WordPress .htaccess-Datei: So verwendest du die .htaccess-Datei
WordPress .htaccess-Datei: die .htaccess-Datei ist eine wichtige WordPress-Kerndatei, die häufig zum Hinzufügen, Ändern und Überschreiben von Konfigurationen, Sicherheits- und Leistungsparametern auf Serverebene verwendet wird.
Was ist eine .htaccess-Datei?
Eine .htaccess-Datei ist das Herz deiner Website, die grundlegende Regeln enthält, die die gesamte Kommunikation mit deiner WordPress und deinem Webhosting regelt. Insbesondere kannst du die .htaccess-Datei in WordPress für Aufgaben wie die Steuerung des Zugriffs auf Webseiten, die Verbesserung der Sicherheit und Leistung verwenden.
Aber Vorsicht!
Ein einzelner falsch platzierter Punkt (.) kann deine Website möglicherweise zum Absturz bringen. Bevor du also Änderungen an der .htaccess-Datei vornimmst, sichere die Datei zuerst an einem externen Ort. Wenn etwas schief geht oder du Hilfe benötigst, wende dich an deinen Webhosting-Anbieter oder einen versierten Webmaster.
Die Standard .htaccess-Datei in WordPress
Die .htaccess-Datei wird mit jeder WordPress-Installation mitgeliefert und befindet sich im Allgemeinen im Stammverzeichnis. Angesichts der Wichtigkeit der Datei ist sie oft ausgeblendet (sie hat keine Dateierweiterung) und erscheint nicht in den Datei- und Ordnerlisten, hauptsächlich weil der Dateimanager sie aus Sicherheitsgründen ausblendet.
In seltenen Fällen ist es möglich, dass sich keine .htaccess-Datei im Root-Ordner befindet. Wenn dies bei dir der Fall ist, kannst du eine .htaccess-Datei in WordPress mit Notepad (oder einem beliebigen Texteditor deiner Wahl) erstellen und unter dem Namen „.htaccess“ speichern. Stelle den „Dateityp“ auf „Alle Dateien“ ein und lade sie in das Stammverzeichnis deiner WordPress-Installation hoch.
WICHTIG: Stelle sicher, dass der Dateiname NICHT „htaccess“ ohne (.) lautet – sondern .htaccess mit einem Punkt (.) am Anfang.
So sieht die standardmäßige .htaccess-Datei für WordPress aus:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L
</IfModule>
# END WordPressFalls die .htaccess-Datei in deinem Root-Verzeichnis noch nicht existiert, kannst du sie im WordPress Dashboard erstellen unter: -> Einstellungen -> Permalinks und dann klickst du auf „Änderungen speichern“ wie im nachstehenden Bild dargestellt. Dadurch wird die standardmäßige .htaccess-Datei für WordPress im Stammverzeichnis generiert.
Die standardmäßige .htaccess-Datei von WordPress verarbeitet nur Permalinks deiner Website. Dies kann jedoch geändert werden und es können zusätzliche Regeln hinzugefügt werden. Damit kannst du steuern, wie der Apache-Webserver mit betriebsbezogenen Anfragen umgeht.
Wie bearbeite ich eine .htaccess Datei in WordPress?
Um die .htaccess-Datei in WordPress zu bearbeiten, gehe in dein Stammverzeichnis. Dies kannst du über den von deinem WordPress-Provider oder Hoster bereitgestellten Dateimanager vornehmen oder über einen FTP-Client wie FileZilla.
Melde dich bei deinem Webhosting-Konto an und navigiere zum Ordner „public_html“ und suche in der WordPress-Installation nach der .htaccess-Datei.
Klicke die Datei mit der rechten Maustaste an und klicke dann auf die Option „Anzeigen/Bearbeiten“, um sie in deinem bevorzugten Texteditor zu öffnen. Bearbeite die erforderlichen Änderungen und speicher die Datei.
Eine andere Möglichkeit, die WordPress .htaccess-Datei zu bearbeiten, besteht darin, eine Kopie auf dem lokalen System zu erstellen. Wenn du fertig bist, ersetze die Live-Version über FTP oder dem Dateimanager.
WordPress .htaccess-Weiterleitungen
Wie oben gezeigt kann die .htaccess-Datei in WordPress verwendet werden, um Website-Weiterleitungen zu steuern. Hier sind einige häufig verwendete Regeln, die dir helfen, Weiterleitungen auf deinen WordPress-Websites einzurichten und zu steuern.
301 (permanente) Weiterleitung
Eine 301-Umleitung teilt Suchmaschinen mit, dass eine URL dauerhaft an einen anderen Ort verschoben wurde. Dies ist nicht nur auf URLs beschränkt und du kannst einen Ordner, eine Seite oder sogar eine komplette Website umleiten. Das folgende Snippet leitet die alteseite.html zu neueseite.html um:
Redirect 301 /alteseite.html http://www.ihrewebsite.com/neueseite.html302 (vorübergehende) Weiterleitung
Im Gegensatz zu 301 teilt die 302-Weiterleitung Suchmaschinen mit, dass diese Weiterleitung vorübergehend ist. Dies ist eine großartige Möglichkeit, SERP-Shuffles zu verlangsamen (oder sogar zu verhindern). Füge der .htaccess-Datei die folgende Zeile hinzu:
Redirect 302 /alteseite.html http : //www.ihrewebsite.com/neueseite.htmlURL auf www erzwingen
Die folgende .htaccess-Regel in WordPress leitet alle Besucher von example.com um auf: www.example.com.
RewriteEngine on
RewriteCond %{HTTP_HOST} ^example.com [NC]
RewriteRule ^(.*)$ http://www.example.com/$1 [L,R=301,NC]URL auf nicht-www erzwingen
Die folgende .htaccess-Regel leitet alle Besucher von www.example.com um auf example.com.
RewriteEngine on
RewriteCond %{HTTP_HOST} ^www.example.com [NC]
RewriteRule ^(.*)$ http://example.com/$1 [L,R=301]HTTPs erzwingen
Die folgende Regel in der .htaccess-Datei von WordPress zwingt alle deine Besucher, für alle URLs HTTPS anstelle von HTTP zu verwenden.
RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} !https
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]HTTP erzwingen
Die folgende Regel in der htaccess-Datei für WordPress zwingt deine Besucher, für alle URLs HTTP statt HTTPS zu verwenden.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP:X-Forwarded-Proto} ^https$
RewriteRule .* http://%{HTTP_HOST}%{REQUEST_URI}</IfModule>Domain auf Unterverzeichnis umleiten
Die folgende Regel leitet die Stamm-URL der Domain in das Unterverzeichnis deiner Wahl um.
RewriteCond %{HTTP_HOST} ^example.com$
RewriteCond %{REQUEST_URI} !^/sub-directory-name/
RewriteRule (.*) /subdir/$1URL umleiten
Wenn du zwei Domains hast, die dieselbe Website bedienen, leitet die unten erwähnte .htaccess-Regel eine Domain zur anderen um.
Redirect 301 / http://www.mynewwebsite.com/
WordPress .htaccess Sicherheitstipps
Die .htaccess-Datei kann auch verwendet werden, um WordPress-Verzeichnisse und WordPress-Dateien auf dem Server zu sichern. Hier sind ein paar sehr wichtige Regeln, die Benutzer anwenden können, um WordPress-Websites zu sichern.
Wie kann ich die .htaccess schützen?
Die .htaccess-Datei kann potenziell die gesamte Website kontrollieren. Vor diesem Hintergrund ist es von größter Bedeutung, dass die .htaccess vor unbefugten Benutzern geschützt wird. Mit dem folgenden Snippet kannst du den Zugriff für alle nicht autorisierten Benutzer einschränken.
Kopiere einfach das Snippet und füge es in die .htaccess-Datei ein.
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>
Wie kann ich den Zugriff auf das WordPress-Admin-Panel beschränken?
Stelle dir das (schreckliche) Szenario vor, dass jemand Zugriff auf dein WordPress-Admin-Panel erhält. Ein solcher Angriff kann deine Website extrem beschädigen oder komplett vernichten.
Um dies zu verhindern, kannst den Zugriff auf das WordPress-Admin-Panel nur auf eine bestimmte IP(s) beschränken.
Erstell dazu eine weitere .htaccess-Datei und füge das folgende Snippet darin ein. Als nächstes lade es in den Ordner „www.yourwebsite.com/wp-admin/“ per FTP hoch.
# Limit logins and admin by IP
<Limit GET POST PUT>
order deny,allow
deny from all
allow from xx.xx.xx.xx
</Limit>Hinweis: Vergesse nicht, „xx.xx.xx.xx“ im obigen Code durch deine erlaubte IP-Adresse zu ersetzen.
Wenn sich nun jemand nicht auf der genehmigten IP-Liste befindet, kann er sich nicht auf deiner Website anmelden. Stattdessen würde der folgende Fehler angezeigt:
„interner Serverfehler„
Wie kann ich wichtige Dateien sichern?
Du kannst die Datei .htaccess in WordPress verwenden, um wichtige Dateien wie Fehlerprotokolle, wp-config.php und php.ini zu schützen. Verwende dazu das folgende Snippet:
<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$">
Order deny,allow
Deny from all
</FilesMatch>Wie kann ich die Datei wp-config.php schützen?
In deiner WordPress-Installation ist die Datei wp-config.php die Datei, in der das Hosting, die Datenbank und andere wichtige Anmeldeinformationen gespeichert werden. Es ist also existenziell, dass diese Datei vor jedem unbefugten Zugriff geschützt wird.
Kopieren dazu einfach die folgenden Zeilen und fügen sie in deine .htaccess-Datei ein.
<files wp-config.php>
order allow,deny
deny from all
</files>Wie kann ich den Ordner /wp-content/ schützen?
Im Ordner „wp-content“ liegen alle wichtigen Dateien deines Themes, die Plugins, die Medien und zwischengespeicherten Dateien. Deshalb ist dieses Verzeichnis das Hauptziel von Hacker-Angriffen und Spammer nutzen ihn besonders gerne. Um diesen Ordner vor unbefugtem Zugriff zu schützen, erstelle eine separate .htaccess-Datei im Ordner „wp-content“. Kopiere als Nächstes das folgende Snippet und füge es in die Datei ein:
Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>Mit der obigen Regel könnten Benutzer nur Dateien mit den zulässigen Erweiterungen (XML, CSS, JPG, JPEG, PNG, GIF und JavaScript) hochladen. Alle anderen Dateitypen werden abgelehnt.
Wie kann ich wp-includes Dateien schützen?
Einige Bereiche deiner WordPress-Installation sollten für den durchschnittlichen Benutzer niemals zugänglich sein. Es empfiehlt sich immer, den gesamten Zugriff auf diese Dateien zu blockieren. Du kannst die Zugriffsbeschränkungen einrichten, indem du das folgende Snippet zu deiner .htaccess-Datei hinzufügst.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>Wie kann ich die PHP-Ausführung deaktivieren?
Das Einschränken der Ausführung von PHP-Code für alle oder ausgewählte Verzeichnisse der WordPress-Website ist eine wichtige Sicherheitspraxis. Erstelle eine htaccess-Datei in einem Ordner, in dem du keine PHP-Skripte ausführen möchtest und füge das folgende Snippet hinzu.
<Files *.php>
deny from all
</Files>Bestimmte WordPress-Ordner wie /wp-includes/ und /wp-content/uploads/ sind standardmäßig beschreibbar. Diese Art von Berechtigung ermöglicht es Benutzern, Medien oder verschiedene Dateitypen hochzuladen. Es wird immer empfohlen, die PHP-Ausführung in diesen Verzeichnissen zu deaktivieren.
Wie kann ich Dateizugriffe einschränken?
Das Einschränken des Zugriffs auf wp-admin ist eine wichtige Anforderung, insbesondere wenn mehrere Teammitglieder an der Verwaltung und Aktualisierung der Website beteiligt sind.
In der Praxis bedeutet dies, dass die Benutzer nicht auf sensible Dateien wie Plugins, Designs und Assets-Ordner zugreifen können.
.htaccess ist eine großartige Möglichkeit, den direkten Zugriff auf die Bearbeitung von PHP-Dateien von Plugins und Themes zu schützen, wodurch es für Hacker schwieriger wird, bösartigen Code einzuschleusen. Füge dazu einfach die folgenden Zeilen in die Datei ein:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*\.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude\.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*\.php)$ - [R=404,L]Wie kann ich Injektionsschutz für Skripts vornehmen?
Script Injection ist eine berüchtigte Technik, bei der der Angreifer einen bösartigen Code in den Website-Code „injiziert“, um Daten zu extrahieren oder die Website zu übernehmen. Das Hinzufügen des folgenden Snippets in die WordPress Datei „.htaccess“ kann deine Website vor solchen Angriffen schützen.
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]Wie kann ich meine IP-Adresse blockieren?
Wenn jemand deine Website missbraucht, kontinuierlich spammt oder Hacking-Versuche startet, ist seine IP im WordPress-Adminbereich sichtbar. Um die IP zu blockieren, verwende einfach die .htaccess-Datei, um den Zugriff auf deine Website zu kontrollieren. Kopiere einfach das folgende Snippet und füge es in die .htaccess-Datei ein. Damit wird dieses spezielle Problem sofort behoben. Denke daran, die Beispiel-IP durch die des Spammers zu ersetzen.
<Limit GET POST>
order allow,deny
deny from 123.456.78.9
allow from all
</Limit>Wie kann ich Zugriff auf bestimmte Dateien verweigern?
Du willst den Zugriff auf bestimmte Dateien einschränken? Kein Problem. Verwende die folgende .htaccess-Regel, um den Zugriff auf einzelne Dateien zu blockieren.
<files your-file-name.txt>
order allow,deny
deny from all
</files>Wie kann ich die Verzeichnissuche deaktivieren?
Unbefugter Zugriff auf Website-Dateien und Ordner ist ein großes Sicherheitsrisiko, das möglicherweise die gesamte Website lahmlegen kann.
Durch Hinzufügen des folgenden Snippets zu deiner Datei .htaccess kann der Zugriff auf Website-Verzeichnisse für alle Benutzer kontrolliert und/oder deaktiviert werden.
# disable directory browsing
Options All -Indexeshtaccess-Regeln zur Performance Verbesserung
Die .htaccess-Datei in WordPress kann auch verwendet werden, um die Leistung / Performance deiner Website zu verbessern. Kopiere einfach die relevanten Snippets und füge sie in die .htaccess-Datei ein
Wie kann ich den Browser-Cache aktivieren?
Der Browser-Cache ist ein temporärer Speicher auf deinem System für die von deinem Webbrowser heruntergeladenen Dateien, um Websites ordnungsgemäß darzustellen. Diese Dateien können HTML, CSS, JavaScript sowie Bilder und andere Multimedia-Inhalte enthalten.
In der .htaccess-Datei von WordPress kannst du Regeln festlegen, wie lange bestimmte Dateien zwischengespeichert werden sollen. Die folgenden Ablaufgrenzen werden basierend auf der gängigen Verwendung festgelegt. Um das Browser-Caching zu aktivieren, füge das folgende Snippet in die htaccess-Datei ein.
<IfModule mod_expires.c>
ExpiresActive on
ExpiresDefault "access plus 1 month"
# CSS
ExpiresByType text/css "access plus 1 year"
# Data interchange
ExpiresByType application/json "access plus 0 seconds"
ExpiresByType application/xml "access plus 0 seconds"
ExpiresByType text/xml "access plus 0 seconds"
# Favicon (cannot be renamed!)
ExpiresByType image/x-icon "access plus 1 week"
# HTML components (HTCs)
ExpiresByType text/x-component "access plus 1 month"
# HTML
ExpiresByType text/html "access plus 0 seconds"
# JavaScript
ExpiresByType application/javascript "access plus 1 year"
# Manifest files
ExpiresByType application/x-web-app-manifest+json "access plus 0 seconds"
ExpiresByType text/cache-manifest "access plus 0 seconds"
# Media
ExpiresByType audio/ogg "access plus 1 month"
ExpiresByType image/gif "access plus 1 month"
ExpiresByType image/jpeg "access plus 1 month"
ExpiresByType image/png "access plus 1 month"
ExpiresByType video/mp4 "access plus 1 month"
ExpiresByType video/ogg "access plus 1 month"
ExpiresByType video/webm "access plus 1 month"
# Web feeds
ExpiresByType application/atom+xml "access plus 1 hour"
ExpiresByType application/rss+xml "access plus 1 hour"
# Web fonts
ExpiresByType application/font-woff2 "access plus 1 month"
ExpiresByType application/font-woff "access plus 1 month"
ExpiresByType application/vnd.ms-fontobject "access plus 1 month"
ExpiresByType application/x-font-ttf "access plus 1 month"
ExpiresByType font/opentype "access plus 1 month"
ExpiresByType image/svg+xml "access plus 1 month"
</IfModule>Wie kann ich Gzip-Komprimierung aktivieren?
Gzip ist ein äußerst leistungsfähiger Komprimierungsalgorithmus, der ähnliche Zeichenfolgen in einer Textdatei findet und sie vorübergehend ersetzt. Damit wird die Gesamtgröße der Datei erheblich verringert. Aus diesem Grund wird Gzip häufig als wichtiges Tool zur Optimierung der Seitenladegeschwindigkeit von Websites verwendet.
Die Gzip-Komprimierung wird häufig auf Serverebene verwendet und viele Hosting-Anbieter aktivieren sie standardmäßig. In einigen Cache-Plugins wie z.B. in „WP Rocket“ wird entsprechender Code automatisch eingefügt. Du kannst das dann in deiner .htaccess Datei kontrollieren. Wenn das jedoch aus irgendeinem Grund nicht funktioniert, kannst du das folgende Snippet zur .htaccess-Datei hinzufügen.
<IfModule mod_deflate.c>
# Compress HTML, CSS, JavaScript, Text, XML and fonts
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/vnd.ms-fontobject
AddOutputFilterByType DEFLATE application/x-font
AddOutputFilterByType DEFLATE application/x-font-opentype
AddOutputFilterByType DEFLATE application/x-font-otf
AddOutputFilterByType DEFLATE application/x-font-truetype
AddOutputFilterByType DEFLATE application/x-font-ttf
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE font/otf
AddOutputFilterByType DEFLATE font/ttf
AddOutputFilterByType DEFLATE image/svg+xml
AddOutputFilterByType DEFLATE image/x-icon
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/xml
# Remove browser bugs (only needed for really old browsers)
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4\.0[678] no-gzip
BrowserMatch \bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent
</IfModule>Wie kann ich Bild-Hotlinking steuern/beschränken?
Das Bild-Hotlinking kann die Bandbreitennutzung erheblich beeinträchtigen, da jedes Mal, wenn eine externe Ressource ein Bild anfordert, deine Serverbandbreite für die Bereitstellung des Bildes verwendet wird.
Um den Bandbreitenverbrauch aufgrund von Bild-Hotlinks zu reduzieren, kannst du das folgende Code-Snippet zur .htaccess-Datei hinzufügen:
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]htaccess für WordPress Multisite (WPMU)
Die standardmäßige .htaccess-Datei für WordPress Multisite unterscheidet sich geringfügig von der standardmäßigen WordPress .htaccess-Datei.
Standard-htaccess für WPMU-Unterordner
Wenn dein WordPress-Multisite Netzwerk auf Unterordnern basiert, sollte die standardmäßige .htaccess-Datei in etwa so aussehen:
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
# add a trailing slash to /wp-admin
RewriteRule ^([_0-9a-zA-Z-]+/)?wp-admin$ $1wp-admin/ [R=301,L]
RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^([_0-9a-zA-Z-]+/)?(wp-(content|admin|includes).*) $2 [L]
RewriteRule ^([_0-9a-zA-Z-]+/)?(.*\.php)$ $2 [L]
RewriteRule . index.php [L]Standard htaccess für WPMU SubDomains
Wenn deinWordPress-Multisite Netzwerk auf Subdomains basiert, sollte die standardmäßige .htaccess-Datei in etwa so aussehen:
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
# add a trailing slash to /wp-admin
RewriteRule ^wp-admin$ wp-admin/ [R=301,L]
RewriteCond %{REQUEST_FILENAME} -f [OR]
RewriteCond %{REQUEST_FILENAME} -d
RewriteRule ^ - [L]
RewriteRule ^(wp-(content|admin|includes).*) $1 [L]
RewriteRule ^(.*\.php)$ $1 [L]
RewriteRule . index.php [L]Fazit
Wenn es um die Serverkonfiguration geht, ist die WordPress .htaccess-Datei eine der wichtigsten Dateien auf deinem Server. Sie wird häufig verwendet, um deinen Webserver zu konfigurieren und verschiedene Bereiche deiner Website zu sichern und zu optimieren.
