Tudo sobre o htaccess do WordPress: otimização e segurança

O arquivo .htaccess do WordPress é um arquivo de configuração de servidor. É usado para controlar o comportamento do servidor Apache na hospedagem WordPress. No contexto do WordPress, ele pode ser usado para realizar uma variedade de tarefas, incluindo:

  • Redirecionamento de URLs
  • Bloqueio de acesso a arquivos sensíveis
  • Configurações de cache
  • Configurações de segurança
  • Otimizações de desempenho

htaccess padrão do WordPress

Por padrão, o WordPress vem com um arquivo .htaccess previamente configurado, com o seguinte conteúd:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Para que serve o arquivo .htaccess no WordPress?

O arquivo .htaccess é uma ferramenta poderosa que pode ser usada para melhorar a segurança, o desempenho e a funcionalidade do seu site WordPress. As configurações corretas no arquivo .htaccess podem ajudar a proteger seu site contra ataques, tornar o carregamento das páginas mais rápido e fornecer recursos adicionais aos visitantes.

htaccess do wordpress

O arquivo .htaccess é um arquivo de texto simples que está localizado no diretório raiz do seu site WordPress. O nome do arquivo começa com um ponto (.), o que significa que ele é um arquivo oculto.

Para visualizar o arquivo .htaccess, você precisará usar um cliente FTP ou um gerenciador de arquivos do seu painel de controle de hospedagem.

O WordPress inclui algumas configurações básicas no arquivo .htaccess por padrão. Essas configurações são necessárias para que o WordPress funcione corretamente.

Por exemplo, o arquivo .htaccess inclui regras para redirecionar URLs de www para não-www (ou vice-versa) e de HTTP para HTTPS.

Além das configurações básicas, o arquivo .htaccess pode ser usado para implementar uma variedade de configurações de segurança, desempenho e funcionalidade. Por exemplo, você pode usar o arquivo .htaccess para bloquear o acesso a arquivos sensíveis, compactar arquivos, minificar CSS e JS, e configurar o cache do navegador.

Importância do arquivo .htaccess para configurar e otimizar o ambiente do WordPress

O arquivo .htaccess pode ser usado para configurar uma variedade de aspectos do seu site WordPress, incluindo:

  • Redirecionamento de URLs: O arquivo .htaccess pode ser usado para redirecionar URLs de um formato para outro, por exemplo, de www para não-www ou de HTTP para HTTPS.
  • Uso de URLs e páginas de erro amigáveis: As URLs amigáveis contém, por exemplo, o título da página. As páginas de erro como o erro 404 podem ser customizadas.
  • Bloqueio de acesso a arquivos sensíveis: O arquivo .htaccess pode ser usado para bloquear o acesso a arquivos sensíveis. Por exemplo, o arquivo wp-config.php, wp-admin ou wp-content. Também é possível restringir o acesso a determinados endereços ip.
  • Configurações de cache: O arquivo .htaccess pode ser usado para configurar o cache do navegador, o que pode ajudar a acelerar o carregamento das páginas.
  • Configurações de segurança: O arquivo .htaccess pode ser usado para implementar uma variedade de configurações de segurança da informação, como a prevenção de listagem de diretórios e a proteção contra ataques de força bruta.
  • Otimizações de desempenho: O arquivo .htaccess pode ser usado para otimizar o desempenho do seu site, por exemplo, compactando arquivos e minificando CSS e JS.

Ao aprender a usar o arquivo .htaccess, você pode melhorar a segurança, o desempenho e a funcionalidade do seu site WordPress.

Configurações de Segurança na hospedagem WordPress

As configurações de segurança são uma das principais razões pelas quais o arquivo .htaccess é uma ferramenta tão valiosa para sites WordPress. Ao implementar as configurações de segurança corretas, você pode ajudar a proteger seu site contra uma variedade de ataques, incluindo:

  • Listagem de diretórios: hackers podem usar a listagem de diretórios para obter uma visão geral dos arquivos e diretórios do seu site. Isso pode ajudá-los a encontrar arquivos sensíveis, como o arquivo wp-config.php.
  • Ataques de força bruta: ataques de força bruta são tentativas de adivinhar sua senha de administrador. Os hackers podem usar scripts automatizados para tentar todas as combinações possíveis de letras, números e símbolos. Por exemplo, recomendamos restringir o acesso ao wp-login.
  • Ataques de injeção SQL: Os ataques de injeção SQL são tentativas de inserir código malicioso em um formulário ou comentário do seu site. Isso pode permitir que os hackers acessem ou alterem seus dados.

A. Prevenção de listagem de diretórios

A listagem de diretórios é uma função padrão do servidor Apache que permite que os visitantes vejam uma lista de todos os arquivos e diretórios de um diretório. Isso pode ser um risco de segurança, pois pode permitir que os hackers visualizem arquivos sensíveis.

Para prevenir a listagem de diretórios, você pode adicionar a seguinte regra ao arquivo .htaccess:

Options -Indexes

Essa regra desabilita a listagem de diretórios para todos os diretórios do seu site.

B. Proteção contra ataques de força bruta

Os ataques de força bruta são uma tentativa de adivinhar sua senha de administrador. Os hackers podem usar scripts automatizados para tentar todas as combinações possíveis de letras, números e símbolos.

Para proteger seu site contra ataques de força bruta, você pode adicionar a seguinte regra ao arquivo .htaccess:

AuthUserFile /path/to/wp-config.php
AuthType Basic
AuthName "Please enter your username and password"
Require valid-user

Essa regra exige que os visitantes insiram um nome de usuário e uma senha antes de acessar o painel de administração do WordPress.

Você também pode usar um plugin de segurança do WordPress para aumentar a proteção contra ataques de força bruta.

C. Configurações para prevenir ataques de injeção SQL

Os ataques de injeção SQL são tentativas de inserir código malicioso em um formulário ou comentário do seu site. Isso pode permitir que os hackers acessem ou alterem seus dados.

Para prevenir ataques de injeção SQL, você pode usar um plugin de segurança do WordPress. Esses plugins geralmente incluem uma variedade de configurações que podem ajudar a proteger seu site, incluindo:

  • Sanitização de entradas: Os plugins de segurança podem ajudar a limpar as entradas de formulários e comentários para remover qualquer código malicioso.
  • Filtros de comentários: Os plugins de segurança podem bloquear comentários que contenham código malicioso.
  • Proteção de banco de dados: Os plugins de segurança podem ajudar a proteger seu banco de dados contra ataques de injeção SQL.

Além de usar um plugin de segurança, você também pode tomar as seguintes medidas para ajudar a prevenir ataques de injeção SQL:

  • Use um tema e plugins de alta qualidade: Os temas e plugins de alta qualidade são geralmente mais seguros do que os temas e plugins gratuitos ou de baixa qualidade.
  • Mantenha seu WordPress atualizado: Atualizar o WordPress para a versão mais recente ajuda a corrigir quaisquer vulnerabilidades de segurança conhecidas.
  • Use um firewall: Um firewall pode ajudar a bloquear ataques de injeção SQL e outros ataques.

Ao implementar as configurações de segurança corretas, você pode ajudar a proteger seu site WordPress contra uma variedade de ataques.

Como criar o arquivo htaccess em seu WordPress

Criar um arquivo .htaccess para a hospedagem WordPress é uma tarefa importante para configurar redirecionamentos, otimizar o desempenho e garantir a segurança do seu site. Aqui está um guia passo a passo para criar um arquivo .htaccess para o WordPress:

1. Localização do Arquivo:

  • O arquivo .htaccess está localizado no diretório raiz do seu site WordPress.

2. Acesso ao Arquivo:

  • Use um cliente FTP (como FileZilla) ou o gerenciador de arquivos do seu painel de controle de hospedagem para acessar o diretório do seu site onde o WordPress está instalado.

3. Backup do Arquivo Atual:

  • Antes de fazer qualquer alteração, faça uma cópia de backup do seu arquivo .htaccess atual para garantir que você possa restaurá-lo se algo der errado.

4. Criando um Novo Arquivo .htaccess:

  • Se o seu site ainda não tem um arquivo .htaccess, você pode criar um usando um editor de texto simples (como Notepad no Windows ou TextEdit no macOS).

5. Estrutura Básica do Arquivo .htaccess:

  • Inclua o seguinte conteúdo básico para começar:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
  • Essas linhas são essenciais para permitir a funcionalidade do WordPress, especialmente para lidar com URLs amigáveis.

6. Redirecionamento www para não-www (ou vice-versa):

  • Adicione o seguinte código para redirecionar o tráfego para a versão preferencial do seu domínio:
# Redirecionamento www para não-www
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.seudominio\.com [NC]
RewriteRule ^(.*)$ http://seudominio.com/$1 [L,R=301]

7. Forçar o uso de HTTPS:

  • Se você estiver usando SSL, pode forçar o uso de HTTPS adicionando o seguinte código:
# Forçar o uso de HTTPS
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

8. Configurações de Cache:

  • Adicione configurações de cache para otimizar o desempenho:Configurações de Cache
# Configurações de Cache
<IfModule mod_expires.c>
ExpiresActive On
ExpiresByType image/jpg "access plus 1 year"
ExpiresByType image/jpeg "access plus 1 year"
ExpiresByType image/gif "access plus 1 year"
ExpiresByType image/png "access plus 1 year"
ExpiresByType text/css "access plus 1 month"
ExpiresByType application/pdf "access plus 1 month"
ExpiresByType text/x-javascript "access plus 1 month"
ExpiresByType application/x-shockwave-flash "access plus 1 month"
ExpiresByType image/x-icon "access plus 1 year"
ExpiresDefault "access plus 2 days"
</IfModule>

9. Bloqueio de Acesso a Arquivos Sensíveis:

  • Adicione regras para bloquear o acesso a arquivos sensíveis:
# Bloquear o acesso a arquivos sensíveis
<FilesMatch "(wp-config\.php|php.ini|php5\.ini|install\.php)">
Order deny,allow
Deny from all
</FilesMatch>

10. Salvar e Testar:

  • Salve o arquivo e faça um teste para garantir que o site ainda funcione corretamente. Se ocorrerem problemas, reverta para o arquivo de backup e revise as alterações.

Lembre-se de ajustar os exemplos conforme necessário para atender às suas necessidades específicas. Cada site pode ter requisitos diferentes, então personalize o .htaccess de acordo com as configurações específicas do seu projeto.

Este artigo foi útil?

Obrigado pela resposta!
Gustavo Carvalho

Gustavo Carvalho

Analista de sistemas, formado pela PUC-Rio. Programador, gestor de redes e diretor da empresa Homehost. Pai do Bóris, seu pet de estimação. Gosta de rock'n'roll, cerveja artesanal e de escrever sobre assuntos técnicos.

Contato: gustavo.blog@homehost.com.br

Promoção Relampago

Desconto de 15% em todos os planos de hospedagem de sites e e-mails. 🎉 CUPOM: DESC15

Ganhe 30% OFF

Indique seu nome e e-mail,e ganhe um cupom de desconto de 30% para sempre na Homehost!