Datoteka .htaccess je eden najmočnejših orodij, ki jih imate na voljo pri upravljanju spletne strani, še posebej tistih, ki gostujejo na strežniku Apache. Čeprav je navzven majhna, skriva v sebi izjemno moč - od varnostnih ukrepov, SEO optimizacije pa vse do naprednih preusmeritev. Z njo lahko popolnoma spremenite delovanje vaše strani, jo izboljšate, pohitrite in bolje zaščitite.
Kaj je .htaccess datoteka in zakaj je pomembna?
Datoteka .htaccess (hypertext access) je konfiguracijska datoteka za spletne strežnike Apache. Omogoča spreminjanje nastavitev spletnega strežnika Apache na nivoju posameznega direktorija. Ko nekdo obišče stran, Apache preveri .htaccess in uporabi nastavljena pravila pred nalaganjem strani. Iz opisanega ugotovimo, da so .htaccess datoteke zelo pomembne, saj nam omogočajo veliko različnih opcij. Poleg že omenjene .htaccess datoteke pa je pomembna tudi datoteka wp-config.php, tu se nahajajo vsi ključni podatki našega WordPressa.
WordPress avtomatsko ustvari .htaccess datoteko z osnovnimi pravili ob namestitvi ali aktiviranju trajnih povezav (permalinks). Tudi mnogi WordPress vtičniki uporabljajo nastavitve .htaccess datoteke, vključno z večino varnostnih in predpomnilniških vtičnikov, ki vanjo zapišejo pravila za zaščito ali optimizacijo.
Kje najti in kako ustvariti .htaccess datoteko?
Datoteko .htaccess boste našli s pomočjo nadzorne plošče, prek katere upravljate svoj paket spletnega gostovanja, ali pa se na strežnik povežite preko FTP protokola. Nahaja se v korenski mapi vaše spletne strani, navadno v mapi public_html oziroma v mapi, kjer se nahajajo datoteke vaše spletne strani.
Če datoteke .htaccess tam ne boste našli, sta za to mogoča dva razloga:
- Datoteka je skrita: Ker je .htaccess skrita datoteka, jo morate v upravitelju datotek omogočiti, da prikaže skrite datoteke. V nadzorni plošči (npr. cPanel) v razdelku File Manager povsem zgoraj desno kliknite na nastavitve (ang. Settings), nakar se vam bo odprlo okence z nekaj podatki. Poiščite možnost »show hidden files«, jo obkljukajte in shranite spremembe. Tako boste lahko videli tudi skrito datoteko .htaccess.
- Datoteka ne obstaja: Obstajajo primeri, ko vaša namestitev WordPressa privzeto ne vključuje datoteke .htaccess, ali pa jo je pokvarjen vtičnik poškodoval. V tem primeru jo lahko ustvarite ročno. Preprosto ustvarite prazno datoteko z urejevalnikom besedil (kot je Notepad ali Notepad++) in jo poimenujte .htaccess (pomembno je, da se ime datoteke začne s piko in nima končnice, kot je .txt). Nato jo naložite v korenski direktorij vaše spletne strani preko FTP-ja ali upravitelja datotek.
Preden boste pričeli datoteko spreminjati, vam priporočamo, da si kopijo datoteke shranite na vaš računalnik. Za urejanje datoteke z desnim gumbom miške kliknite nanjo in izberite možnost edit.
Kako dostopati do datoteke .htaccess in jo urejati
Ključne funkcionalnosti .htaccess datoteke v WordPressu
Datoteka .htaccess vam omogoča natančen nadzor nad vašo stranjo - od preusmeritev, varnosti, hitrosti nalaganja, pa vse do SEO.
Preusmeritve (Redirects)
Preusmeritve so eden izmed najbolj uporabnih trikov, ki jih omogoča .htaccess datoteka. Preusmerjanje URL-jev je ena najbolj uporabljenih funkcij. Ta trik pride še kako prav, ko denimo svojo domeno nadgradite s SSL certifikatom, ali pa spremenite URL povezavo posamezne strani ali strukturo spletne strani. WordPress samodejno ustvari .htaccess datoteko pri nastavitvi trajnih povezav (permalinks).
- Preusmeritev HTTP na HTTPS: Na ta način vaša domena ni več http ampak https, česar pa spletni iskalniki ne vedo, vse dokler jim tega ne sporočite.
- Preusmeritev WWW na brez WWW ali obratno: Denimo, da potrebujete preusmeritev vaših naslovov z domene brez www na domeno z www, ali obratno. V datoteko .htaccess dodajte ustrezen delček kode.
Varnost
Datoteka .htaccess je vaša prva obrambna linija. S pomočjo pravil, zapisanih v njej, lahko onemogočite spletnim nepridipravom dostop do ranljivih delov vaše spletne strani.
- Zaščita Admin prijave: Datoteko .htaccess lahko uporabite za zaščito prijave v administratorsko okolje vaše WordPress spletne strani tako, da določite IP naslove, preko katerih je prijava mogoča. Na ta način se v WordPress nadzorno ploščo ne bo mogel prijaviti nihče drug. Slabost te zaščite je, da potrebujete statični IP naslov in da boste do nadzorne plošče lahko dostopali le s točno določenih IP naslovov. Ne pozabite zamenjati IP naslova v kodi z vašim:
AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "WordPress Admin Access Control"AuthType Basic<LIMIT GET POST> order deny,allow deny from all allow from xx.xx.xx.xx</LIMIT>
- Onemogočanje brskanja po mapah: Z omogočenim brskanjem po mapah imajo hekerji možnost videti strukturo vaših datotek in map ter na ta način najti ranljive datoteke. Da se tem izognete, vam priporočamo ureditev blokade brskanja z dodajanjem spodnje vrstice:
Options -Indexes
- Zaščita datoteke wp-config.php: Wp-config.php je ena najpomembnejših datotek vaše WordPress spletne strani, saj vključuje pomembne informacije o vaši bazi in o dostopih do nje. Zaščitite jo z naslednjo kodo:
<files wp-config.php> order allow,deny deny from all</files>
- Blokiranje sumljivih IP naslovov: Če ste zaznali nenavadne obiske na vaši spletni strani iz določenega IP naslova, gre zelo verjetno za hekerje, ki poskušajo vdreti v vašo stran. Blokirate jih lahko z:
<Limit GET POST> Order Allow,Deny Allow from All Deny from xx.xx.xx.xx Deny from xx.xx.xx.xx</Limit>
- Zaščita .htaccess pred vdori: Zaradi pomembnosti same datoteke .htaccess vam priporočamo, da tudi dostop do nje zaščitite pred nezaželenimi obiski:
<files .htaccess> order allow,deny deny from all</files>
- Blokiranje pregledovanja uporabnikov: Pogosto uporabljena tehnika za t.i. Brute force napade je, da hekerji naredijo pregled vseh uporabnikov na WordPress strani in poskusijo ugotoviti gesla za prijavo v spletno stran. To lahko preprečite z:
# BEGIN block author scansRewriteEngine OnRewriteBase /RewriteCond %{QUERY_STRING} author=([0-9]*)RewriteRule ^.*$ - [L]# END block author scans - Zaščita vtičnikov: Vtičniki so nepogrešljiv del vsake WordPress strani in pogosto so tudi ranljivi. Tipičen napad na WordPress stran običajno v določenih mapah za kasnejše dostope shrani PHP datoteke. Te mape so običajno /wp-includes/ in /wp-content/uploads/, kjer po napadu zasledimo PHP datoteke. Z .htaccess lahko omejite izvajanje PHP datotek v določenih mapah:
<files *.php> deny from all</files>
Pohitritev spletne strani
Z ustrezno kodo lahko s pomočjo .htaccess datoteke tudi pošteno pohitrite nalaganje svoje spletne strani. Datoteko .htaccess lahko uporabite za podatkovno kompresijo in predpomnenje brskalnika. S spodnjim zapisom boste omogočili t.i. browser caching in gzip kompresijo:
<IfModule mod_expires.c> ExpiresActive On ExpiresDefault "access plus 1 month" ExpiresByType image/jpeg "access plus 1 year" ExpiresByType image/gif "access plus 1 year" ExpiresByType image/png "access plus 1 year" ExpiresByType text/css "access plus 1 month" ExpiresByType application/javascript "access plus 1 month"</IfModule><IfModule mod_deflate.c> AddOutputFilterByType DEFLATE text/plain AddOutputFilterByType DEFLATE text/html AddOutputFilterByType DEFLATE text/xml AddOutputFilterByType DEFLATE text/css AddOutputFilterByType DEFLATE application/xml AddOutputFilterByType DEFLATE application/xhtml+xml AddOutputFilterByType DEFLATE application/rss+xml AddOutputFilterByType DEFLATE application/javascript AddOutputFilterByType DEFLATE application/x-javascript</IfModule>
Uporaba .htaccess datoteke pri odpravljanju napak in optimizaciji WordPressa
Odpravljanje napak s pomočjo .htaccess
V kolikor pride do napačno nastavljenih preusmeritev (recimo s strani WP, ki je SEO prijazen, ali vtičnikov kot so WordPress SEO, Cache…), se kaj hitro lahko zgodi, da stran prične preusmerjati uporabnike na URL, ki jih potem spet prav za prav preusmerja na klicani (že preusmerjeni) URL. Takšna napaka se pojavi, kadar strežnik ne more identificirati težave. Če se vaša stran sesuje, lahko včasih rešite težavo z odstranitvijo obstoječe .htaccess datoteke ali pa jo nadomestite z osnovno različico.
WordPress je kodiran v PHP programskem jeziku. Nekateri ponudniki gostovanj imajo te vrednosti na najvišji možni čas, medtem ko drugi na nižji čas. Če želite povečati PHP čas izvedbe (npr. zaradi težav pri nalaganju večjih datotek), lahko to storite v .htaccess datoteki:
php_value max_execution_time 300V kodi je napisano, da je maksimalen čas izvedbe nastavljen na 300 sekund oz. 5 minut. Če vam metoda preko .htaccess datoteke ne odgovarja, si lahko naložite WP Maximum Execution Time Exceeded vtičnik.
Čiščenje .htaccess po odstranitvi vtičnikov
Odstranjeni vtičniki lahko za seboj pustijo precej nepotrebnih podatkov, včasih tudi v obliki zapisov v .htaccess datoteki. Pomembno je, da to datoteko tudi očistite, da ohranjate optimalno delovanje spletne strani.
- WP Rocket: Če ste za hitrostno optimizacijo uporabljali vtičnik WP Rocket, je potrebno v datoteki .htaccess odstraniti vse med vrsticama #BEGIN WP ROCKET in #END WP ROCKET (vključno s tema vrsticama).
- WP Super Cache: Podobno velja za vtičnik WP Super Cache. V datoteki .htaccess odstranite vse med vrsticama #BEGIN W3TC Page Cache core in #END W3TC Page Cache core (vključno s tema vrsticama).
Pomembni nasveti pri delu z .htaccess datoteko
Datoteka .htaccess je srce mnogih naprednih funkcij vaše spletne strani. Z malo znanja in previdnosti lahko izkoristite njeno moč za boljšo izkušnjo uporabnikov, boljše uvrstitve v iskalnikih in boljšo varnost.
- Vedno naredite varnostno kopijo: Preden boste pričeli datoteko spreminjati, vam priporočamo, da si kopijo datoteke shranite na vaš računalnik. Preden se lotite odstranjevanja vrstic in tabel v podatkovni bazi, je nujno, da imate shranjeno varnostno kopijo podatkovne baze.
- Testiranje sprememb: Vsaka vrstica vsebuje ukaz, ki ga spletni strežnik izvede. Napaka v sintaksi lahko povzroči nedosegljivost spletne strani (npr. napaka 500). Zato je ključno, da vsako spremembo preizkusite.
- Kdaj prepustiti strokovnjakom: Včasih je urejanje .htaccess datoteke pametneje prepustiti tehnikom, ki redno urejajo podobne nastavitve.