НОВОСТИ, БЛОГ, ПОЛЕЗНОЕ

Ниже перечислены 19 возможных способов использования .htaccess для самых разных целей и приведены примеры кода.

Оглавление: {index}

Предназначение и расположение .htaccess

Этот файл позволяет управлять работой сервера с помощью особых команд, не меняя при этом ничего в главном конфигурационном файле, вроде .httpd.conf или apache.conf. Так вебмастера могут проводить настройку, особенно если у них нет доступа к главному файлу.

Пользуясь директивами в .htaccess, вы сможете настроить переадресацию для улучшения SEO, повысить безопасность, настроить отображение сайта в браузерах посетителей и улучшить время загрузки.

Расположение и редактирование файла

Если .htaccess расположен в корневой папке, то он будет задавать параметры для всего сайта. Если же поместить его в каталог, то он будет влиять только на этот каталог, и его директивы будут приоритетнее директив из корня. Можно иметь несколько версий этого файла: в разных каталогах и/или в корневой папке.

Также в некоторых CMS можно изменять файл с помощью административной панели. Например, в “Битрикс” он находится довольно легко, достаточно зайти в раздел “Контент – Файлы и папки”:

Даже если файл .htaccess отсутствует, можно просто создать его в любом текстовом редакторе и поместить его куда вам надо. Нужен всего лишь доступ к хостингу или по ftp.

Разметка файла .htaccess

У разметки файла .htaccess очень простые правила:

• каждая команда начинается с новой строки
• текст после знака # серверов не учитывается и может быть использован для комментарией
• все изменения вступают в силу сразу же, без перезагрузки

Один из способов установки правил – регулярные выражения. Необходимо понимать спецсимволы и переменные для их чтения.

Основные спецсимволы:

• ^ — начало строки;
• $ — конец строки;
• . — любой символ;
• * — любое количество любых символов;
• ? — один определенный символ;
• [0-9] — последовательность символов, например, от 0 до 9;
• | — символ «или», выбирается или одна группа, или другая;
• () — используется для выбора групп символов.

Основные переменные:

• %{HTTP_USER_AGENT} — поле User-Agent, которое передает браузер пользователя;
• %{REMOTE_ADDR} — IP адрес пользователя;
• %{REQUEST_URI} — запрашиваемый URI;
• %{QUERY_STRING} — параметры запроса после знака ?.

Настройка редиректов для SEO.

Это самый популярный способ применения .htaccess, но некоторые CMS уже имеют включенную переадресацию на страницы со слешем. Вы можете прочитать в нашем блоге о настройках переадресации для SEO.

Два главных правила:

1. Идущие подряд последовательные перенаправления нагружают сервер и замедляют работу сайта, избегайте их.

2. Организуйте перенаправления от частных к глобальным.

1. Настройка 301 редиректов между страницами.

Когда и зачем это нужно:

• при изменении уровня вложенности у отдельной страницы;
• если данной страницы больше нет;
• при изменении URL.

Достаточно использовать команды простого перенаправления для 301 редиректа:

Redirect 301 /page1/ https://mysite.com/page2/

/page1/ — адрес страницы от корня, домен и протокол не указываем. Пример: /catalog/ofisnaya-mebel/kompjuternye-stoly/.

https://mysite.com/page2/ — полный адрес страницы переадресации. Пример: https://dom-mebeli.com/ofisnaya-mebel/stoly-v-ofis/.

2. Удаление дублей.

У каждой страницы должен быть лишь один адрес. Для этого необходимо настроить две вещи:

• переадресацию на страницы со слешем и без.
• “главное зеркало” — главный адрес сайта.

Для этого используется модуль mod_rewrite. Первой из них всегда идёт команда, запускающая изменения URL:

RewriteEngine On

Куда перенаправить: на слеш или нет?

Каждый вебмастер решает сам, куда лучше перенаправлять. Если у вас сайт новый, то обычно переадресация будет на страницу со слешем. Если же он существует достаточно долго, то лучше проверить, какие страницы чаще встречаются в индексе.

Можно проверить, нет ли редиректа по умолчанию, просто добавив или удалив слеш в конце адреса. Если произойдёт загрузка с новым адресом, то имеется дубль и нужна настройка. Лучше провести проверку с разными уровнями вложенности.

Код 301 редиректа на слеш:

RewriteCond %{REQUEST_URI} /+[^.]+$

RewriteRule ^(.+[^/])$ %{REQUEST_URI}/ [R=301,L]

Код 301 редиректа на страницы без слеша:

RewriteCond %{REQUEST_URI} !?

RewriteCond %{REQUEST_URI} !&

RewriteCond %{REQUEST_URI} !=

RewriteCond %{REQUEST_URI} !.

RewriteCond %{REQUEST_URI} ![^/]$

RewriteRule ^(.*)/$ /$1 [R=301,L]

3. Настройка главного зеркала.

Выберите адрес, который будет основным.

Редирект на HTTPS

RewriteEngine On

RewriteCond %{HTTPS} !on

RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}>

Решите главное зеркало без “www” или с ним:

• в консоли Яндекс.Вебмастер можно увидеть, какой адрес поисковик считает основным, добавив оба варианта;
• вычислить, каких страниц больше в индексе поиска, проведя анализ выдачи;
• для нового сайта без истории поиска разницы нет.

Переадресация с www на без www

RewriteEngine On

RewriteCond %{HTTP_HOST} ^www.(.*)$ [NC]

RewriteRule ^(.*)$ http://%1/$1 [R=301,L]

Переадресация с без www на www

RewriteEngine On

RewriteCond %{HTTP_HOST} !^www..* [NC]

RewriteRule ^(.*) http://www.%{HTTP_HOST}/$1 [R=301]

4. Перенаправление между разными доменами.

Этот тип переадресации используется, чтобы помочь посетителям выйти на ваш новый адрес.

Примените один из двух вариантов кода:

RewriteEngine On

RewriteRule ^(.*)$ http://www.mysite2.com/$1 [R=301,L]

или

RewriteEngine on

RewriteCond %{HTTP_HOST} ^www.mysite1.ru$ [NC]

RewriteRule ^(.*)$ http://www.mysite2.ru/$1 [R=301,L]

Замените «mysite1» адресом старого домена, а «mysite2» – вашего нового.

Усиление безопасности с помощью .htaccess

Файл .htaccess защитит от таких угроз, как:

• опасные скрипты;
• воровство контента;
• DOS-атаки.

5. Запрет скачивания изображений с сайта.

Чтобы пресечь воровство контента с вашего сайта посредством хотлинков, используйте такой вот код:

Options +FollowSymlinks

RewriteEngine On

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^https://(www.)?mysite.com/ [nc]

RewriteRule .*.(gif|jpg|png)$ https://mysite.com/img/goaway.gif[nc]

Укажите свой адрес вместо «mysite.com» и добавьте изображение на адрес https://mysite.com/img/goaway.gif, которое и увидят посетители и владельцы сайта-вора.

6. Ограничение доступа.

Используя эти команды, вы можете ограничить доступ к сайту для:

• нежелательных посетителей;
• группам определенных IP-адресов;
• из определенных подсетей;
• различным вредительским ботам.

Против вредных или ненужных User Agents (ботов):

SetEnvIfNoCase user-Agent ^FrontPage [NC,OR]

SetEnvIfNoCase user-Agent ^Java.* [NC,OR]

SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR]

SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR]

SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR]

SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR]

SetEnvIfNoCase user-Agent ^Zeus [NC]

<limit get=”” post=”” head=””>

Order Allow,Deny

Allow from all

Deny from env=bad_bot

</limit>

Список можете составить на свой вкус.

Также вы можете закрыть свой сайт от роботов-поисковиков. Например, вы можете ограничить доступ для Google при помощи таких команд:

RewriteEngine on

RewriteCond %{USER_AGENT} Googlebot

RewriteRule .* - [F]

«Белый список», или ограничение для всех, кроме выбранных IP

ErrorDocument 403 https://mysite.com

Order deny,allow

Deny from all

Allow from IP1

Allow from IP2 и т. д.

Адрес «mysite.com» нужно поменять на соответствующий вашему ресурсу, а IP1, IP2 и так далее – на разрешенные IP-адреса.

“Чёрный список”, или ограничение только для выбранных IP

allow from all

deny from IP1

deny from IP2 и т. д.

Ограничение по выбранной подсети

allow from all

deny from 192.168.0.0/24

После «deny from» укажите маску подсети.

IP-адреса авторов комментариев видны в логах сервера или в панели администрирования.

Ограничение доступа к файлу

<files myfile.html>

order allow,deny

deny from all

</files>

Вместо «myfile.html» пишите название своего файла. При попытке получить к нему доступ будет отображаться ошибка 403.

Нужно защитить и сам .htaccess, когда закончите работу с правилами в нём. Рекомендуем установить на него “только чтение” для всех групп пользователей.

<Files .htaccess>

order allow,deny

deny from all

</Files>

Ограничение переходов с конкретных сайтов

Можно также ограничивать доступ с конкретных сайтов.

RewriteEngine on

RewriteCond %{HTTP_REFERER} bad-site.com [NC,OR]

RewriteCond %{HTTP_REFERER} bad-site.com [NC,OR]

RewriteRule .* - [F]

7. Защита доступа к конкретному файлу или папке.

Создайте новый файл под названием .htasswd в корне. Впишите логины с паролями по типу «user:password». Зашифруйте пароли, используя генераторы, вроде этого. Затем вносите файлы или разделы в .htaccess:

Защита доступа к файлу

AuthType Basic

AuthName “”

AuthUserFile /pub/home/.htpasswd

Require valid-user

Защита доступа к папке

resides

AuthType basic

AuthName “This directory is protected”

AuthUserFile /pub/home/.htpasswd

AuthGroupFile /dev/null

Require valid-user

Укажите, начиная с корневой папки, путь к созданному файлу .htpasswd, вместо «/pub/home/.htpasswd». Проверьте доступ после завершения работы.

8. Пресечение вредоносных скриптов.

От атак хакеров с помощью «скриптовых инъекций» защитят эти команды:

Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]

9. Предотвращение DOS-атак.

Для защиты от DOS-атак укажите максимальный лимит на размер загружаемых файлов в байтах.

LimitRequestBody 10240000

Для полного запрета на любые загрузки, укажите значение ниже 1 МБайта. Почитайте официальную документацию, чтобы изучить команды LimitRequestFields, LimitRequestFieldSize и LimitRequestLine.

Настройка отображения сайта

10. Замена индексного файла.

Индексный файл по умолчанию открывается при обращении к тому или иному каталогу.

В структуре каталога он выглядит вот так вот:

Чтобы открывался другой файл, в этом же каталоге нужно добавить .htaccess и прописать:

DirectoryIndex hello.html

Адрес нужного файла пропишите на месте «hello.html». Можно написать несколько файлов, тогда при недоступности первого будет загружаться второй в строке, и так далее, по порядку.

DirectoryIndex hello.html hello.php hello.pl

11. Добавление или удаление html в конце адреса.

Удалять или нет расширение в конце адреса – дело вкуса.

Добавление расширения:

RewriteCond %{REQUEST_URI} (.*/[^/.]+)($|?)

RewriteRule .* %1.html [R=301,L]

RewriteRule ^(.*)/$ /$1.html [R=301,L]

Удаление расширения:

RewriteBase /

RewriteRule (.*).html$ $1 [R=301,L]

Точно также удаляется или добавляется .php.

12. Настройка кодирования.

Необходимо передавать браузерам, какая кодировка используется для сайта, чтобы они корректно отображали его содержимое.

С помощью .htaccess можно задать кодировку, если она ещё не задана у каждой страницы сайта в метатеге.

В пределах одного ресурса кодировки должны совпадать во всех подобных командах для правильной работы сайта.

Эта команда устанавливает для всех файлов UTF-8:

AddDefaultCharset UTF-8

А эта директива преобразует в Windows-1251 все файлы, которые будут загружены на сервер:

CharsetSourceEnc WINDOWS-1251

13. Создание персонализированных страниц ошибок.

Команды в .htaccess позволяют отображать специально созданные страницы ошибок вместо стандартных. Прежде чем писать их, нужно в корневую папку поместить подпапку с названием «error» и загрузить в неё для каждой страницы с сообщением об ошибке соответствующий файл.

ErrorDocument 401 /error/401.php

ErrorDocument 403 /error/403.php

ErrorDocument 404 /error/404.php

ErrorDocument 500 /error/500.php

С кастомной страницей пользователь сможет пройти по указанным вами ссылкам на работающие разделы вашего ресурса.

Оптимизация функционирования сайта.

Вы можете сделать загрузку быстрее с помощью .htaccess, используя кэширование и/или сжатие компонентов.

14. Сжатие компонентов сайта.

Сжатые файлы ускоряют загрузку, но сильнее нагружают сервер. Используйте один из модулей:

• mod_zip. Подходит для работы с масками.
• mod_deflate. В нем сжимаемые типы файлов нужно перечислять.

Модуль Gzip:

mod_gzip_on Yes

mod_gzip_dechunk Yes

mod_gzip_item_include file .(html?|txt|css|js|php|pl)$

mod_gzip_item_include handler ^cgi-script$

mod_gzip_item_include mime ^text/.*

mod_gzip_item_include mime ^application/x-javascript.*

mod_gzip_item_exclude mime ^image/.*

mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*

Модуль mod_deflate:

AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/css text/javascript application/javascript application/x-javascript

15. Усиленное кэширование.

При повторном посещении кэшированный контент ускоряет загрузку ресурса.

FileETag MTime Size

<ifmodule mod_expires.c>

<filesmatch “.(jpg|gif|png|css|js)$”>

ExpiresActive on

ExpiresDefault “access plus 1 week”

</filesmatch>

</ifmodule>

Вместо «1 week» вы можете указать любую подходящую вам единицу измерения времени и в любом количестве.

ExpiresActive On

ExpiresByType application/javascript "access plus 7 days"

ExpiresByType text/javascript "access plus 7 days"

ExpiresByType text/css "access plus 7 days"

ExpiresByType image/gif "access plus 7 days"

ExpiresByType image/jpeg "access plus 7 days"

ExpiresByType image/png "access plus 7 days"

Кэшируются такие виды контента, как:

• image/x-icon;
• image/jpeg;
• image/png;
• image/gif;
• application/x-shockwave-flash;
• text/css;
• text/javascript;
• application/javascript;
• application/x-javascript;
• text/html;
• application/xhtml+xml.

Дополнительные возможности

16. Контроль настроек php.

Если программисты доступом непосредственно к файлу php.ini не располагают, то они могут работать с настройками php через .htaccess.

php_value upload_max_filesize 125M

php_value post_max_size 20M

php_value max_execution_time 60

Что эти строки, собственно, означают:

• «upload_max_filesize» – это лимит в мегабайтах для загружаемых файлов;
• «post_max_size» – это лимит для объема постинга;
• «max_execution_time» – предельное время на обработку скриптов, указанное в секундах.

17. Борьба со спам-комментариями через WordPress.

Чтобы спамеры не могли добраться до файла wp-comments-post.php, используйте следующие команды:

RewriteEngine On

RewriteCond %{REQUEST_METHOD} POST

RewriteCond %{REQUEST_URI} .wp-comments-post.php*

RewriteCond %{HTTP_REFERER} !.*mysite.com.* [OR]

RewriteCond %{HTTP_USER_AGENT} ^$

RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

18. Установка электронной почты для администрации.

Сообщения обо всех важных событиях на сервере будут идти на один конкретный адрес электронной почты.

ServerSignature EMail

SetEnv SERVER_ADMIN Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.

19. Предупреждения о недоступности по техническим причинам

Иногда возникают непредвиденные обстоятельства и сайт оказывается по каким-либо техническим причинам. Замените своим адресом IP-адрес из нашего примера кода, а адрес страницы с сообщением о работах впишите в последнюю строку.

RewriteEngine on

RewriteCond %{REQUEST_URI} !/info.html$

RewriteCond %{REMOTE_HOST} !^12.345.678.90

RewriteRule $ https://mysite.ru/info.html [R=302,L]

Памятка по принципам работы с файлом .htaccess

• Перед любыми изменениями, чтобы была возможность «откате» – делайте копию файла;
• Вносите изменения по одному и проверяйте, как работает сайт, прежде чем вносить следующее;
• При создании нескольких копий .htaccess в разных каталогах, версия в дочернем подразделе унаследует директивы от версии в родительском или в корне. В дочерней версии нужно ввести только новые команды, предназначенные для этого каталога.
• Не забывайте чистить кэш браузера! Горячие клавиши: Ctrl+F5 (или Ctrl+R в Safari, или Cmd+R в Mac OS);
• Ошибка 500 означает, что нужно проверить синтаксис в .htaccess на наличие опечаток, в чем могут помочь онлайновые сервисы, вроде этого. При отсутствии ошибок следует обращаться к программисту и хостинг-провайдеру, потому что дело тогда в главном файле конфигурации, запрещающем такой тип команд;
• Кириллица неприменима в .htaccess. Для кириллических доменов используйте метод написания punycode, который вы можете узнать через whois-сервис.;
• Используйте этот файл, только если нет более простого способа решения той же задачи, потому что перегрузка его командами пагубно влияет на работоспособность.