Was ist eine .htaccess-Datei und wie bearbeitet man sie?
Die .htaccess-Datei ist eine Konfigurationsdatei für Server. Sie erlaubt Ihnen Regeln für den Server zu definieren, denen Ihre Webseite folgt.
WordPress nutzt .htaccess Dateien, um eine SEO-freundliche URL zu generieren. Aber diese Datei kann noch viel mehr.
Die .htaccess-Datei befindet sich in dem Root-Ordner Ihrer WordPress-Seite. Sie müssen sich über einen FTP Client mit der Webseite verbinden, um sie zu bearbeiten.
Wenn Sie Ihre .htaccess-Datei nicht finden können, schauen Sie sich unsere Anleitung an. Dort erfahren Sie, wie und wo Sie die .htaccess-Datei in Ihrem WordPress finden können.
Bevor Sie Ihre .htaccess-Datei bearbeiten, ist es unerlässlich eine Kopie herunterzuladen und sie als Backup zu nutzen. Diese Backup-Datei können Sie nutzen, um den Originalzustand wiederherzustellen, falls bei der Bearbeitung etwas schiefgeht.
Jetzt, da das gesagt ist, lassen Sie uns einen Blick auf nützliche .htaccess-Tricks für WordPress werfen, die Sie nutzen können. Hier sind unsere 12 nützlichsten .htaccess-Optimierungstricks:
1) Schützen Sie Ihren WordPress-Adminbereich
Sie können die .htaccess-Datei nutzen, um Ihren WordPress-Adminbereich zu schützen, indem Sie den Zugriff auf ausgewählte IP-Adressen beschränken. Kopieren Sie einfach den folgenden Code in Ihre .htaccess-Datei:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# IP whitelist für User_1
allow from xx.xx.xx.xxx
# IP whitelist für User_2
allow from xx.xx.xx.xxx
</LIMIT>
Vergessen Sie nicht, die xx-Werte mit Ihrer eigenen IP-Adresse zu ersetzen. Wenn Sie mehr als eine IP-Adresse nutzen, um ins Internet zu gehen, dann sollten Sie zur Sicherheit alle anderen IP-Adressen ebenfalls hinzufügen.
2) WordPress: Passwortgeschützter Adminbereich
Wenn Sie Ihre WordPress-Seite von mehreren Orten aus ansteuern, beispielsweise von öffentlichen Hotspots, dann könnte Ihnen das Limitieren auf spezielle IP-Adressen Probleme bereiten.
Sie können die .htaccess-Datei nutzen, um einen zusätzlichen Passwortschutz in Ihrem WordPress-Adminbereich einzurichten.
Als Erstes müssen Sie eine .htpasswds-Datei generieren. Sie können diese ganz einfach mithilfe dieses Online-Generators erstellen.
Laden Sie diese .htpasswds-Datei entweder außerhalb Ihres öffentlich zugänglichen Webverzeichnisses hoch, oder in den /public_html/-Ordner.
Ein guter Pfad wäre der Folgende: /home/benutzer/.htpasswds/public_html/wp-admin/passwd/
Als Nächstes erstellen Sie eine .htaccess-Datei. Laden Sie sie in /wp-admin/ hoch und fügen Sie den folgenden Code hinzu:
AuthName "Admins Only"
AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user hierihrbenutzername
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
Vergessen Sie nicht, den AuthUserFile-Dateipfad mit dem Dateipfad Ihrer .htpasswds-Datei zu ersetzen und Ihren eigenen Benutzernamen hinzuzufügen.
3) Schalten Sie das Ordnerdurchstöbern aus
Viele WordPress-Sicherheitsexperten empfehlen es, das Ordnerdurchstöbern auszuschalten. Mit einem angeschaltetem Ordnerdurchstöbern können Hacker Ihre Ordner und Dateistrukturen einsehen und ggf. eine verwundbare Datei finden. Dies könnte für Sie bzw. für Ihre Webseite fatale Folgen haben.
Um das Ordnerdurchstöbern auf Ihrer Webseite auszuschalten, müssen Sie die folgende Zeile zu Ihrer .htaccess-Datei hinzufügen:
[php]
Options -Indexes
[/php]
4) PHP-Ausführung in ausgewählten WordPress-Ordnern deaktivieren.
Immer öfter brechen Hacker in eine WordPress-Seite ein und installieren eine Backdoor. Diese Backdoor-Dateien verstecken sich meist als WordPress-Kerndateien und befinden sich in /wp-includes/- oder /wp-content/uploads/-Ordnern.
Ein einfacherer Weg um die Sicherheit von WordPress zu erhöhen, ist die PHP-Ausführung selektiv für ausgewählte Ordner zu deaktivieren.
Dazu müssen Sie eine leere .htaccess-Datei auf Ihrem PC erstellen, um dann den folgenden Code einfügen:
<Files *.php>
deny from all
</Files>
Speichern Sie die Datei und laden Sie diese dann in Ihre /wp-content/uploads/- und /wp-includes/-Ordner hoch.
5) Schützen Sie Ihre WordPress wp-config.php Konfigurationsdatei
Die wahrscheinlich wichtigste Datei in Ihrem WordPress-root-Verzeichnis ist die wp-config.php-Datei. Sie enthält Informationen über Ihre WordPress-Datenbank und darüber, wie man sich mit ihr verbindet.
Um Ihre wp-config.php-Datei vor unbefugtem Zugriff zu schützen, fügen Sie einfach den folgenden Code zu Ihrer .htaccess-Datei hinzu:
<files wp-config.php>
order allow,deny
deny from all
</files>
6) 301-Weiterleitungen mit der .htaccess-Datei einrichten
301-Weiterleitungen zu benutzen ist der SEO-freundlichste Weg um Ihren Nutzern zu zeigen, dass der Inhalt umgezogen ist.
Ebenfalls nützlich: wenn Sie schnellere Weiterleitungen einrichten wollen, dann ist alles, was Sie tun müssen, den folgenden (individuell anzupassenden) Text in Ihre .htaccess-Datei zu kopieren:
Redirect 301 /alte-url/ http://www.beispiel.de/neue-url
Redirect 301 /kategorie/television/ http://www.beispiel.de/kategorie/tv/
7) Verdächtige IP Adressen bannen
Sie sehen ungewöhnlich hohe Anfragen an Ihrer Website von einer bestimmten IP-Adresse? Sie können diese Anfragen einfach blockieren, indem Sie die IP-Adresse in Ihrer .htaccess-Datei blockieren.
Fügen Sie den folgenden Code zu Ihrer .htaccess-Datei hinzu:
<Limit GET POST>
order allow,deny
deny from xxx.xxx.xx.x
allow from all
</Limit>
Vergessen Sie nicht, die “xx” mit der IP-Adresse zu ersetzen, die Sie blockieren wollen.
8) Mit .htaccess Hotlinks zu Bildern ausschalten
Andere Websites, welche direkt Bilder von Ihrer Website hotlinken, können Ihre WordPress-Seite verlangsamen und Ihre Bandbreite begrenzen. Dies ist kein großes Problem für die meisten kleineren Websites. Wenn Sie allerdings eine viel besuchte Website oder eine Website mit vielen Fotos betreiben, dann könnte dies ein ernstes Anliegen werden.
Sie können das Hotlinken zu Bildern verhindern, wenn Sie den folgenden Code zu Ihrer .htaccess-Datei hinzufügen:
#Deaktiviert das Verknüpfen von Bildern
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?bitseven.de [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.de [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]
Dieser Code erlaubt Bildern nur angezeigt zu werden, wenn die Anfrage von bitseven.de oder google.de kommt. Vergessen Sie nicht bitseven.de mit Ihrem Domainnamen zu ersetzen.
9) Schützen Sie die .htaccess-Datei vor unautorisiertem Zugriff
Wie Sie gesehen haben, gibt es viele unterschiedliche Probleme, die sich mit der .htaccess-Datei lösen lassen. Aufgrund der Macht und der Kontrolle, die sie auf dem Webserver genießt, ist es wichtig sie vor unautorisiertem Zugriff durch Hacker zu schützen. Dazu können Sie den folgenden Code hinzufügen:
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
10) Erhöhen Sie die maximale Uploadgröße von Dateien in WordPress
Es gibt viele verschiedene Wege, um das Uploadlimit der Dateigrößen in WordPress zu erhöhen. Für Nutzer von geteiltem Hosting funktionieren viele dieser Methoden jedoch nicht.
Eine der meist genutzten Methoden, und das liegt daran, dass diese Methode für viele Nutzer funktioniert, ist Folgende: fügen Sie einfach den unten stehenden Code zu Ihrer .htaccess-Datei hinzu, und voilà.
php_value upload_max_filesize 64M
php_value post_max_size 64M
php_value max_execution_time 300
php_value max_input_time 300
Dieser Code gibt dem Webserver neue Werte für die maximale Uploadgröße und für die maximale Ausführzeit durch WordPress an. Die ursprünglichen Werte werden derweil ignoriert.
11) Schalten Sie mit .htaccess den Zugriff auf XML-RPC Dateien aus
Jede WordPress-Installation hat eine Datei namens xmlrpc.php. Diese Datei erlaubt Drittanbieter-Software sich mit Ihrer WordPress-Seite zu verbinden. Die meisten WordPress-Sicherheitsexperten empfehlen diese Funktion jedoch auszuschalten, sofern Sie keine Drittanbieter-Software nutzen, um auf die Seite zuzugreifen.
Dafür gibt es mehrere Wege, einer davon ist das Hinzufügen des folgenden Codes zu Ihrer .htaccess-Datei:
# Anfragen an die xmlrpc.php blokieren
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>
12) Autorenscans in WordPress blockieren
Eine verbreitete Technik, die für Bruteforce-Angriffe genutzt wird, ist das Laufenlassen von sogenannten Autorenscans. Mit dieser Technik wird versucht einen WordPress-Benutzernamen mit zugehörigem Passwort zu knacken.
Sie können solche Scans blocken, indem Sie den folgenden Code hinzufügen:
# START Autor scans blockieren
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# ENDE Autor scans blockieren