आपके वर्डप्रेस साइट के लिए 15 उपयोगी .htaccess स्निपेट्स
होने a अच्छी तरह से कॉन्फ़िगर किया गया .htaccess फ़ाइल यदि आप चाहते हैं तो यह महत्वपूर्ण है सुरक्षा बढ़ाएं तथा कमजोरियों को कम करें आपकी वर्डप्रेस साइट पर। आमतौर पर, बनाने का मुख्य लक्ष्य ए कस्टम .htaccess फ़ाइल अपनी साइट को हैक होने से रोकना है, लेकिन यह रीडायरेक्ट को संभालने और कैश से संबंधित कार्यों को प्रबंधित करने का एक शानदार तरीका है.
.htaccess एक है विन्यास फाइल Apache वेब सर्वर पर उपयोग किया जाता है। अधिकांश वर्डप्रेस साइटें एक अपाचे सर्वर पर चलाते हैं, हालांकि एक छोटा हिस्सा है Nginx द्वारा संचालित. इस लेख में, आप एक पा सकते हैं .htaccess कोड स्निपेट का संग्रह, जिनमें से अधिकांश आप अपनी वेबसाइट को सुरक्षित करने के लिए उपयोग कर सकते हैं जबकि बाकी अन्य उपयोगी सुविधाओं को लागू करते हैं.
भूलना मत .htaccess फ़ाइल का बैकअप लें इससे पहले कि आप इसे संपादित करें ताकि आप हमेशा कर सकें पिछले संस्करण पर लौटें अगर कुछ गलत हो जाता है.
और, यदि आप किसी ऐसे व्यक्ति हैं जो कॉन्फ़िगरेशन फ़ाइलों को नहीं छूते हैं तो मैं आपको सलाह देता हूं बुलेटप्रूफ सुरक्षा प्लगइन जो सबसे विश्वसनीय है (और शायद सबसे पुराना) मुफ्त .htaccess सुरक्षा प्लगइन बाजार में.
डिफ़ॉल्ट WP .htaccess बनाएँ
.htaccess एक पर काम करता है प्रति-निर्देशिका आधार जिसका अर्थ है कि प्रत्येक निर्देशिका की अपनी .htaccess फ़ाइल हो सकती है। यह आसानी से हो सकता है कि आपकी वर्डप्रेस साइट अभी तक एक .htaccess फ़ाइल नहीं है. यदि आपको अपनी रूट डायरेक्टरी में .htaccess फ़ाइल नहीं मिलती है एक खाली पाठ फ़ाइल बनाएँ और इसे नाम दें .इनको.
नीचे, आप पा सकते हैं डिफ़ॉल्ट .htaccess वर्डप्रेस उपयोग करता है। जब भी आपको इस कोड की आवश्यकता होती है आप इसे वर्डप्रेस कोडेक्स में जल्दी से देख सकते हैं। ध्यान दें कि WP मल्टीसाइट के लिए एक अलग .htaccess है.
# बेगिन वर्डप्रेसRewriteBase / RewriteRule पर RewriteEngine ^ index \ .php $ - [L] RewriteCond% REQUEST_FILENAME! -F RewriteCond% REQUEST_FILENAME -d RewriteRule! /index.php [एल] # अंत वर्डप्रेस
लाइनों के साथ शुरू # टिप्पणियाँ हैं. कुछ भी संपादित न करें रेखाओं के बीच # बेगिन वर्डप्रेस तथा # अंत वर्डप्रेस. अपने कस्टम .htaccess नियम जोड़ें इन डिफ़ॉल्ट नियमों के नीचे.
सभी कोड स्निपेट आप इस लेख में पा सकते हैं कोर .htaccess फ़ाइल पर जाएं अपने मूल निर्देशिका में पाया.
1. सभी .htaccess फ़ाइलों तक पहुँच से इनकार करें
नीचे दिया गया कोड पहुँच से इनकार करता है आपके द्वारा अपने वर्डप्रेस में स्थापित सभी .htaccess फाइलों को। इस तरह आप लोगों को अपने देखने से रोक सकते हैं वेब सर्वर विन्यास.
# सभी .htaccess फ़ाइलों तक पहुँच को अस्वीकार करता हैआदेश की अनुमति दें, सभी को संतुष्ट करने से इनकार करें
2. अपने WP कॉन्फ़िगरेशन को सुरक्षित रखें
WP-config.php फ़ाइल शामिल है आपके सभी WP विन्यास, अपने डेटाबेस लॉगिन और पासवर्ड सहित। आप या तो इसे हर किसी से इनकार कर सकते हैं या प्रवेश करने वालों को इसे एक्सेस करने की अनुमति दें.
यदि आप बाद वाला चुनते हैं टिप्पणी दें # Xx.xx.xx.xxx से अनुमति दें लाइन (हटाएं # लाइन की शुरुआत से) और व्यवस्थापक का आईपी पता डालें की जगह में xx.xx.xx.xxx.
# Wp-config की सुरक्षा करता हैऑर्डर की अनुमति दें, xx.xx.xx.xxx से अनुमति दें # yy.yy.yy.yy से अनुमति दें
3. XML-RPC DDoS हमले को रोकें
वर्डप्रेस XML-RPC का समर्थन करता है डिफ़ॉल्ट रूप से, जो कि ए इंटरफ़ेस जो दूरस्थ प्रकाशन बनाता है मुमकिन। हालाँकि, यह एक बड़ी विशेषता है, यह हैकर्स के रूप में WP की सबसे बड़ी सुरक्षा भेद्यता में से एक है DDoS हमलों के लिए इसका फायदा उठाएं.
यदि आप इस सुविधा का उपयोग नहीं करना चाहते हैं तो यह बेहतर है इसे अक्षम करें. पहले की तरह, आप कर सकते हैं टिप्पणी करके अपवाद जोड़ें # Xx.xx.xx.xxx से अनुमति दें लाइन और अपने व्यवस्थापक (ओं) को जोड़ने.
# XML-RPC की सुरक्षा करता है, DDoS के हमले को रोकता हैआदेश अस्वीकार करें, xx.xx.xx.xxx से अनुमति दें # सभी से yy.yy.yy.yy वर्ष से अनुमति दें
4. अपने व्यवस्थापक क्षेत्र को सुरक्षित रखें
यह भी एक अच्छा विचार है व्यवस्थापक क्षेत्र की सुरक्षा करें केवल व्यवस्थापकों को पहुँच प्रदान करके। यहाँ, के लिए मत भूलना कम से कम एक जोड़ें “अनुमति दें” अपवाद अन्यथा आप अपने व्यवस्थापक तक पहुँचने में सक्षम नहीं होंगे.
# IP AuthUserFile / dev / null द्वारा व्यवस्थापक क्षेत्र की सुरक्षा करता है AuthGroupFile / dev / null AuthName "WordPress व्यवस्थापक अभिगम नियंत्रण" प्रमाण मूलआदेश अस्वीकार करें, xx.xx.xx.xxx से सभी अनुमति दें, yy.yy.yy.yy से अनुमति दें
5. निर्देशिका लिस्टिंग को रोकें
अधिकांश वर्डप्रेस साइटें निर्देशिका लिस्टिंग को अक्षम नहीं करती हैं, जिसका अर्थ है कि कोई भी कर सकता है उनके फ़ोल्डर और फ़ाइलें ब्राउज़ करें, मीडिया अपलोड और प्लगइन फ़ाइलों सहित। यह कहना अनावश्यक है कि यह एक बड़ी सुरक्षा भेद्यता है.
नीचे, आप देख सकते हैं कि कैसे सामान्य वर्डप्रेस निर्देशिका लिस्टिंग की तरह दिखता है.
सौभाग्य से, आपको बस जरूरत है कोड की एक पंक्ति इस सुविधा को ब्लॉक करने के लिए। यह कोड स्निपेट होगा 403 त्रुटि संदेश लौटाएँ जो कोई भी आपकी निर्देशिकाओं को एक्सेस करना चाहता है.
# निर्देशिका निर्देशिका को रोकता है विकल्प -Indexes
6. उपयोगकर्ता नामकरण रोकें
यदि WP Permalinks सक्षम हैं, तो यह काफी आसान है उपयोगकर्ता नामों की गणना करें लेखक अभिलेखागार का उपयोग करते हुए। तब प्रकट किए गए उपयोगकर्ता नाम (व्यवस्थापक के उपयोगकर्ता नाम सहित) का उपयोग किया जा सकता है जानवर बल के हमले.
नीचे अपनी .htaccess फ़ाइल में कोड डालें उपयोगकर्ता नामकरण रोकें.
# उपयोगकर्ता नाम वापसी को रोकता है ReriteCond% QUERY_STRING लेखक = d RewriteRule ^ /? [एल, आर = 301]
7. स्पैमर्स और बॉट्स को ब्लॉक करें
कभी-कभी आप चाहते हो सकता है कुछ IP पते से पहुंच प्रतिबंधित करें. यह कोड स्निपेट स्पैमर और बॉट्स को ब्लॉक करने का एक आसान तरीका प्रदान करता है जिसे आप पहले से जानते हैं.
# स्पैमर्स और बॉट्स को ब्लॉक करता हैऑर्डर की अनुमति दें, xx.xx.xx.xxx से इनकार करें, yy.yy.yy.yy से इनकार करें सभी से अनुमति दें
8. इमेज हॉटलिंकिंग रोकें
हालांकि सुरक्षा का खतरा नहीं, छवि हॉटलिंकिंग अभी भी एक कष्टप्रद बात है। लोग ही नहीं आपकी अनुमति के बिना अपनी छवियों का उपयोग करें लेकिन वे भी यह आपकी कीमत पर करते हैं। कोड की इन कुछ पंक्तियों के साथ, आप अपनी साइट को इमेज हॉटलिंकिंग से बचा सकते हैं.
# रिवर्टकॉन्ड% HTTP_REFERER!> $ RewriteCond% HTTP_REFERER! Http (s)? // // www () पर क्लिक करें। RewiteEngine को हॉटलाइनिंग से बचाता है! // www (www)? Yourwebsite.com [NC] रिवर्ट कांड% HTTP_REFERER s) ;: // (www \।)? yourwebsite2.com [NC] RewriteRule \। (jpe? g?? png | gif | ico | pdf | flv | swf | gz) $ - NC, F, L]
9. प्लगइन और विषय PHP फ़ाइलों के लिए सीधी पहुँच को प्रतिबंधित करें
यह खतरनाक हो सकता है अगर कोई सीधे अपने प्लगइन और विषय फ़ाइलों को बुलाता है, चाहे वह दुर्घटनावश हुआ हो या किसी दुर्भावनापूर्ण हमलावर द्वारा। यह कोड स्निपेट है Acunetix वेबसाइट सुरक्षा कंपनी से आता है; आप उनके ब्लॉग पोस्ट में इस भेद्यता के बारे में अधिक पढ़ सकते हैं.
# प्लगइन और थीम निर्देशिकाओं से PHP फ़ाइलों तक पहुँच को प्रतिबंधित करता है, ReriteCond% REQUEST_URI! ^ / Wp-content / plugins / file / to / बहिष्कृत \ .php RewriteCond% REQUEST_URI! ^ / Wp-content / plugins / Directory / /! / बहिष्कृत / पुनर्व्यवस्थित करें wp-content / plugins / ((। * \। php) $ - [R = 404, L] RewriteCond% REQUEST_URI! ^ / wp-content / '' / '/ बहिष्कृत \ _pp \ _RriteCond%% REQUEST_URI! ^ / Wp-content / themes / निर्देशिका / to / बहिष्कृत / RewriteRule wp-content / themes / / (। *। Php) $ - [R = 404, L]।
10. स्थायी रीडायरेक्ट सेट करें
आप आसानी से कर सकते हैं स्थायी पुनर्निर्देशन संभालें .htaccess के साथ। सबसे पहले आपको जोड़ना होगा पुराना URL, तो का पालन करें नया URL उस पृष्ठ को इंगित करता है जिसे आप उपयोगकर्ता को पुनर्निर्देशित करना चाहते हैं.
# स्थायी रीडायरेक्ट पुनर्निर्देशित 301 / oldurl1 / http://yoursite.com/newurl1 पुनर्निर्देशित 301 / oldurl2 / http://yoursite.com/newurl2
11. एक रखरखाव पृष्ठ पर आगंतुकों को भेजें
हमने इस तकनीक के बारे में यहां विस्तार से लिखा है। आपको ज़रूरत है एक अलग रखरखाव पृष्ठ (maintenance.html उदाहरण के लिए) इसके लिए .htaccess नियम काम करने के लिए। यह कोड आपकी वर्डप्रेस साइट डालता है रखरखाव मोड में.
# रखरखाव पृष्ठ पर पुनर्निर्देश करता हैRewriteCond% REMOTE_ADDR! @ 123 \ _456_789_000 पर फिर से लिखिए। ReriteCond% REQUEST_URI! /Maintain.html >> "NC": ReriteCond% REQUEST_URI! (Jpe; gng। Png) ) [एनसी] रिवाइट्रूले। * / मेनटेनेंस। Html [आर = ५०३, एल]
12. WP तक सभी पहुंच को प्रतिबंधित करें
/ WP-शामिल / फ़ोल्डर कोर वर्डप्रेस फ़ाइलें शामिल हैं सीएमएस काम करने के लिए आवश्यक हैं। कोई सामग्री, प्लगइन्स, थीम या कोई अन्य चीज़ नहीं है जिसे कोई उपयोगकर्ता यहां पहुंचना चाहे। इसलिए कड़ी सुरक्षा के लिए यह सबसे अच्छा है इसे सभी तक सीमित रखें.
# सभी wp- फ़ोल्डर और फ़ाइलों को ब्लॉक करता हैRewriteBase / RewriteRule पर RewriteEngine ^ wp-admin / / / - [F, L] RewriteRule! ^ Wp- शामिल / - [S = 3] RewriteRule ^ wp- शामिल / [^ /] + \ _ php $ - [F; L] रेवेरिटुले ^ wp-js / js / tinymce / langs /.++ php - [[F, L] RewriteRule ^ wp- / थीम-कम्प्रेशर / - [F, L]
13. ब्लॉक क्रॉस-साइट स्क्रिप्टिंग (XSS)
निम्न कोड स्निपेट WP मिक्स से है और यह आपकी साइट की सुरक्षा करता है कुछ सामान्य XSS हमले, अर्थात् स्क्रिप्ट इंजेक्शन और वैश्विक को संशोधित करने और चर का अनुरोध करने का प्रयास.
# कुछ XSS हमलों को रोकता हैRewriteCond% QUERY_STRING (\ |% 3E) [NC, OR] RewriteCond% QUERY_STRING GLOBALS (=। \ _ \ _ [%] [0-9A-Z- 0,2] [या] RewriteCond% QUERY_STRING% _REQUEST (= | \ [| \% [0-9A-Z] 0,2) RewriteRule। * Index.php [F, L]
14. ब्राउज़र कैशिंग सक्षम करें
जैसा कि मैंने पहले उल्लेख किया है, .htaccess न केवल सुरक्षा कारणों और पुनर्निर्देशन के लिए अच्छा है, बल्कि यह आपकी मदद भी कर सकता है कैश का प्रबंधन करें. नीचे दिया गया कोड स्निपेट एलिगेंट थीम्स और इसका है ब्राउज़र कैशिंग संभव बनाता है आगंतुकों को सक्षम करने से कुछ प्रकार की फ़ाइलों को सहेजें, तो अगली बार जब वे जाएँगे तो उन्हें फिर से डाउनलोड नहीं करना पड़ेगा.
# ब्राउज़र कैशिंग को सक्षम करता हैExpiresActive On ExpiresByType छवि / jpg "एक्सेस 1 वर्ष" ExpiresByType छवि / jpeg "एक्सेस 1 वर्ष" ExpiresByType छवि / gif "एक्सेस 1 वर्ष" ExpiresByType चित्र / png "एक्सेस 1 वर्ष" ExpiresByType पाठ / सीएसएस "एक्सेस 1 माह" समाप्ति समय " पीडीएफ "एक्सेस 1 महीने" एक्सपायर्सबाय टेक्स्ट / एक्स-जावास्क्रिप्ट "एक्सेस 1 महीने" एक्सपायरबी टाइप एप्लिकेशन / एक्स-शॉकवेव-फ्लैश "एक्सेस 1 महीने" एक्सपायर्सबाइप इमेज / एक्स-आइकन "एक्सेस 1 साल" एक्सपायरडिफॉल्ट "एक्सेस 2 दिन"
15. कस्टम एरर पेज सेट करें
आप अपने WordPress साइट पर कस्टम त्रुटि पेज सेट करने के लिए .htaccess का उपयोग कर सकते हैं। इस विधि को काम करने के लिए, आपको भी करने की आवश्यकता है कस्टम त्रुटि पेज बनाएँ (कस्टम 403.html, कस्टम 404.html उदाहरण में) और उन्हें अपलोड करें अपने रूट फ़ोल्डर में.
आप के लिए एक कस्टम त्रुटि पेज सेट कर सकते हैं किसी भी HTTP त्रुटि स्थिति कोड (4XX और 5XX स्थिति कोड) आप चाहते हैं.
# कस्टम त्रुटि पेज सेट करता है ErrorDocument 403 / custom-403.html ErrorDocument 404 / custom-4034.html
