Htaccess блокирует доступ к файлам

Обновлено: 21.11.2024

Все важные правила и параметры конфигурации веб-сервера Apache .htaccess

Добро пожаловать в нашу быстро загружаемую одностраничную памятку по .htaccess, в которой перечислены все основные правила .htaccess.

У нас нет рекламы и JavaScript. Просто обычный HTML (и файл .css), поэтому он должен загружаться очень быстро. Идти сюда, и быстрый cmd+f/ctrl+f должен быть быстрее, чем поиск ответа на stackexchange :)

Помните, что для большинства правил у вас должно быть правило RewriteEngine on в вашем файле .htaccess.

Как найти файл .htaccess на разных хостинговых платформах

.htaccess — это файл Apache, который появляется только на сервере Apache. Для тех, кто использует хостинг A2, SiteGround и InMotion Hosting — эти хосты работают на Apache, файл .htaccess должен находиться в корневой папке вашего домена. Прекратите поиск, если ваш хост работает на другом программном обеспечении веб-сервера, например, на Microsoft IIS и NGINX. Пожалуйста, обратитесь к этому списку веб-хостинга, чтобы проверить тип сервера и панели управления, предлагаемые каждой компанией.

Кроме того, не забывайте дважды проверять и подтверждать все используемые вами правила. Мы не несем ответственности за использование вами этих правил — используйте их на свой страх и риск. Если вы хотите, чтобы мы добавили правило, свяжитесь с нами!

Правила перезаписи и перенаправления

(Примечание: предполагается, что у вас установлен и включен `mod_rewrite`. Первая строка должна быть 'RewriteEngine on', чтобы включить это)

Обслуживать все запросы одним файлом PHP с постоянной ссылкой .htaccess
WordPress .htaccess для постоянных ссылок с постоянной ссылкой .htaccess

(Это единственное правило в этом разделе, которое включает правило RewriteEngine on)

Принудительно использовать www с постоянной ссылкой .htaccess
Принудительное использование www универсальным способом с постоянной ссылкой .htaccess

Это работает для любого домена. Источник

Принудительно использовать без www с постоянной ссылкой .htaccess

До сих пор ведутся споры о том, является ли www или не www преобладающей гонкой, поэтому, если вы являетесь поклонником пустых доменов, вам сюда:

Принудительное использование без www с помощью постоянной ссылки .htaccess

Однако рекомендуется использовать HSTS (прочитайте об этом в Википедии).

"HTTP Strict Transport Security (HSTS) – это механизм политики веб-безопасности, который необходим для защиты защищенных HTTPS-сайтов от атак с понижением версии и значительно упрощает защиту от перехвата файлов cookie. Он позволяет веб-серверам объявлять, что веб-браузеры (или другие соответствующие пользовательские агенты) должны взаимодействовать с ним только с использованием безопасных HTTPS-соединений и никогда через небезопасный HTTP-протокол. HSTS — это протокол следования стандартов IETF, указанный в RFC 6797."

Полезно, если у вас есть прокси перед вашим сервером, выполняющим терминацию TLS.

Принудительная косая черта в конце с постоянной ссылкой .htaccess
Удалить косую черту в конце с помощью постоянной ссылки .htaccess

Используйте это, чтобы удалить любую косую черту в конце (будет перенаправлено 301 на URL без косой черты в конце)

Перенаправить одну страницу с помощью постоянной ссылки .htaccess

Перенаправить один URL на новое место

Псевдоним отдельного каталога с постоянной ссылкой .htaccess
Псевдонимы путей к сценарию с постоянной ссылкой .htaccess

В этом примере есть файл index.fcgi в некотором каталоге, и любые запросы в этом каталоге, которые не могут разрешить имя файла/каталога, будут отправлены сценарию index.fcgi. Хорошо, если вы хотите, чтобы baz.foo/some/cool/path обрабатывался baz.foo/index.fcgi (который также поддерживает запросы к baz.foo ), сохраняя при этом baz.foo/css/style.css и тому подобное.

Перенаправить весь сайт с постоянной ссылкой .htaccess

Используйте следующее правило .htaccess, чтобы перенаправить весь сайт на новое место/домен

Этот способ делает это с целыми ссылками. То есть www.oldsite.com/some/crazy/link.html станет www.newsite.com/some/crazy/link.html. Это очень удобно, когда вы просто «переносите» сайт в новый домен.

Псевдоним "чистых" URL с постоянной ссылкой .htaccess

Правила безопасности

Запретить весь доступ с постоянной ссылкой .htaccess

Если вы хотите вообще запретить apache обслуживать какие-либо файлы, используйте следующее.

Апач 2.2:
Апач 2.2:

Это заблокирует доступ к вашему веб-сайту. Если вы хотите запретить всем доступ, но при этом иметь возможность просматривать его самостоятельно, ознакомьтесь со следующим правилом:

Запретить весь доступ, кроме вашего (разрешить только определенные IP-адреса) с помощью постоянной ссылки .htaccess

Используйте это, чтобы разрешить ТОЛЬКО определенным IP-адресам доступ к вашему веб-сайту.

Апач 2.2
Апач 2.4

xxx.xxx.xxx.xxx — ваш IP-адрес. Если вы замените последние три цифры, например, на 0/12, это укажет диапазон IP-адресов в одной сети, что избавит вас от необходимости перечислять все разрешенные IP-адреса отдельно. Источник

Пожалуйста, смотрите следующее правило, противоположное этому правилу!

Заблокировать IP-адрес с помощью постоянной ссылки .htaccess

Это позволит получить доступ ко всем IP-адресам, КРОМЕ перечисленных. Вы можете использовать это, чтобы разрешить доступ всем, кроме IP-адресов спамеров.

Замените xxx.xxx.xxx.xxx и xxx.xxx.xxx.xxy IP-адресами, которые вы хотите заблокировать.

Апач 2.2
Апач 2.4
Разрешить доступ только из локальной сети с постоянной ссылкой .htaccess
Запретить доступ к определенным пользовательским агентам (ботам) с помощью постоянной ссылки .htaccess

Используйте это правило .htaccess, чтобы заблокировать/запретить определенные пользовательские агенты

Запретить доступ к скрытым файлам и каталогам с помощью постоянной ссылки .htaccess

Скрытые файлы и каталоги (те, имена которых начинаются с точки . ) должны быть защищены большую часть времени, если не все время. Например: .htaccess , .htpasswd , .git , .hg .

В качестве альтернативы вы можете просто вызвать ошибку Not Found, не давая злоумышленнику никакой информации:

Запретить доступ к определенным файлам с помощью постоянной ссылки .htaccess

Используйте это, чтобы заблокировать или запретить доступ к определенным файлам

Запретить доступ к резервным копиям и исходным файлам с помощью постоянной ссылки .htaccess

Эти файлы могут быть оставлены некоторыми текстовыми/html-редакторами (такими как Vi/Vim) и представлять серьезную угрозу безопасности, когда любой может получить к ним доступ.

Отключить просмотр каталогов с помощью постоянной ссылки .htaccess
Включить списки каталогов с постоянной ссылкой .htaccess
Отключить список определенных типов файлов (если индексы не отключены) с помощью постоянной ссылки .htaccess

Используйте это, чтобы исключить определенные типы файлов из списка каталогов Apache. Вы можете использовать это, чтобы остановить отображение файлов .pdf или видеофайлов.

Отключить горячее связывание изображений с помощью постоянной ссылки .htaccess
Перенаправить хотлинкеров и показать другое изображение с постоянной ссылкой .htaccess
Запретить доступ с определенных источников с помощью постоянной ссылки .htaccess

Используйте это правило, чтобы заблокировать доступ к запросам, включающим реферер из определенного домена.

Защитите каталог паролем с постоянной ссылкой .htaccess

Сначала вам нужно создать файл .htpasswd где-нибудь в системе. Выполните следующую команду в командной строке:

Затем вы можете использовать его для аутентификации. В вашем файле .htaccess вам понадобится что-то вроде следующего кода, но убедитесь, что AuthUserFile — это путь к файлу .htpasswd, который вы только что создали. Вы должны хранить .htpasswd в каталоге, недоступном через Интернет. Поэтому не помещайте его в каталог /public_html/ или /www/.

Защитите файл или несколько файлов паролем с помощью постоянной ссылки .htaccess

Правила производительности

Сжатие текстовых файлов (вывод gzip/deflate) с помощью постоянной ссылки .htaccess
Установить заголовки Expires с постоянной ссылкой .htaccess

Заголовки Expires сообщают браузеру, следует ли ему запрашивать определенный файл с сервера или просто взять его из кеша. Рекомендуется установить заголовки с истечением срока действия статического содержимого на что-то далекое в будущем.

Если вы не контролируете управление версиями с помощью очистки кеша на основе имени файла, рассмотрите возможность уменьшения времени кеша для таких ресурсов, как CSS и JS, примерно до 1 недели. Источник

Отключить eTags с помощью постоянной ссылки .htaccess

Удаляя заголовок ETag, вы лишаете кеш и браузеры возможности проверять файлы, поэтому они вынуждены полагаться на ваши заголовки Cache-Control и Expires. Источник

Ограничить размер загружаемого файла с помощью постоянной ссылки .htaccess

Укажите размер файла в байтах. См. здесь инструмент преобразования. Приведенный ниже код ограничивает его до 1 МБ.

Разные правила

Переменные сервера для mod_rewrite с постоянной ссылкой .htaccess
Установка переменных PHP с постоянной ссылкой .htaccess
Например:
Пользовательские страницы ошибок с постоянной ссылкой .htaccess
Перенаправлять пользователей на страницу обслуживания при обновлении с помощью постоянной ссылки .htaccess

Это перенаправит пользователей на страницу обслуживания, но разрешит доступ к вашему IP-адресу. Измените 555.555.555.555 на свой IP-адрес, а YourMaintenancePageFilenameOrFullUrlUrl.html на свою страницу с ошибкой (или полный URL-адрес в другом домене).

Принудительная загрузка с постоянной ссылкой .htaccess

Иногда требуется, чтобы браузер загружал какой-либо контент, а не отображал его. Следующий фрагмент поможет.

Отключить отображение информации о сервере (подпись сервера) с помощью постоянной ссылки .htaccess

Хотя многие люди считают это бессмысленным (особенно с точки зрения безопасности), если вы хотите, чтобы ваш сервер не выдавал информацию о сервере (серверная ОС и т. д.), используйте это:

Запретить загрузку с помощью постоянной ссылки .htaccess

Иногда требуется, чтобы браузер отображал какой-либо контент, а не загружал его. Следующий фрагмент поможет.

Разрешить междоменные шрифты с постоянной ссылкой .htaccess

Веб-шрифты, обслуживаемые CDN, могут не работать в Firefox или IE из-за CORS.Следующий фрагмент из alrra должен сделать это.

Автоматическое кодирование UTF-8 с постоянной ссылкой .htaccess

Чтобы Apache автоматически кодировал ваш контент в UTF-8, используйте следующий код. При необходимости вы также можете поменять utf-8 на другой набор символов:

Установите часовой пояс сервера (UTC или другой часовой пояс) с помощью постоянной ссылки .htaccess

Список часовых поясов см. здесь. Чтобы установить часовой пояс Лос-Анджелеса:

Переключиться на другую версию PHP с помощью постоянной ссылки .htaccess

Если вы используете общий хост, скорее всего, установлено более одной версии PHP, и иногда вам нужна определенная версия для вашего веб-сайта. Например, для Laravel требуется PHP >= 5.4. Следующий фрагмент должен переключить версию PHP для вас.

В качестве альтернативы вы можете использовать AddType

Отключить представление совместимости Internet Explorer

Просмотр в режиме совместимости в IE может повлиять на отображение некоторых веб-сайтов. Следующий фрагмент должен заставить IE использовать Edge Rendering Engine и отключить режим совместимости.

Выполнить PHP с другим расширением файла с постоянной ссылкой .htaccess

Следующий код запустит файлы, заканчивающиеся на .ext, с php:

Автоматически обслуживать изображения WebP, если они существуют

Если изображения WebP поддерживаются и изображение с расширением .webp и тем же именем находится в том же месте, что и изображение jpg/png, которое будет отображаться, вместо этого будет отображаться изображение WebP.

Основы .htaccess

Файл .htaccess — это файл конфигурации системы, который используется на многих веб-серверах, в том числе на популярном серверном программном обеспечении Apache, используемом большинством поставщиков коммерческих услуг хостинга. Файл .htaccess обладает мощными возможностями и управляет многими аспектами работы веб-сервера.

Традиционно Apache занимал львиную долю рынка программного обеспечения для веб-серверов, но за последние десять лет он неуклонно уступал место другим брендам, в первую очередь Microsoft. Сегодня Apache используется примерно на 40 % всех веб-серверов, на которых размещено около 350 млн веб-сайтов.

Дополнительные ресурсы: другие памятки по .htaccess из Интернета

Кредиты

Контент, опубликованный на этом сайте, в значительной степени основан (на его первой версии) из phanan/htaccess.

Фрагменты с указанным источником принадлежат их соответствующим владельцам и имеют собственные лицензии, когда это необходимо.

Другой контент является общественным достоянием. Дополнительную информацию см. в разделе «Без лицензии».

Этот веб-сайт размещен на хостинге SiteGround.

Поддержите нас

Этот веб-сайт на 100 % бесплатный и является одной из самых быстро загружаемых веб-страниц Apache .htaccess в Интернете. Все это находится на одной странице и оптимизировано для быстрой загрузки и облегчения поиска необходимых правил .htaccess. Свяжитесь с нами, если у вас возникнут вопросы.

.htaccess — это файл конфигурации, используемый веб-сервером (Apache). Полная форма htaccess — доступ к гипертексту. Файлы Htaccess используются для переопределения глобальной конфигурации сервера для уровня каталога, в котором вы размещаете этот файл.

Почему мы используем файл .htaccess?

Как запретить доступ к файлам и папкам через htaccess

Чтобы предотвратить прямой доступ ко всем файлам и папкам вашего проекта.

<р>1. Создайте файл .htaccess в корне структуры каталогов вашего проекта. Затем откройте файл .htaccess и пропишите эту директиву запрещать всем.

<р>2. Теперь все готово. Если вы хотите проверить, работает ли эта директива или нет. Попробуйте получить доступ к любому файлу или папке вашего проекта. Вы получите следующее сообщение.

Запрещено
У вас нет прав доступа к /example/ на этом сервере.
Сервер Apache/2.4.7 (Ubuntu) на локальном хосте, порт 80

Как запретить доступ к определенным типам файлов через .htaccess

Теперь мы обсудили, как предотвратить прямой доступ к файлам и папкам через .htaccess. Но иногда нам нужно запретить прямой доступ к определенным типам файлов. Давайте разберемся, как запретить доступ к определенным типам файлов.

Как запретить доступ ко всем файлам с расширением .php через htaccess


Заказать разрешить, запретить
Запретить от всех

Как запретить все файлы с расширением .inc


Заказать разрешить, запретить
Запретить от всех

Как запретить доступ к одному файлу через .htaccess

Допустим, я хочу запретить доступ к определенному файлу. Давайте возьмем пример файла конфигурации, в котором есть вся конфигурация системы. config.php является одним из примеров, вы можете включить любой файл PHP. Чтобы запретить доступ к синглу, вам нужно указать имя файла в .htaccess.

Запретить доступ к файлу config.php через htaccess


приказать разрешить, запретить
запретить всем

Как запретить доступ к файлу .htaccess.


Заказать разрешить, запретить
Запретить от всех

Как предотвратить любой прямой просмотр каталогов через htaccess

Запретить доступ к папке приложения.


Заказать разрешить, запретить
Запретить от всех

Поместите этот код в свой файл .htaccess, чтобы предотвратить прямой просмотр каталогов через браузер.

Самый мощный, расширяемый, гибкий и простой плагин для файлового менеджера Wordpress из когда-либо созданных!

.htaccess – это полезный файл, который может разрешить или запретить доступ к вашему веб-сайту, папке или файлам в каталоге, в котором он находится, с помощью ключевых слов order, allow и deny.

Как разрешить доступ к одному IP-адресу с помощью .htaccess

В следующем примере мы предполагаем, что вы хотите разрешить доступ только к IP-адресу 1.2.3.4. Код, который вам нужно будет добавить в файл .htaccess:

Ключевое слово Order здесь указывает порядок, в котором будут обрабатываться разрешения и запреты доступа. Для приведенного выше оператора Order сначала будут обрабатываться операторы Allow, а затем операторы отказа.

Как запретить доступ к одному IP-адресу с помощью .htaccess

Предположим, вы хотите запретить или заблокировать доступ к своему веб-сайту с IP-адреса 1.2.3.4.

Строки ниже предоставляют средства, позволяющие разрешить доступ к вашему веб-сайту всем пользователям, кроме одного с IP-адресом: 1.2.3.4

Если вы хотите запретить доступ к нескольким IP-адресам, просто добавьте столько правил «Запретить с», сколько необходимо.

Как запретить доступ к скрытым файлам и каталогам

Скрытые файлы и каталоги (те, имена которых начинаются с точки . ) должны быть защищены большую часть времени, если не все время. Например: .htaccess, .htpasswd, .git, .hg…

В качестве альтернативы вы можете просто вызвать ошибку «Не найдено», не давая злоумышленнику никакой информации:

Запретить доступ к резервным копиям и исходным файлам

Эти файлы могут быть оставлены некоторыми текстовыми/HTML-редакторами (такими как Vi/Vim) и представлять серьезную угрозу безопасности при публичном доступе.

Как отключить просмотр каталогов

Вот и все. Теперь вы знаете, как разрешить или запретить доступ к вашему сайту с помощью .htaccess.

Если вам понравилось это руководство, вам понравится наша поддержка! Все планы хостинга ChemiCloud включают круглосуточную поддержку нашей замечательной службы поддержки. Ознакомьтесь с нашими планами веб-хостинга и перенесите свой веб-сайт уже сегодня!

Была ли эта статья полезной?

Статьи по теме

  • Как установить трясогузку на общий хостинг без рута
  • Как делегировать доступ к вашей учетной записи GoDaddy
  • Как изменить DocumentRoot cPanel
  • Как исправить проблемы с загрузкой изображений в WordPress
  • Как исправить ошибку 404 WordPress
  • Как исправить синтаксическую ошибку в WordPress

Если вам понравилась эта статья, наша служба поддержки понравится вам еще больше! Получите скидку до 65% и БЕСПЛАТНЫЙ домен в течение ограниченного времени. 👇

htaccess — это способ ограничить доступ к (частям) веб-сайта определенным пользователям и их паролям. В приведенном ниже примере вы разрешаете пользователю bgreene доступ к веб-странице в вашем каталоге public_html.

Как создать необходимые файлы?

Теперь создайте файл .htaccess в каталоге, который вы хотите защитить (или в каталоге, содержащем файлы, которые вы хотите защитить). В этом примере вы защищаете файл в каталоге «solutions» в вашем каталоге public_html. Таким образом, имя пути: /user/eng/accountID/public_html/solutions/

Войдите в свою учетную запись, используя рабочую станцию ​​Linux, сидя на рабочей станции Linux или используя FastX с компьютера Windows.

Создайте файл паролей с помощью инструмента htpasswd. В этом примере для доступа к файлу включена только учетная запись bgreene. Инструмент htpasswd шифрует пароль. Он запрашивает пароль и записывает имя пользователя (bgreene) и зашифрованный пароль в указанный вами файл. Пароль, который вы создаете, должен быть безопасным; вот наша информация о том, что делает хороший пароль. Если доступ к веб-странице будут иметь только пользователи Инженерного колледжа, вы можете использовать аутентификацию Kerberos, как описано ниже.

htpasswd –c ~/.htpasswd bgreene

Используйте аргумент "-c" ТОЛЬКО при первом запуске. Вы можете добавить в этот файл дополнительные имена пользователей и пароли с помощью команды htpasswd без «-c».

Примечание: НЕ помещайте этот файл в каталог, в который вы поместили файл .htaccess. Мы рекомендуем вам поместить этот файл в свой домашний каталог.

Предоставьте всему миру доступ для чтения.

chmod 644 ~/.htpasswd

После входа в систему перейдите в каталог решений: cd ~/public_html/solutions

Создайте файл, подобный приведенному ниже, заменив свой идентификатор учетной записи на "accountID" и учетную запись, чтобы иметь доступ для bgreene в примере.

AuthType Basic
AuthName "Добро пожаловать. Пожалуйста, войдите в систему."
AuthUserFile /user/eng/accountID/.htpasswd
требовать пользователя bgreene

Сделать файл доступным для чтения веб-сервером

chmod 644 ~/public_html/solutions/.htaccess

Кербер

Если у людей, получающих доступ к защищенной веб-зоне, есть инженерная учетная запись, вы можете использовать аутентификацию Kerberos. Вам нужно создать файл .htaccess, но не файл .htpasswd. Пример файла .htaccess показан ниже. Это предоставляет доступ всем владельцам инженерных учетных записей. Если вы хотите ограничить доступ к указанным учетным записям, используйте описанную выше комбинацию .htaccess/.htpasswd.

Для безопасности

Как отмечалось выше, для обеспечения безопасности

Если вам нужна помощь в создании или изменении файлов .htaccess, обратитесь к консультанту службы технической поддержки, 1253 SC, 319-335-5055.

Файл .htaccess — это файл конфигурации сервера, поддерживаемый многими веб-серверами, в том числе наиболее популярным программным обеспечением веб-сервера Apache. Этот, казалось бы, непритязательный файл наполнен всевозможными функциями и функциями, которые при правильном использовании могут очень эффективно определять способ обработки запросов вашим веб-сервером. Узнайте, как ограничить доступ к файлам и каталогам WordPress с помощью файла .htaccess.

Помимо определения того, как веб-сервер обрабатывает запросы, также очень полезно защитить ваши файлы WordPress от несанкционированного доступа хакеров. В этой статье мы рассмотрим множество способов защитить файлы и каталоги WordPress с помощью .htaccess.

1. Как защитить файлы и каталоги WordPress с помощью .htaccess?

Прежде чем мы приступим к защите других файлов, давайте начнем с защиты .htaccess. Однако, как мы всегда говорим, прежде чем вносить какие-либо изменения (независимо от того, насколько они велики или малы), всегда делайте резервную копию вашего сайта и в этом случае сохраните пару копий вашего файла .htaccess на вашем локальная система. Это необходимо для предотвращения любого ущерба, который может возникнуть в результате случайного обращения с файлом.

я. Защита файла .htaccess

Файл .htaccess можно легко найти в корневой веб-папке public_html. Доступ к этому файлу можно получить двумя способами: с помощью FTP, например FileZilla, или с помощью Файловый менеджер вашей учетной записи хостинга WordPress. В этой статье мы используем файловый менеджер для доступа к файлу и покажем вам, как вы можете защитить его.

Шаг 1. Войдите в свою учетную запись веб-хостинга, используя свое имя пользователя и пароль. Если вы не уверены в своих учетных данных для веб-хостинга, обратитесь к нашему руководству.

Войдите в свою учетную запись Bluehost

Шаг 2. Нажмите Диспетчер файлов.

Выберите «Диспетчер файлов»

Шаг 3. Затем щелкните папку public_html.

Выберите «public_html»

Шаг 4: Внутри вы увидите файл .htaccess. Щелкните его правой кнопкой мыши. И выберите вариант редактировать.

После того, как вы получите доступ к файлу, поместите в него следующий фрагмент кода.

Это ограничит доступ пользователей к вашему файлу .htaccess. Просто, не правда ли?

Теперь, когда мы защитили файл .htaccess, пришло время перейти к остальным. Итак, давайте начнем с защиты папки wp-admin.

ii. Ограничить доступ к папке wp-admin с помощью .htaccess

Папка wp-admin содержит файлы, которые вместе обеспечивают работу инструментов администрирования. Файл admin.php в этой папке выполняет следующие функции:

  • Разрешает подключение к базе данных
  • Отображает панель управления WordPress
  • Управление страницей входа на сайт

Как видите, каталог wp-admin очень важен, и необходимо позаботиться о его защите от несанкционированного доступа. Это потому, что доступ к панели администратора позволит хакеру создать хаос на вашем сайте. Для этого ограничьте доступ пользователей к папке администратора WordPress с помощью файла .htaccess. Разрешите доступ к определенным IP-адресам по вашему выбору. Для этого вам потребуется создать отдельный файл .htaccess с определенным кодом (тот, что в синем поле ниже) и загрузить его в папку wp-admin.

Чтобы создать новый файл .htaccess, просто откройте новый файл в текстовом редакторе по умолчанию и назовите его .htaccess. Не .htaccess.txt или .htaccess.doc или любые другие дополнительные расширения файлов. Просто .htaccess. После этого вставьте в него следующий код.

разрешить с 12.34.56.78

Чтобы загрузить только что созданный файл .htaccess в папку wp-admin, войдите в свою учетную запись веб-хостинга и откройте файловый менеджер, как показано ниже.

Выберите «Диспетчер файлов»

Нажав на Диспетчер файлов, вы увидите все файлы и папки на вашем сайте, как показано ниже. Затем щелкните папку public_html.

Выберите «public_html»

Нажмите на папку wp-admin.

Выберите «wp-admin»

Затем нажмите кнопку загрузки, как показано выше.

Выберите «Загрузить»

Выберите файл .htaccess, который вы только что создали в своей локальной системе, и загрузите его в открывшемся окне.

Загрузить файл

После того как вы загрузили новый файл .htaccess, все готово! Эти новые меры безопасности будут ограничивать доступ пользователей к вашей панели администратора, кроме тех, которым вы явно дали разрешение.

Обратите внимание, что это ограничит доступ только к wp-admin и не ограничит доступ к сайту WordPress полностью. Зарегистрированные пользователи по-прежнему могут получить доступ к wp-admin, но это также может быть ограничено ролями пользователей. Можно ограничить разрешения для пользователей, чтобы не каждый зарегистрированный пользователь мог получить доступ к папке.

iii. Блокировать несанкционированный доступ к wp-config.php

Файл wp-config обрабатывает базовые конфигурации WordPress и содержит конфиденциальную информацию о вашей установке WordPress, такую ​​как настройки MySQL, секретные ключи, сведения о подключении к базе данных WordPress и т. д. принято для защиты от посторонних глаз.

Файл .htaccess может пригодиться для защиты этого очень важного файла, к которому обращается веб-пользователь. Для этого все, что вам нужно сделать, это скопировать приведенный ниже код в ваш файл .htaccess.

Как описано в разделе «Защита файла .htaccess», откройте файл .htaccess из Диспетчера файлов и добавьте в него следующий код.

После добавления приведенного выше кода вы заблокируете несанкционированный доступ к wp-config.php.

iv. Как заблокировать доступ к wp-контенту/загрузкам и отключить выполнение pHp?

Часто хакеры оставляют лазейку для доступа к файлам на вашем сайте, так что, даже если взлом будет обнаружен и устранен, они смогут легко получить доступ к сайту в будущем. Эти файлы бэкдора часто маскируются под файлы WordPress в каталогах wp-includes или wp-content/uploads/. И это часто файлы .php. Чтобы лучше защитить ваши файлы и папки WordPress, вам необходимо отключить выполнение таких файлов. Это может помочь с ограничением доступа WordPress, и это можно сделать, отключив выполнение PHP в этих каталогах.

Отключить выполнение PHP с помощью .htaccess — очень простой процесс, если вы будете следовать нашим простым инструкциям на T.

Сначала создайте новый файл .htaccess в текстовом редакторе и добавьте в него следующий код.

В качестве следующего шага войдите в свою учетную запись веб-хостинга и откройте Диспетчер файлов. Здесь вы получаете доступ к содержимому и папке загрузки. Найдите папку wp-content/upload/.

Выберите «загрузки» из «wp-content»

Нажмите кнопку Загрузить и загрузите только что созданный файл .htaccess.

Выберите «Загрузить»

При нажатии кнопки Загрузить откроется новое окно, в котором вы сможете выбрать файл .htaccess из вашей локальной системы.

Загрузить файл

После того как вы загрузили файл .htaccess в папку wp-content/upload/, вы должны добавить его в папку wp-includes.

По аналогии с добавлением в папку wp-content/upload/ откройте файловый менеджер, чтобы получить доступ к папке wp-includes из домашнего каталога вашего сайта.< /p>

Выберите «wp-includes»

Нажмите на папку wp-includes, а затем нажмите кнопку загрузки.

Выберите «Загрузить»

Нажав кнопку загрузки, вы сможете выбрать файл из вашей локальной системы.Выберите только что созданный файл .htaccess и загрузите его.

Загрузить файл

После того как вы добавили .htaccess в обе эти очень важные папки, вы успешно отключили любое выполнение PHP в этих папках.

в. Отключить просмотр каталогов в WordPress с помощью htaccess

Это может иметь катастрофические последствия для вашего сайта, поскольку хакер может получить огромное количество информации. Кто может затем приступить к планированию атаки на ваш сайт, вооруженный знаниями о файловой иерархии вашего сайта? Отключив просмотр каталогов в WordPress с помощью htaccess, вы ограничите уровень доступа к своему сайту.

Чтобы отключить просмотр каталога для определенного каталога, создайте файл .htaccess в текстовом редакторе и сохраните его как .htaccess (без каких-либо дополнительных расширений файлов). Затем добавьте в него следующий код и ограничьте доступ к своим файлам WordPress.

Параметры Все -Индексы

После добавления кода загрузите этот вновь созданный файл .htaccess в каталог, для которого вы хотите отключить эту функцию. Например, если вы хотите отключить просмотр каталога для папки wp-includes, загрузите этот файл .htaccess в папку wp-includes, как это было сделано ранее с помощью диспетчера файлов.

ви. Блокирование доступа к сайту с определенных IP-адресов

Вы могли заметить, что некоторые пользователи с определенных IP-адресов неоднократно рассылали спам, предпринимали попытки взлома или просто пытались получить несанкционированный доступ к вашему сайту WordPress. Вы можете полностью предотвратить несанкционированный доступ пользователя WordPress, заблокировав его IP-адрес от доступа к вашему сайту с помощью файла .htaccess. Для этого скопируйте приведенный ниже код в свой файл .htaccess.

запретить с 123.456.78.9

IP-адрес, указанный в приведенном выше коде, является просто фиктивным. Вы можете заменить эти значения IP-адресом, который хотите заблокировать. Если вместо одного у вас есть несколько, просто добавьте каждый по отдельности в строку, которая выглядит следующим образом:

запретить с 213.546.87.9

Если вместо полного IP-адреса вы хотите запретить доступ к блоку IP-адресов, просто опустите последний октет, как показано ниже.

запретить с 213.546.87.9

Это приведет к блокировке всех IP-адресов от 213.546.87.0 до 213.546.87.255.

Если вы случайно заблокировали IP-адрес администратора веб-сайта или членов команды, ознакомьтесь с нашим руководством о том, как внести IP-адрес в белый список

vii. Блокирование доступа определенных доменов к вашему сайту

Вы не всегда можете знать конкретные IP-адреса, с которых вам рассылается спам. Однако вы можете знать, что эти атаки исходят из ссылок, размещенных на определенных вредоносных доменах. .htaccess позволяет заблокировать любого посетителя, зашедшего на ваш сайт по ссылке с таких вредоносных сайтов.

Чтобы заблокировать доменное имя, добавьте следующий код в файл .htaccess.

SetEnvIfNoCase Referer "badsite.com" bad_referer

Запретить из env=bad_referer

В приведенном выше коде замените «плохой сайт» доменом, который вы хотите заблокировать. При этом всякий раз, когда пользователь пытается получить доступ к вашему сайту с заблокированного вами домена, он получит сообщение об ошибке и не сможет получить доступ к вашему сайту.

2. Альтернативное решение

Хотя все вышеперечисленные решения эффективны для ограничения доступа к файлам и каталогам в WordPress, нельзя отрицать, что они представляют большой риск для вашего веб-сайта. Почему? Ну, потому что вы возитесь с очень важным файлом конфигурации. Даже неуместная точка может нарушить функциональность вашего сайта! Страшно, правда?

Поэтому, если вы не являетесь экспертом, лучше всего использовать подключаемый модуль безопасности для веб-сайта WordPress, так как он поможет повысить безопасность вашего веб-сайта. Плагин WordPress под названием MalCare может позаботиться об аспектах безопасности вашего сайта. Будь то занесение определенных IP-адресов в черный список, внедрение мер по обеспечению безопасности веб-сайта, защита вашей страницы входа в систему, сканирование на наличие вредоносных программ или многие другие важные меры безопасности, MalCare делает все это!

Читайте также: