Il file htaccess (abbreviazione di hypertext access) viene automaticamente aggiunto alla radice del tuo sito WordPress ed è nascosto. Potresti anche non averlo mai notato. Tuttavia, ci sono molte cose che puoi fare con il file htaccess.

I seguenti suggerimenti ti aiuteranno ad accelerare, proteggere il tuo blog WordPress e aiutarti a migliorare il tuo sito in una varietà di altri modi.

Basta essere consapevoli del fatto che il più piccolo errore in htaccess può causare grandi cambiamenti al tuo sito web o addirittura renderlo inaccessibile. Tieni traccia di tutto ciò che fai in modo da poter annullare le tue azioni se necessario.

Migliora la sicurezza del tuo sito WordPress con il file .htaccess

Migliora la sicurezza del tuo sito WordPRess tramite il file htaccess

1. Blocca l’accesso ai file di amministrazione a tutti gli indirizzi IP tranne il tuo

Se vuoi essere siciro che nessun altro indirizzo IP diverso dal tuo possa accedere alla directory wp_admin sul tuo sito web, esiste uno snippet di codice che consente di bloccare l’accesso a questa directory.

La directory wp_admin è dove si trovano tutti i file relativi alla dashboard di WordPress e tutte le funzioni amministrative come la scrittura di messaggi, la moderazione dei commenti, l’ installazione di temi e l’utilizzo di plugin.

Poiché WordPress consente l’accesso completo agli amministratori, il blocco dell’accesso ai file di amministrazione può impedire agli hacker di accedere al tuo sito. Per bloccare tutti gli indirizzi tranne il tuo, il codice da utilizzare è il seguente:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic <limit get>
order deny,allow
deny from all
allow from xx.xx.xx.xx
</limit>

2. Rendi inaccessibili i tuoi file di configurazione php

Il file wp-config.php contiene informazioni cruciali come nome utente, password e il nome del database in un formato non crittografato.

Il blocco di tutti gli accessi al file aggiunge un ulteriore livello di sicurezza, proteggendo il sito da occhi indiscreti. Poiché i file PHP sono nascosti, queste informazioni non sono visibili direttamente dal browser, ma se qualcuno dovesse hackerare un sito web, sarebbe uno dei primi file a cui tenterebbe di accedere a causa delle informazioni in esso contenute.

L’uso di questo snippet di codice migliora significativamente la sicurezza del tuo sito:

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

3. Proteggi i tuoi file plugin di WordPress

I plugin sono molto utili, ma possono anche rendere il tuo sito web vulnerabile agli attacchi. A volte i file dei plugin consentono l’accesso diretto agli utenti non autorizzati, il che costituisce un grave problema di sicurezza.

Usa le seguenti quattro righe di codice per impedire a chiunque tranne te di avere accesso diretto ai file del tuo plugin.

<files ~ ".(js|css)$" = ".(js|css)">
order allow,deny
allow from all
</files>

Migliora la velocità del tuo sito WordPress con il file .htaccess

htaccess per aumentare la velocità del sito WordPress

1. Utilizza il file htaccess per la memorizzazione forzata nella cache

Sebbene la memorizzazione forzata nella cache non acceleri il caricamento iniziale di una pagina, se una pagina è stata caricata una volta su un browser specifico, la memorizzazione nella cache forzata può restituire un codice 304 e accelerare il caricamento della pagina se non è cambiato nulla.

FileETag MTime Size
ExpiresActive on
ExpiresDefault "access plus x seconds"

2. Proibisci l’hotlinking delle immagini

L’hotlinking consente a terzi di utilizzare l’indirizzo di un file, molto spesso un’immagine, e di visualizzarlo su un altro sito senza salvarlo prima sul proprio server.

Ciò comporta un aumento del volume di dati sul sito originale, senza che il proprietario sia in grado di fare nulla.

Ecco uno snippet di codice per impedire questo attività poco elegante:

# Hotlinking banni
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http:// www.domaine /.*$ [NC] [OR]
RewriteCond %{HTTP_REFERER} !^http://www.domaine /.*$ [NC] [OR]
RewriteRule .*\.(gif|GIF|jpg|JPG|bmp|BMP|wav|mp3|wmv|avi|mpeg)$ - [F]

3. Aumenta la memoria PHP

L’uso di PHP è soggetto a un limite di memoria sul server. Questa può essere aumentata secondo necessità usando la seguente direttiva:

# PHP Memory Limit
php_value memory_limit 128M

Elimina visitatori e bot indesiderati dal tuo sito utilizzando il file htaccess

file htaccess per limitare l'accesso ai robot spam

1. Creare una blacklist per impedire l’accesso al sito da determinati indirizzi IP

I siti web sono creati per ricevere visitatori ma, a volte, questi visitatori possono essere indesiderati e il file htaccess può essere utilizzato per bloccarli.

Il codice per creare la tua blacklist è il seguente:

<limit get="GET" post="POST" put="PUT">
order allow,deny
allow from all
deny from xxx.xx.xxx.xxx
deny from xxx.xx.xxx.xxx
deny from xxx.xx.xxx.xxx
deny from xxx.xx.xxx.xxx
</limit>

Puoi aggiungere tutti gli indirizzi IP che desideri per evitare che il tuo sito venga disturbato. Se qualcuno spamma sul tuo sito, questo piccolo snippet di codice è il tuo nuovo migliore amico.

2. Impedisci a un utente di accedere al tuo sito

Abbiamo appena visto lo snippet di codice che ti consente di bloccare diversi indirizzi IP del tuo sito, ma a volte capita che solo un utente presenti un problema.

In questo caso, è possibile utilizzare uno snippet di codice più breve che blocca solo questo indirizzo IP. Per fare ciò, aggiungi semplicemente lindirizzo IP da bloccare nel seguente codice.

## USER IP BANNING
<limit get post="POST">
order allow,deny
deny from xxx.xx.xxx.xxx
allow from all
</limit>

L’uso di questo snippet di codice consente l’accesso a tutti tranne all’IP che ti ha causato problemi.

3. Impedisci agli spammer di pubblicare sul tuo blog

Per capire come funziona questo tipo di spam, immagina un lettore di blog umano che leggendo un post e decide di lasciare un commento. La finestra di dialogo dei commenti sarà riferita alla pagina in cui si trova l’articolo.

Uno spammer non è umano e non legge i tuoi articoli. Fa quello che viene chiamato “no referrer requests”, il che significa che la finestra di dialogo di commento è stata la prima richiesta fatta.

Il codice seguente può negare questo tipo di richieste e rimuovere l’attività spambot dal tuo sito web:

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post.php*
RewriteCond %{HTTP_REFERER} !.*yourblog.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

Puoi utilizzare l’ultima riga di questo snippet di codice per inviare gli spammer altrove. Fai attenzione a non inviarli chissà dove!

Conclusione

Usando semplici snippet di codice, puoi velocizzare il tuo sito, scoraggiare gli hacker, migliorare la tua sicurezza, tenere lontano gli spammer … Ma il file htaccess non dovrebbe essere modificato alla leggera!!!

Dopo ogni modifica al tuo file htaccess, aggiorna la tua pagina per assicurarti che il tuo sito web sia ancora online o controlla il tuo file di debug. Poiché un singolo errore può rovinare tutto, è importante sapere esattamente quando sono comparsi i problemi per la prima volta. Ciò ridurrà il numero di righe di codice da correggere. Salva il file funzionante prima di ogni futura modifica in modo da poter annullare facilmente.

Questo elenco è ovviamente lungi dall’essere esaustivo in quanto il file htaccess consente di tutto. 

Buon lavoro!