如果您想提高安全性并减少 WordPress网站上的漏洞，那么拥有一个配置良好的.htaccess文件至关重要。通常，创建自定义.htaccess文件的主要目的是防止您的网站被黑客入侵，但它也是处理重定向和管理缓存相关任务的绝佳方式。

推荐阅读《WordPress管理员和Web开发人员.htaccess入门指南》

.htaccess是Apache Web服务器上使用的配置文件。大多数WordPress站点都在Apache服务器上运行，尽管其中一小部分由Nginx提供支持。在本文中，您可以找到.htaccess代码片段的集合，其中大部分可用于保护您的网站，而其余代码片段实现其他有用的功能。

不要忘记在编辑之前备份.htaccess文件，以便在出现问题时始终可以返回到以前的版本。

如果你是一个不喜欢触摸配置文件的人，我推荐你使用BulletProof Security插件，它是市场上最可靠（也可能是最老的）免费.htaccess安全插件。

创建 WP 默认的 .htaccess

.htaccess基于每个目录工作，这意味着每个目录都可以拥有自己的.htaccess文件。很可能你的WordPress网站还没有.htaccess文件。如果在根目录中找不到.htaccess文件，请创建一个空文本文件并将其命名为.htaccess。

下面，您可以找到WordPress使用的默认.htaccess。无论何时需要此代码，您都可以在WordPress Codex中快速查找。请注意，WP Multisite（多站点）有一个不同的.htaccess 。

1. # BEGIN WordPress
2. <IfModule mod_rewrite.c>
3. RewriteEngine On
4. RewriteBase /
5. RewriteRule ^index\.php$ - [L]
6. RewriteCond %{REQUEST_FILENAME} !-f
7. RewriteCond %{REQUEST_FILENAME} !-d
8. RewriteRule . /index.php [L]
9. </IfModule>
10. # END WordPress

以# 开头的行是注释。不要编辑任何# BEGIN WordPress和# END WordPress之间的代码。在这些默认规则下添加自定义.htaccess 规则。

有用的.htaccess代码

你可以在本文中找到的所有代码段，然后添加到根目录的核心.htaccess文件。

1.拒绝访问所有.htaccess文件

下面的代码拒绝访问你WordPress中的所有.htaccess文件。这样，您可以阻止别人查看你的Web服务器配置。

1. # Denies access to all .htaccess files
2. <Files ~ "^.*\.([Hh][Tt][Aa])">
3. Order Allow,Deny
4. Deny from all
5. Satisfy all
6. </Files>

2.保护你的WP配置文件

wp-config.php文件包含所有WP配置，包括数据库登录名和密码。您可以拒绝所有人或允许管理员访问它。

如果你选择后者，去除# Allow from xx.xx.xx.xxx 前面的 # ，并插入管理员的IP地址来代替xx.xx.xx.xxx。

1. # Protects wp-config
2. <Files wp-config.php>
3. Order Allow,Deny
4. # Allow from xx.xx.xx.xxx
5. # Allow from yy.yy.yy.yyy
6. Deny from all
7. </Files>

3.防止XML-RPC DDoS攻击

WordPress 默认支持XML-RPC，这是一个使远程发布接口。然而，虽然它是一个很棒的功能，但它也是WP最大的安全漏洞之一，因为黑客可能利用它来进行DDoS攻击。

如果您不想使用此功能，最好禁用它。和以前一样，你可以通过去除# Allow from xx.xx.xx.xxx前面的 # 和添加管理员（或多个）的IP地址。

1. # Protects XML-RPC, prevents DDoS attack
2. <FilesMatch "^(xmlrpc\.php)">
3. Order Deny,Allow
4. # Allow from xx.xx.xx.xxx
5. # Allow from yy.yy.yy.yyy
6. Deny from all
7. </FilesMatch>

4.保护网站后台

通过仅向管理员提供访问权限来保护网站后台也是一个好主意。在这里，不要忘记添加至少一个“允许”例外IP，否则您根本无法访问网站后台。

注：如果你的宽带没有固定的IP，请务必不要设置，否则你可能无法访问网站后台！

1. # Protects admin area by IP
2. AuthUserFile /dev/null
3. AuthGroupFile /dev/null
4. AuthName "WordPress Admin Access Control"
5. AuthType Basic
6. <LIMIT GET>
7. Order Deny,Allow
8. Deny from all
9. Allow from xx.xx.xx.xxx
10. Allow from yy.yy.yy.yyy
11. </LIMIT>

5.阻止目录列表

大多数WordPress网站不会禁用目录列表，这意味着任何人都可以浏览其文件夹和文件，包括媒体上传和插件文件。不用说，这是一个巨大的安全漏洞。

下面，你可以看到典型的WordPress目录列表的外观。

幸运的是，您只需要一行代码就可以阻止此功能。此代码段将向想要访问您的目录的任何人返回403错误消息。

1. # Prevents directory listing
2. Options -Indexes

6.防止用户名枚举

如果启用了WP永久链接，则使用作者存档枚举用户名非常容易。然后，显示的用户名（包括管理员的用户名）可用于暴力攻击。

将下面的代码插入.htaccess文件以防止用户名枚举。

1. # Prevents username  enumeration
2. RewriteCond %{QUERY_STRING} author=d
3. RewriteRule ^ /? [L,R=301]

7.阻止垃圾邮件发送者和机器人

有时你可能希望限制某些IP地址的访问。此代码段提供了一种简单的方法来阻止你已经知道的垃圾邮件发送者和机器人。

1. # Blocks spammers and bots
2. <Limit GET POST>
3. Order Allow,Deny
4. Deny from xx.xx.xx.xxx
5. Deny from yy.yy.yy.yyy
6. </Limit>
7. Allow from all

8.防止图片盗链

虽然不是安全威胁，但图片盗链仍然是一件烦人的事情。人们不仅在未经您许可的情况下使用你的图片，可能会导致你的带宽费用支出。使用这几行代码，您可以保护你的网站被盗链图片。

1. # Prevents image hotlinking
2. RewriteEngine on
3. RewriteCond %{HTTP_REFERER} !^$
4. RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite.com [NC]
5. RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourwebsite2.com [NC]
6. RewriteRule \.(jpe?g?|png|gif|ico|pdf|flv|swf|gz)$ - [NC,F,L]

9.限制对插件和主题PHP文件的直接访问

如果有人直接调用您的插件和主题文件，无论是意外发生还是恶意攻击者，都会很危险。此代码段来自Acunetix网站安全公司 ; 您可以在他们的博文中阅读有关此漏洞的更多信息。

1. # Restricts access to PHP files from plugin and theme directories
2. RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
3. RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
4. RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
5. RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
6. RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
7. RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]

10.设置永久重定向

你可以使用.htaccess 轻松处理永久重定向。首先，你必须添加旧URL，然后按照指向要将用户重定向到的页面的新URL。

1. # Permanent redirects
2. Redirect 301 /oldurl1/ http://yoursite.com/newurl1
3. Redirect 301 /oldurl2/ http://yoursite.com/newurl2

11.将访问者发送到维护页面

如果你的网站在维护，我们希望告知访客这个事情，可以使用规则去实现。你需要一个单独的维护页面（maintenance.html在示例中）才能使此.htaccess规则生效。此代码将你的WordPress站点置于维护模式。

1. # Redirects to maintenance page
2. <IfModule mod_rewrite.c>
3. RewriteEngine on
4. RewriteCond %{REMOTE_ADDR} !^123\.456\.789\.000
5. RewriteCond %{REQUEST_URI} !/maintenance.html$ [NC]
6. RewriteCond %{REQUEST_URI} !\.(jpe?g?|png|gif) [NC]
7. RewriteRule .* /maintenance.html [R=503,L]
8. </IfModule>

12.限制对 wp-includes 目录的所有访问

/wp-includes/文件夹包含必需的核心WordPress文件。没有内容、插件、主题或用户可能想要访问的任何其他内容。因此，为了加强安全性，最好限制对它的所有访问。

1. # Blocks all wp-includes folders and files
2. <IfModule mod_rewrite.c>
3. RewriteEngine On
4. RewriteBase /
5. RewriteRule ^wp-admin/includes/ - [F,L]
6. RewriteRule !^wp-includes/ - [S=3]
7. RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
8. RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
9. RewriteRule ^wp-includes/theme-compat/ - [F,L]
10. </IfModule>

13.阻止跨站点脚本（XSS）

以下代码片段来自WP Mix，它可以保护你的站点免受一些常见的XSS攻击，即脚本注入和尝试修改全局和请求变量。

1. # Blocks some XSS attacks
2. <IfModule mod_rewrite.c>
3. RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
4. RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
5. RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
6. RewriteRule .* index.php [F,L]
7. </IfModule>

14.启用浏览器缓存

正如我之前提到的，.htaccess不仅有利于安全性和重定向，还可以帮助您管理缓存。下面的代码片段来自Elegant Themes，它通过允许访问者保存某些类型的文件使浏览器缓存成为可能，因此下次访问时他们不必再次下载它们。

1. # Enables browser caching
2. <IfModule mod_expires.c>
3. ExpiresActive On
4. ExpiresByType image/jpg "access 1 year"
5. ExpiresByType image/jpeg "access 1 year"
6. ExpiresByType image/gif "access 1 year"
7. ExpiresByType image/png "access 1 year"
8. ExpiresByType text/css "access 1 month"
9. ExpiresByType application/pdf "access 1 month"
10. ExpiresByType text/x-javascript "access 1 month"
11. ExpiresByType application/x-shockwave-flash "access 1 month"
12. ExpiresByType image/x-icon "access 1 year"
13. ExpiresDefault "access 2 days"
14. </IfModule>

15.设置自定义错误页面

你可以使用.htaccess在WordPress网站上设置自定义错误页面。对于这种方法，您还需要创建自定义错误页（custom-403.html，custom-404.html在本例中），并上传到你的网站根目录。

您可以为所需的任何HTTP错误状态代码（4XX和5XX状态代码）设置自定义错误页面。

1. # Sets up custom error pages
2. ErrorDocument 403 /custom-403.html
3. ErrorDocument 404 /custom-404.html

好了，今天就分享这些 .htaccess 代码片段，如果你有其他不错的片段，欢迎和我们分享！

文章参考： https://www.hongkiat.com/blog/useful-htaccess-snippets-for-wordpress/

80%的人都看过的文章

• WordPress管理员和Web开发人员.htaccess入门指南
• TP-Link 不回应，安全工程师公开了其路由器漏洞
• 如何重置并找回WordPress后台登录密码
• WordPress文章防复制代码
• WordPress解决垃圾评论的12个方法
• WordPress网站健康检查分数达到100%的12个技巧
• IE 11浏览器被爆安全漏洞：可远程窃取本地PC文件
• 如何修改WordPress用户ID？