฟล์ในตัวแก้ไขโค้ดของคุณ
• วางส่วนเพิ่มเติมของคุณในไฟล์
• บันทึกมัน
• อัปเดตเว็บไซต์ของคุณเพื่อดูว่าทุกอย่างเรียบร้อยดีหรือไม่

การรีเฟรชเว็บไซต์ของคุณมีความสำคัญมาก: จะช่วยให้ทราบว่ามีปัญหาใดๆ กับโค้ดที่เพิ่มเข้ามาหรือไม่

โดยทั่วไป ข้อผิดพลาด 500 ข้อ “Internal Server Error” จะปรากฏขึ้นบนหน้าจอ หากมีปัญหา:

ในกรณีนี้ ให้เลิกทำการเปลี่ยนแปลงและบันทึกอีกครั้ง ทุกอย่างควรกลับสู่ปกติ

บางครั้ง บางโฮสต์ไม่ยอมรับรหัสเฉพาะในไฟล์ . .htaccess ...

คุณจะต้องจัดการกับมัน

ติดต่อฝ่ายบริการลูกค้าของโฮสต์ของคุณเพื่อหาข้อมูลเพิ่มเติม หวังว่าจะต้องมีการปรับเปลี่ยนเพียงเล็กน้อยเพื่อให้ใช้งานได้

คุณประสบกับข้อผิดพลาดของ WordPress เช่นข้อผิดพลาดทั่วไปและข้อผิดพลาด 500 อย่างแพร่หลายหรือไม่? WPMarmite เสนอคำแนะนำที่ครอบคลุมในการแก้ไขปัญหาที่สำคัญ

คราวนี้มันดีไปหมด คุณทราบวิธีการทำงานของไฟล์ . .htaccess วิธีสร้างและแก้ไขอย่างถูกต้อง

มาดูวิธีปรับแต่งมันใน 5 ที่ที่แตกต่างกัน:

1. ที่รากของเว็บไซต์
2. ใน wp-admin
3. ใน wp-includes
4. ใน wp-content
5. ใน wp-content/uploads

เริ่มจากรากของเว็บไซต์ทันที คุณจะเห็นว่านี่จะเป็นชิ้นที่สอดคล้องกันมากที่สุด

เช่นเดียวกับในภาษาคอมพิวเตอร์ทุกภาษา ไฟล์ . .htaccess ช่วยให้คุณสามารถใส่ความคิดเห็นได้ เมื่อต้องการทำเช่นนี้ เพียงวางสัญลักษณ์ # ที่จุดเริ่มต้นของบรรทัดเพื่อให้บรรทัดถูกละเว้น วิธีนี้มีประโยชน์มากสำหรับการจดจำว่าโค้ดบรรทัดใดทำงาน คุณจะเห็นความคิดเห็นในตัวอย่างในบทความนี้

วิธีปรับแต่งไฟล์ .htaccess ที่รูทของเว็บไซต์

หากการติดตั้งของคุณเป็นไปด้วยดี คุณจะพบไฟล์ . .htaccess ที่รูทของเว็บไซต์ของคุณ มันจะมีรหัสต่อไปนี้:

 # BEGIN WordPress RewriteEngine On RewriteBase / RewriteRule ^index\. php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] # END WordPress

หากคุณใช้ WordPress ในโหมดหลายไซต์ รหัสเริ่มต้นของไฟล์ . .htaccess จะแตกต่างออกไป สิ่งนี้จะไม่ส่งผลกระทบต่อคุณในกรณีส่วนใหญ่

เมื่อคุณพบไฟล์นี้แล้ว คุณจะสามารถปรับปรุงเนื้อหาด้วยข้อมูลโค้ดด้านล่างเพื่อดำเนินการบางอย่างให้เสร็จสิ้น ซึ่งอาจเกี่ยวกับความปลอดภัย แต่ยังรวมถึงเรื่องอื่นๆ ด้วย

อย่าลืมใส่โค้ดใด ๆ ระหว่างความคิดเห็น # BEGIN WordPress และ # END WordPress เนื่องจากเป็นไปได้ว่าโค้ดนี้จะถูกแก้ไขในบางกรณี

คำเตือนอื่น: บันทึกไฟล์ . .htaccess เดิมของคุณก่อนทำการเปลี่ยนแปลงใดๆ คุณต้องสามารถกลับไปได้หากคุณมีปัญหาใดๆ

ปิดการใช้งานไดเร็กทอรีที่แสดง

ตามค่าเริ่มต้น หากคุณพยายามเข้าถึงไดเร็กทอรีของเว็บไซต์ เซิร์ฟเวอร์จะแสดงไดเร็กทอรีเหล่านั้น การจัดรูปแบบจะมีลักษณะดังนี้:

คุณสามารถจินตนาการได้ว่านี่คือขนมปังและเนยสำหรับแฮกเกอร์ การที่พวกเขาสามารถเห็นไฟล์ในเว็บไซต์ของคุณได้จะช่วยให้พวกเขาสามารถโจมตีได้ดีขึ้น ใส่รหัสต่อไปนี้ลงในไฟล์ .htaccess เพื่อปกป้องเว็บไซต์ของคุณ:

 # Disable display of directory contents Options All -Indexes

คุณยังสามารถใช้รหัสนี้เพื่อป้องกันการแสดงรายการไดเร็กทอรี:

 # Alternative to prevent directory listing IndexIgnore *

ซ่อนข้อมูลเซิร์ฟเวอร์

สำหรับผู้ให้บริการโฮสต์บางราย หน้าที่แสดงอาจมีข้อมูลเซิร์ฟเวอร์ ข้อมูลนี้สามารถให้รายละเอียดแก่ผู้โจมตีที่มีศักยภาพ

ดังนั้นจึงเป็นการดีที่สุดที่จะซ่อนมันด้วยรหัสต่อไปนี้:

 # Hide the information from server ServerSignature Off

เปิดใช้งานลิงก์สัญลักษณ์ต่อไปนี้

ฉันต้องพูดไร้สาระกับคุณอย่างแน่นอน แต่สิ่งสำคัญคือต้องแทรกโค้ดบรรทัดนี้ลงในไฟล์ . .htaccess หลักของคุณ:

 # Enable following symbolic links Options +FollowSymLinks

วิธีนี้จะช่วยให้เซิร์ฟเวอร์ของคุณติดตามสิ่งที่เรียกว่าลิงก์สัญลักษณ์ เช่น รหัสย่อ

ตั้งค่าเซิร์ฟเวอร์ของคุณเป็นเวลาที่ถูกต้อง

สิ่งนี้ไม่สำคัญนัก แต่ถ้าเซิร์ฟเวอร์ของคุณอยู่ต่างประเทศ คุณสามารถบอกให้ตั้งค่าเขตเวลาของคุณด้วยรหัสบรรทัดนี้:

 # Choose time zone SetEnv TZ America/New_York

ตั้งค่าการเข้ารหัสอักขระเริ่มต้น

รหัสต่อไปนี้ช่วยให้คุณตั้งค่าการเข้ารหัสอักขระสำหรับไฟล์ข้อความและ HTML เป็น UTF-8 (การเข้ารหัสอักขระของคอมพิวเตอร์) หากไม่มีสิ่งนี้ ก็มีความเสี่ยงที่สำเนียงจะเข้าใจผิด

 # Default encoding of text and HTML files AddDefaultCharset UTF-8

ป้องกัน wp-config.php

ไฟล์กำหนดค่าสำหรับเว็บไซต์ของคุณ ( wp-config.php ) มีข้อมูลประจำตัวเพื่อเชื่อมต่อกับฐานข้อมูล

นี่เป็นไฟล์ที่ละเอียดอ่อนที่สุดในเว็บไซต์ของคุณ อาจเป็นเป้าหมายของแฮ็กเกอร์ที่มีศักยภาพ สามารถป้องกันได้โดยการเพิ่มรหัสนี้ลงในไฟล์ . .htaccess หลัก:

 # Protect the wp-config.php file <files wp-config.php> order allow,deny deny from all </files>

ป้องกันไฟล์ .htaccess เอง

เช่นเดียวกับ wp-config.php ไฟล์ . .htaccess จะต้องได้รับการปกป้องอย่างเต็มที่ โดยใส่รหัสนี้:

 # Protect .htaccess and .htpasswds files <Files ~ "^.*\.([Hh][Tt][AaPp])"> order allow,deny deny from all satisfy all </Files>

จำกัดความคิดเห็นที่สแปม

คุณก็รู้ดีพอๆ กับฉันถ้าคุณมีบล็อก สแปมความคิดเห็นเป็นสิ่งที่เจ็บปวดจริงๆ

โชคดีที่มีเคล็ดลับในการป้องกันสิ่งนี้โดยตรงในไฟล์ . .htaccess นี่ไม่ใช่การแก้ไขด่วน แต่เมื่อรวมกับปลั๊กอิน Akismet แล้ว สแปมส่วนใหญ่ควรได้รับการกรอง

 # Avoid comment spam <IfModule mod_rewrite.c> RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .wp-comments-post\.php* RewriteCond %{HTTP_REFERER} !.mywebsite.com.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L] </IfModule>

อย่าลืมแทนที่ mywebsite.com ด้วยชื่อโดเมนของคุณ

เข้าร่วมกับสมาชิก WPMarmite

รับโพสต์ WPMarmite ล่าสุด (และทรัพยากรพิเศษ)

สมัครสมาชิกตอนนี้

หลีกเลี่ยงการตรวจพบ ID ของผู้เขียน

แม้ว่าคุณจะใช้การเข้าสู่ระบบของผู้ใช้ที่ซับซ้อน แต่ก็ยังสามารถตรวจพบได้

แน่นอน ฉันคิดว่าคุณไม่ได้แสดงต่อสาธารณะด้วยธีมของคุณอยู่แล้ว (อาจเกิดขึ้นได้)

ลองพิมพ์ mywebsite.com/?author=x แทนที่ x ด้วย 1 สำหรับผู้ดูแลระบบหรือ ID ของผู้เขียนคนใดคนหนึ่งของคุณ หากคุณไม่ได้รับการปกป้อง คุณจะถูกเปลี่ยนเส้นทางไปยังหน้าเช่น mywebsite.com/author/author_id

นั่นคือวิธีที่คุณค้นหา ID ผู้ใช้ในสองวินาที จากที่นั่น เหลือเพียงพยายามเดารหัสผ่านของคุณ

เพื่อป้องกันตัวเองจากเทคนิคนี้ ใช้รหัสต่อไปนี้:

 # Prevent the detection of an author's ID <IfModule mod_rewrite.c> RewriteCond %{QUERY_STRING} ^author=([0-9]*) RewriteRule .* - [F] </IfModule>

ปิดการใช้งาน Hotlink ของรูปภาพของคุณ

Hotlinking คืออะไร? ไม่ต้องกังวล ฉันจะอธิบายทุกอย่าง

โดยทั่วไป เมื่อคุณเพิ่มภาพลงในเว็บไซต์ของคุณ (เช่น ในบทความ) ทุกคนสามารถคัดลอก URL ของภาพใดภาพหนึ่งของคุณและแสดงบนเว็บไซต์ของพวกเขาได้

คุณอาจคิดว่ามันไม่ได้แย่ขนาดนั้น แต่ถ้าด้วยเหตุผลบางอย่างเว็บไซต์ที่มีผู้ติดตามมากหยิบภาพของคุณและแสดงบนหน้าใดหน้าหนึ่ง คำขอจะถูกส่งไปยังเซิร์ฟเวอร์ของคุณ

Hotlinking เป็นการขโมยแบนด์วิธ จริงๆ หากเว็บไซต์ของคุณถูกติดตั้งบนเซิร์ฟเวอร์ที่ใช้ร่วมกันขนาดเล็ก โฮสต์ของคุณอาจไม่พอใจเพราะทรัพยากรมีจำกัด

เพื่อหลีกเลี่ยงปัญหา ให้แทรกและปรับแต่งรหัสนี้ในไฟล์ . .htaccess ของคุณ:

 # Disable hotlinking of your images RewriteEngine On RewriteCond %{HTTP_REFER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?mywebsite.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ http://fakeimg.pl/400x200/?text=Do_not_touch_the_images [NC,R,L]

หากต้องการอนุญาตให้บางเว็บไซต์แสดงภาพของคุณ ให้ใช้รหัสต่อไปนี้:

 # Disable hotlinking of your images RewriteEngine On RewriteCond %{HTTP_REFERER} !^$ RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?mywebsite.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?mywebsite2.com [NC] RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?mywebsite3.com [NC] RewriteRule \.(jpg|jpeg|png|gif)$ http://fakeimg.pl/400x200/?text=Do_not_touch_the_images [NC,R,L]

คุณยังสามารถปรับแต่งภาพที่จะแสดงแทนรูปภาพที่ร้องขอได้อีกด้วย ฉันเพิ่มบางสิ่งที่เรียบง่าย แต่คุณสามารถสร้างสรรค์ได้มากขึ้น

แบนที่อยู่ IP

หากคุณสังเกตเห็นว่าที่อยู่ IP บางที่อยู่พยายามเข้าสู่ระบบการดูแลระบบเว็บไซต์ของคุณบ่อยเกินไป (เช่น ด้วยปลั๊กอินล็อคการเข้าสู่ระบบ) คุณสามารถกำจัดที่อยู่ IP เหล่านั้นได้โดยการแบนที่อยู่ IP ของพวกเขา

คุณยังมีความเป็นไปได้ที่จะดึงที่อยู่ IP ของผู้ส่งสแปมความคิดเห็นเพื่อแบนพวกเขาจากเว็บไซต์ของคุณ

โซลูชันนี้ไม่ถาวร เนื่องจากผู้โจมตีของคุณอาจเปลี่ยนที่อยู่ IP แต่อาจใช้ได้กับบุคคลที่มีทักษะน้อยกว่า

 # Ban an IP address <Limit GET POST> order allow,deny deny from xxx.xxx.xxx.xxx allow from all </Limit>

บล็อกผู้เยี่ยมชมจากบางเว็บไซต์

หากคุณพบว่าเว็บไซต์ที่ไม่เป็นไปตามข้อกำหนดได้เชื่อมโยงกับเว็บไซต์ของคุณ และคุณไม่ต้องการให้ผู้เยี่ยมชมจากเว็บไซต์นั้นเข้าถึงเว็บไซต์ของคุณ ให้ใช้รหัสนี้:

 # Prevent visitors to these sites from accessing yours <IfModule mod_rewrite.c> RewriteEngine on RewriteCond %{HTTP_REFERER} mywebsite1.com [NC,OR] RewriteCond %{HTTP_REFERER} mywebsite2.com [NC,OR] RewriteRule .* - [F] </ifModule>

เปลี่ยนเส้นทางผู้เยี่ยมชมจากเว็บไซต์หนึ่งไปยังอีกเว็บไซต์หนึ่ง

หากต้องการใช้เคล็ดลับก่อนหน้าไปอีกขั้น คุณสามารถเปลี่ยนเส้นทางผู้เยี่ยมชมจากบางเว็บไซต์ไปยังเว็บไซต์อื่นได้

นี่คือรหัสที่จะใช้:

 # Redirect visitors from one site to another RewriteEngine on RewriteCond %{HTTP_REFERER} sourcewebsite\.com/ RewriteRule ^(.*)$ http://www.destinationwebsite.com [R=301,L]

สร้างการเปลี่ยนเส้นทาง

ไฟล์ . .htaccess ให้คุณเปลี่ยนเส้นทางได้ (เปลี่ยนเส้นทาง URL A เป็น URL B)

สิ่งนี้มีประโยชน์สำหรับการเปลี่ยนเส้นทางบางหน้า แต่ถ้าคุณต้องการสร้างการเปลี่ยนเส้นทางจำนวนมาก ฉันขอแนะนำปลั๊กอิน WordPress Redirection ซึ่งฉันแนะนำในบทความนี้

วิธีสร้างการเปลี่ยนเส้นทางในไฟล์ . .htaccess :

 # Redirection of any page Redirect 301 /oldpage/ http://www.mywebsite.com/newpage # Redirection of a new category (with renaming from category to topic) Redirect 301 /category/technology/ http://www.mywebsite.com/topic/techno/

เปลี่ยนเส้นทางที่อยู่โดยไม่มี www ไปยังหนึ่งด้วย www

เมื่อตั้งค่าเว็บไซต์ สิ่งแรกที่ต้องทำคือเปลี่ยนเส้นทางเว็บไซต์โดยไม่มี www ไปยังเวอร์ชันที่มี www (หรือกลับกัน)

หากคุณทำการทดสอบในครั้งต่อไปที่คุณสร้างเว็บไซต์ คุณจะพบว่าที่อยู่ทั้งสองนั้นไม่จำเป็นต้องลิงก์ไปยังเว็บไซต์ของคุณ

ในบางกรณี บริษัทโฮสติ้งจะจัดการเรื่องนี้โดยอัตโนมัติ หรือต้องเปิดใช้งานผ่านหน้าผู้ดูแลระบบบนเว็บไซต์โฮสติ้ง (เช่น กรณีของ Gandi เป็นต้น)

หากคุณต้องการเปลี่ยนเส้นทางด้วยตนเอง ให้ใช้รหัสต่อไปนี้โดยแทนที่ mywebsite.com ด้วยเว็บไซต์ของคุณ:

 # Redirection of site without www to www RewriteEngine On RewriteCond %{HTTP_HOST} ^mywebsite. com [NC] RewriteRule ^(.*)$ http://www.mywebsite.com/$1 [L,R=301]

เปลี่ยนเส้นทางที่อยู่ด้วย www เป็นหนึ่งโดยไม่ต้อง www

ในทางกลับกัน หากคุณไม่ต้องการให้ www อยู่หน้าชื่อเว็บไซต์ของคุณ (เช่นเดียวกับ WPMarmite) คุณสามารถเปลี่ยนเส้นทางไปยังเวอร์ชันที่ไม่มี www ได้

ใส่รหัสต่อไปนี้ลงในไฟล์ .htaccess :

คำเตือน : อย่าใช้รหัสนี้กับรหัสก่อนหน้า มิฉะนั้นเว็บไซต์ของคุณจะประสบปัญหาการเปลี่ยนเส้นทาง (เนื่องจากเวอร์ชันที่ไม่มี www จะเปลี่ยนเส้นทางไปยังเวอร์ชันที่มี www ซึ่งจะเปลี่ยนเส้นทางไปยังเวอร์ชันที่ไม่มี www เป็นต้น)

เปลี่ยนเส้นทางไปที่ HTTPS

หากคุณได้ตั้งค่าใบรับรอง SSL บนเว็บไซต์ของคุณเพื่อเปลี่ยนเป็น HTTPS คุณต้องแน่ใจว่าผู้เยี่ยมชมของคุณทั้งหมดกำลังเรียกดูเว็บไซต์ของคุณในเวอร์ชันที่ปลอดภัย

หากไม่เป็นเช่นนั้น แฮกเกอร์สามารถกู้คืนข้อมูลที่ละเอียดอ่อนได้ (เช่น ข้อมูลส่วนบุคคลหรือข้อมูลธนาคาร)

ใช้รหัสต่อไปนี้เพื่อเปลี่ยนเว็บไซต์ของคุณทั้งหมดเป็น HTTPS:

 # Redirection to HTTPS RewriteCond %{SERVER_PORT} ^80$ RewriteRule ^(. *)$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]

บังคับดาวน์โหลดไฟล์เฉพาะ

เมื่อคุณต้องการดาวน์โหลดไฟล์จากเว็บไซต์ บางครั้งเบราว์เซอร์ของคุณจะพยายามเปิดไฟล์นั้นเพื่อแสดง

โดยส่วนตัวแล้ว ฉันคิดว่าวิธีนี้สะดวกสำหรับไฟล์ PDF ในทางกลับกัน ไฟล์ประเภทอื่นๆ จะไม่เป็นที่พอใจนัก

ใส่รหัสต่อไปนี้เพื่อให้ผู้เยี่ยมชมของคุณดาวน์โหลดไฟล์ที่มีนามสกุลเหล่านี้โดยตรง (แก้ไขตามที่คุณต้องการ):

 # Force download for these file types AddType application/octet-stream .doc .docx .xls .xlsx .csv .mp3 .mp4

สร้างหน้าการบำรุงรักษาแบบกำหนดเอง

ในบทความที่แล้ว คุณค้นพบปลั๊กอินการบำรุงรักษาที่คัดสรรมาแล้ว ยังมีบางกรณีที่หน้าการบำรุงรักษาจะไม่สามารถแสดงได้

มันน่ารำคาญใช่มั้ย

ในการรับหน้าการบำรุงรักษา คุณสามารถใช้รหัสต่อไปนี้:

 # Maintenance page RewriteEngine on RewriteCond %{REQUEST_URI} ! /maintenance.html$ RewriteCond %{REMOTE_ADDR} !^xxx\.xxx\.xxx\.xxx RewriteRule $ /maintenance.html [R=302,L]

เพื่อให้ใช้งานได้ คุณต้อง:

• สร้างไฟล์ maintenance.html พร้อมเนื้อหาที่ระบุว่าเว็บไซต์อยู่ระหว่างการบำรุงรักษา
• เพิ่มที่อยู่ IP ของคุณในบรรทัดที่ 4 (ตรวจสอบให้แน่ใจว่าได้เก็บ " \ ") ไว้เพื่อให้คุณสามารถเข้าถึงเว็บไซต์ได้ (ค้นหาที่อยู่ IP ของคุณบนเว็บไซต์นี้)

เมื่อการบำรุงรักษาเสร็จสิ้น ให้ใส่ “ # ” หน้าแต่ละบรรทัดเพื่อส่งต่อเป็นความคิดเห็น

เปิดใช้งานการแคช

ไฟล์ . .htaccess ช่วยให้คุณสามารถแคชไฟล์บางไฟล์บนเว็บไซต์ของคุณในเบราว์เซอร์ของผู้เยี่ยมชม เพื่อให้โหลดเร็วขึ้น

อันที่จริง เบราว์เซอร์ไม่จำเป็นต้องดาวน์โหลดไฟล์ซ้ำในแคช

เมื่อต้องการทำเช่นนี้ ให้ใส่รหัสต่อไปนี้:

 # Caching of files in the browser <IfModule mod_expires.c> ExpiresActive On ExpiresDefault "access plus 1 month" ExpiresByType text/html "access plus 0 seconds" ExpiresByType text/xml "access plus 0 seconds" ExpiresByType application/xml "access plus 0 seconds" ExpiresByType application/json "access plus 0 seconds" ExpiresByType application/pdf "access plus 0 seconds" ExpiresByType application/rss+xml "access plus 1 hour" ExpiresByType application/atom+xml "access plus 1 hour" ExpiresByType application/x-font-ttf "access plus 1 month" ExpiresByType font/opentype "access plus 1 month" ExpiresByType application/x-font-woff "access plus 1 month" ExpiresByType application/x-font-woff2 "access plus 1 month" ExpiresByType image/svg+xml "access plus 1 month" ExpiresByType application/vnd.ms-fontobject "access plus 1 month" ExpiresByType image/jpg "access plus 1 month" ExpiresByType image/jpeg "access plus 1 month" ExpiresByType image/gif "access plus 1 month" ExpiresByType image/png "access plus 1 month" ExpiresByType video/ogg "access plus 1 month" ExpiresByType audio/ogg "access plus 1 month" ExpiresByType video/mp4 "access plus 1 month" ExpiresByType video/webm "access plus 1 month" ExpiresByType text/css "access plus 6 month" ExpiresByType application/javascript "access plus 6 month" ExpiresByType application/x-shockwave-flash "access plus 1 week" ExpiresByType image/x-icon "access plus 1 week" </IfModule> # Headers Header unset ETag FileETag None <ifModule mod_headers.c> <filesMatch "\.(ico|jpe?g|png|gif|swf)$"> Header set Cache-Control "public" </filesMatch> <filesMatch "\.(css)$"> Header set Cache-Control "public" </filesMatch> <filesMatch "\.(js)$"> Header set Cache-Control "private" </filesMatch> <filesMatch "\.(x?html?|php)$"> Header set Cache-Control "private, must-revalidate" </filesMatch> </ifModule>

การแคชไฟล์จะมีผลตามระยะเวลาที่ระบุไว้สำหรับไฟล์แต่ละประเภทหรือจนกว่าผู้เยี่ยมชมจะล้างแคช

เพื่อเพิ่มความเร็วให้กับเว็บไซต์ของคุณด้วยการแคช ผมขอแนะนำให้ใช้ปลั๊กอิน WP Rocket แบบพรีเมียม (ลิงก์พันธมิตร) เนื่องจากตั้งค่าได้ง่ายและรวดเร็ว จึงเหมาะสำหรับผู้เริ่มต้นใช้งาน WordPress ด้วยความช่วยเหลือนี้ คุณไม่จำเป็นต้องใช้ข้อมูลโค้ด (ชิ้นส่วนของโค้ด) ที่เสนอข้างต้น

เร่งความเร็วเว็บไซต์ของคุณด้วย WP Rocket

เปลี่ยนเว็บไซต์ของคุณให้กลายเป็นจรวดด้วยปลั๊กอินแคชที่ทรงพลังที่สุดที่ผู้เชี่ยวชาญ WordPress รู้จัก

ลอง WP Rocket

เปิดใช้งานการบีบอัด

นอกเหนือจากทุกสิ่งที่เราเห็นมาจนถึงตอนนี้ เป็นไปได้ที่จะบีบอัดทรัพยากรบางอย่างก่อนที่จะถ่ายโอนจากเซิร์ฟเวอร์ไปยังเบราว์เซอร์

และการบีบอัดไฟล์หมายถึงความเร็วในการโหลดหน้าเว็บที่เร็วขึ้น ดังนั้น เราขอแนะนำให้คุณใช้โค้ดนี้เพื่อเพิ่มความเร็วให้เว็บไซต์ของคุณ:

 # Compression of static files <IfModule mod_deflate. c> AddOutputFilterByType DEFLATE text/xhtml text/html text/plain text/xml text/javascript application/x- javascript text/css BrowserMatch ^Mozilla/4 gzip-only-text/html BrowserMatch ^Mozilla/4\. 0 [678] no-gzip BrowserMatch \bMSIE !no-gzip !gzip-only-text/html SetEnvIfNoCase Request_URI \. (?:gif|jpe?g|png)$ no-gzip dont-vary Header append Vary User-Agent env=! dont- vary </IfModule> AddOutputFilterByType DEFLATE text/html AddOutputFilterByType DEFLATE text/plain AddOutputFilterByType DEFLATE text/xml AddOutputFilterByType DEFLATE text/css AddOutputFilterByType DEFLATE text/javascript AddOutputFilterByType DEFLATE font/opentype AddOutputFilterByType DEFLATE application/rss+xml AddOutputFilterByType DEFLATE application/javascript AddOutputFilterByType DEFLATE application/json

ปิดการใช้งานการเข้าถึงสคริปต์บางตัว

ในการทำงาน WordPress จะใช้สคริปต์ที่อยู่ในไดเร็กทอรี wp-includes อย่างไรก็ตาม ไม่มีเหตุผลใดที่จะเข้าถึงได้โดยตรง ใช้รหัสนี้เพื่อจำกัดการเข้าถึง:

 # Block the use of certain scripts RewriteEngine On RewriteBase / RewriteRule ^wp- admin/includes/ - [F,L] RewriteRule ! ^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/. +\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L]

ป้องกันการฉีดไฟล์

แฮกเกอร์อาจพยายามส่งไฟล์ไปยังเซิร์ฟเวอร์ของคุณเพื่อควบคุมเว็บไซต์ของคุณ ในการโยนประแจเข้าไปในเส้นทาง คุณสามารถรวมรหัสนี้ในไฟล์ . .htaccess ของคุณ:

 # Protection against file injections RewriteCond %{REQUEST_METHOD} GET RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR] RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR] RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC] RewriteRule .* - [F]

การป้องกันภัยคุกคามอื่นๆ

บน Facebook ริชาร์ดบอกฉันว่าสามารถป้องกันการคลิกแจ็คและภัยคุกคามอื่นๆ โดยเพิ่มสองสามบรรทัดในไฟล์ . .htaccess

สำหรับข้อมูลของคุณ การคลิกแจ็คเป็นเทคนิคที่ช่วยให้ผู้เยี่ยมชมเชื่อว่าเขาอยู่ในเว็บไซต์ของคุณ ทั้งๆ ที่ไม่ได้อยู่ในเว็บไซต์ของคุณ โดยใช้แท็ก frame หรือ iframe

ดังนั้นโค้ดต่อไปนี้จะช่วยปกป้องคุณจากการคลิกแจ็ค ต่อสู้กับภัยคุกคามอื่นๆ เช่น MIME Sniffing และบล็อกเนื้อหาในกรณีที่มีการโจมตี XSS (ซึ่งจะแทรก HTML หรือ JavaScript ลงในตัวแปรที่มีการป้องกันไม่ดี)

 # Various protections (XSS, clickjacking and MIME-Type sniffing) <ifModule mod_headers.c> Header set X-XSS-Protection "1; mode=block" Header always append X-Frame-Options SAMEORIGIN Header set X-Content-Type-Options: "nosniff” </ifModule>

และนั่นคือทั้งหมด คุณเพิ่งผ่านการเพิ่มประสิทธิภาพจำนวนมากเพื่อรวมเข้ากับไฟล์ . .htaccess ซึ่งอยู่ที่รากของเว็บไซต์

ไปกันเถอะ: โค้ดใหม่สำหรับโฟลเดอร์ wp-admin , wp-icludes , wp-content และ wp-content/uploads

วิธีปรับแต่งไฟล์ .htaccess ใน wp-admin

wp-admin คือที่ซ่อนของเว็บไซต์ของคุณ สถานที่ที่คุณจะไปเขียนบทความ กำหนดค่าเมนู ตั้งค่าธีม และอื่นๆ อีกมากมาย

มันไปโดยไม่บอกว่าไม่มีใครไม่ได้รับอนุญาตควรเข้ามาในสวรรค์แห่งนี้ มิฉะนั้นจงระวังผลที่ตามมา

นี่คือสิ่งที่คุณสามารถทำได้เพื่อเพิ่มความปลอดภัยด้วยไฟล์ . .htaccess ที่คุณวางไว้ในโฟลเดอร์ wp-admin ของเว็บไซต์ของคุณ

จำกัดการเข้าถึงการดูแลเว็บไซต์

เฉพาะผู้ที่มี IP ในรายการเท่านั้นที่จะสามารถเข้าถึงโฟลเดอร์ wp-admin มีประโยชน์มากในการป้องกันคนแปลกหน้าจากการลงชื่อเข้าใช้เว็บไซต์ของคุณ (แม้ว่าพวกเขาจะมีรหัสผ่านที่ถูกต้องก็ตาม)

 <Limit GET POST PUT> order deny,allow deny from all # Alex's IP allow from xxx.xxx.xxx.xxx # Nico's IP allow from xxx.xxx.xxx.xxx # IP of another access point allow from xxx.xxx.xxx.xxx </Limit>

เพิ่มการตรวจสอบสิทธิ์ครั้งที่สอง

เมื่อคุณเข้าสู่ระบบผู้ดูแลระบบของเว็บไซต์ WordPress คุณจะใช้ข้อมูลเข้าสู่ระบบและรหัสผ่าน คุณสามารถเพิ่มไฟล์ที่สองผ่านไฟล์ . .htaccess และไฟล์อื่นได้

ขั้นแรก ให้สร้างไฟล์ชื่อ .htpasswd ในไดเร็กทอรี wp-admin แล้วใส่ชื่อผู้ใช้และรหัสผ่านเข้าไป ใช้เว็บไซต์นี้เพื่อแนะนำคุณ:

ป้อนชื่อผู้ใช้ที่คุณต้องการใช้ในฟิลด์แรก และรหัสผ่านของคุณในช่องที่สอง จากนั้นคลิก “สร้างไฟล์ .htpasswd ”

จากนั้นคัดลอกบรรทัดที่จะปรากฏในไฟล์ .htpasswd หากคุณต้องการสร้างผู้ใช้หลายราย ให้ทำซ้ำขั้นตอนและเพิ่มคู่ชื่อผู้ใช้/รหัสผ่านใหม่ภายในบรรทัดใหม่

ตัวอย่างเช่น คุณสามารถรับไฟล์ประเภทนี้:

 alex:ieS547B1UxY8M jack:rSqEJf0SeTlRs

ถัดไป ใส่รหัสต่อไปนี้ลงในไฟล์ . .htaccess :

 # Second authentication for administration <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files> AuthName "Login to the administration" AuthType Basic AuthUserFile "/full/path/to/the/file/.htpasswd" Require valid-user

ส่วนที่ยุ่งยากของการดำเนินการนี้คือการรับพาธแบบเต็มไปยังไฟล์ .htpasswd หากต้องการค้นหาให้แน่ใจ ให้สร้างไฟล์ info.php และใส่รหัสต่อไปนี้:

 <?php echo "Path to copy: " . realpath('.htaccess'); ?>

ไปที่ yourwebsite.com/wp-admin/info.php และคุณจะได้รับเส้นทางจริงของไฟล์ .htpasswd ที่จะใส่ลงในไฟล์ . .htaccess ลบไฟล์ info.php เมื่อคุณได้รับเส้นทางที่ถูกต้อง

หากคุณใส่รหัสนี้ตามที่เป็นอยู่ คำขอ AJAX จะไม่ทำงานอีกต่อไป ใช้ข้อมูลโค้ดด้านล่างเพื่อแก้ไขปัญหา :

 AuthType Basic AuthName "Protected page" AuthUserFile /home/.htpasswd Require valid-user <Files admin-ajax.php> Order allow,deny Allow from all Satisfy any </Files> <Files admin-post.php> Order allow,deny Allow from all Satisfy any </Files> <Files "\.(css|gif|png|js)$"> Order allow,deny Allow from all Satisfy any </Files>

หากคุณเข้าใจทุกสิ่งที่ฉันเพิ่งพูดถึง คุณควรมีการตรวจสอบสิทธิ์แบบคู่เพื่อเข้าถึงการดูแลระบบ WordPress

ไปที่ส่วนถัดไป

วิธีปรับแต่งไฟล์ .htaccess ใน wp-includes

บล็อกการเข้าถึงไฟล์ PHP โดยตรง

สร้างไฟล์ . .htaccess ใน wp-includes แล้ววางโค้ดต่อไปนี้ลงไปเพื่อป้องกันไม่ให้โหลดไฟล์ PHP โดยตรง

 # Blocks direct access to PHP files (Thanks to Sucuri) <Files wp-tinymce.php> allow from all </Files> <FilesMatch "\.(?i:php)$"> <IfModule !mod_authz_core.c> Order allow,deny Deny from all </IfModule> <IfModule mod_authz_core.c> Require all denied </IfModule> </FilesMatch> <Files wp-tinymce.php> Allow from all </Files> <Files ms-files.php> Allow from all </Files>

รหัสข้างต้นจัดทำโดยปลั๊กอิน Sucuri

จะปรับแต่งไฟล์ .htaccess ใน wp-content ได้อย่างไร?

บล็อกการเข้าถึงไฟล์ PHP โดยตรง

สำหรับโฟลเดอร์ wp-content โค้ดจะคล้ายคลึงกัน เพียงแต่เอาข้อยกเว้นออกไป:

 # Blocks direct access to PHP files (Thanks to Sucuri) <FilesMatch "\.(?i:php)$"> <IfModule !mod_authz_core.c> Order allow,deny Deny from all </IfModule> <IfModule mod_authz_core.c> Require all denied </IfModule> </FilesMatch>

วิธีปรับแต่งไฟล์ .htaccess ใน wp-content/uploads

บล็อกการเข้าถึงไฟล์ PHP โดยตรง

ด้วยรหัสเดียวกันนี้ ให้ปกป้องโฟลเดอร์ที่จัดเก็บสื่อเพื่อป้องกันไม่ให้ไฟล์ PHP ถูกเรียกใช้โดยบุคคลอื่นจากภายนอก (เช่น แฮ็กเกอร์ที่น่ารังเกียจ)

 # Blocks direct access to PHP files (Thanks to Sucuri) <FilesMatch "\. (?i:php)$"> <IfModule ! mod_authz_core.c> Order allow,deny Deny from all </IfModule> <IfModule mod_authz_core. c> Require all denied </IfModule> </FilesMatch>

สรุปสุดท้ายเกี่ยวกับไฟล์ .htacess ใน WordPress

ตามที่คุณได้ค้นพบในคู่มือนี้ ไฟล์ . .htaccess เป็นเครื่องมือที่ทรงพลังมากสำหรับการกำหนดค่าเซิร์ฟเวอร์ของเว็บไซต์ของคุณ

เมื่อจัดการด้วยความระมัดระวังและระมัดระวัง จะสามารถปรับปรุงความปลอดภัย ประสิทธิภาพ SEO หรือแม้แต่ประสบการณ์ผู้ใช้ของเว็บไซต์ของคุณ

อีกครั้ง ฉันแนะนำให้คุณ สำรองข้อมูลไฟล์ . .htaccess เดิมไว้ เสมอเพื่อทำการรีเซ็ตในกรณีที่มีปัญหาใดๆ

ดำเนินการเปลี่ยนแปลงของคุณอย่างระมัดระวัง (ฉันจะเตือนคุณแล้ว!) ข้อผิดพลาดหรือความไม่ลงรอยกันอาจเกิดขึ้นได้ขึ้นอยู่กับโฮสต์ของเว็บไซต์ของคุณ

แม้ว่าบทความนี้จะกล่าวถึงไปบ้างแล้ว แต่ก็เป็นไปได้ที่จะดำเนินการต่อไปในการตั้งค่า . .htaccess ของคุณ โดยใช้แหล่งข้อมูลต่างๆ:

• เอกสารประกอบของ WordPress และเอกสารประกอบ Apache (ซอฟต์แวร์ที่ใช้เซิร์ฟเวอร์ของคุณ)
• บล็อก Perishable Press ซึ่งมีหนังสือที่ต้องชำระเงินในหัวข้อนี้ด้วย

ก่อนที่ฉันจะบอกลา ฉันต้องการรับความคิดเห็นของคุณในความคิดเห็น คุณปรับแต่งไฟล์ .htaccess ของคุณหรือไม่

และที่สำคัญที่สุด คุณสามารถแบ่งปันข้อมูลโค้ดที่คุณเคยชินกับผู้อ่านคนอื่นๆ ได้ตามสบาย