Защита веб-ресурса, редирект страниц, кэширование и другие возможности могут быть организованы посредством файла .htaccess, если это разрешено в главном конфигурационном файле Apache. Сайт, функционирующий на веб-сервере Apache, - наиболее часто встречающийся вариант. Доля других вариантов поддержки хостинга не так мала, но знать и предполагать размещение веб-ресурса на базе веб-сервера Apache - всегда безопасный вариант для создания надежного и качественного сайта.
Основания для защиты посредством .htaccess
При обращении браузера к сайту используются правила, указанные в файле .htaccess. Например, для проверки правомерности действий посетителя или редиректа на другой ресурс. Любое изменение этого файла начинает действовать моментально.
Система управления сайтами (CMS) WordPress пользуется большой популярностью и это веское основание заниматься вопросами защиты.
Если бы сайт был написан с нуля без использования любой CMS, взломать его было бы сложнее. Если сайт создан на базе популярного инструментария - всегда есть шанс, что злоумышленник получит нужные знания и предпримет попытки украсть контент или нанести вред веб-ресурсу.
Особую опасность для сайта могут представлять собственные работники предприятия, у которых есть личный интерес создать проблемы нанимателю, особенно когда они считают, что им была нанесена «обида», увольнение их было не законным или, что им платят слишком маленькую заработную плату.
Конкуренты могут создавать преграды, чтобы убрать соперника с рынка, а вольные хакеры могут проявить интерес просто из любопытства или желания научиться ломать веб-ресурсы. Мир Интернета - среда для осуществления различных замыслов и идей, не всегда правомерных и положительных. Нужно уметь защищать свои ресурсы и интересы.
Общие причины использования .htaccess
Файл .htaccess находится в корне сайта и управляет им. Это не только запреты, но и разрешения. Посредством правил можно управлять кэшированием и ускорить работу сайта или организовать редирект страниц. Можно распределить функции администрирования по различным IP-адресам, определить, кому и что дозволено изменять, читать или записывать.
Правила могут быть расписаны по папкам. Корневой файл .htaccess для WordPress содержит строки начала кода, контролируемого этой системой управления контентом: строки между «# BEGIN WordPress» и «# END WordPress», а также другие правила от хостера или администратора сайта. Последний может создать в папках WordPress свои дополнительные файлы .htaccess для определения допустимых действий в отношении файлов и внутренних папок.
Управление защитой и разрешениями строится в стиле наследования. То есть файл .htaccess, находящийся в корне сайта, действует на весь сайт, а файл, размещенный например, в папке wp-content, оказывает дополнительное влияние на файлы и подпапки внутри.
Объекты особого внимания
Файл .htaccess для WordPress должен учитывать структуру папок и размещение информации. Никогда не следует сбрасывать со счетов возможность проблем с установкой PHP, когда в случае непредвиденного сбоя или планомерно подготовленной атаки, важные файлы CMS (wp-config, файлы темы, настроек или плагинов) будут прочитаны злоумышленником.
Спам и лавинообразное комментирование может идти с определенных адресов или в определенном стиле (по времени, по содержанию, по логике атаки и т. д.). Анализируя положение и содержание сайта, догадываясь о возможных проблемах, важно оценить собственный веб-ресурс как совокупность объектов подлежащих особому вниманию и на этом основании определить систему правил запретов и разрешений для создания корректного файла .htaccess.
Важно сочетать интересы главного объекта (посетителя) и возможности собственного ресурса в Сети (сайта). Если сайт представляет лицо компании, содержит конфиденциальную информацию или является источником доходов, то он представляет собой систему объектов особого внимания.
Создать сайт - это малая задача, обеспечить его нормальное функционирование - главная задача. Файл .htaccess для WordPress не так часто придется менять. Эта система работает стабильно, надежно и разработчики постоянно улучшают ее характеристики в плане защиты от злоумышленников. Но просмотреть правила защиты и действующие разрешения для администратора сайта никогда не будет лишним.
Редиректы на стандартные ситуации
Редирект может понадобиться в различных ситуациях. Например, при переносе веб-ресурса на другой хостинг, для целей SEO или корректного индексирования страниц, для трансляции длинных ссылок в короткие.
Наиболее часто используется редирект в ситуациях 401, 403, 404 и 500. Страницы статуса сервера 404 и 500 - наиболее часто используются, но очень редко владельцы ресурсов извлекают из них пользу или используют возможность перенаправления на нормально подготовленную страницу с продуманным контентом.
Ситуации «страница не найдена», «ошибка авторизации», «сбой сервера» или другое состояние сервера - не повод рисовать знак «стоп», информировать о «проблеме сервера», целесообразнее увести пользователя на работающую страницу и обеспечить его работу.
Здесь .htaccess для WordPress выступает как буфер, закрывающий проблему, возникшую на сайте. И совсем не обязательно уводить посетителя на другую страницу сайта, можно его вывести на другую страницу другого ресурса и сформировать сообщение администратору о возникшей проблеме.
Во всех ситуациях важно предоставить то, в чем нуждается посетитель, когда он преследует цель использовать сайт по назначению и блокировать любые неправомерные действия злоумышленника, попытки взлома или кражи контента.
Кэширование контента сайта
Емкий контент, картинки, тексты или страницы в целом могут быть сформированы однажды и не передаваться клиенту (браузеру) при каждом новом запросе. Файл .htaccess для WordPress может обеспечить решение задачи формировать и передавать в браузер посетителя только обновленные элементы.
Кэширование ускоряет доступ к сайту, но не оптимизирует его. Применяя правила для кэширования, нужно быть предельно уверенным в их объективности и целенаправленности.
Лучше проиграть несколько секунд в загрузке и сослаться на медлительность движка или задержки сервера, чем предоставить посетителю несвежий контент.
Оптимизацию сайта и варианты кэширования лучше предусмотреть в коде сайта. Правильный .htaccess для WordPress не должен касаться содержимого сайта и затрагивать особенности формирования контента каждой страницы.
Кэширование - это «пережиток прошлого», актуальный для больших объемов информации, миграции данных, аналитических процессов и пр.
Сайт плюс технология AJAX - это обновление элемента страницы. Перегрузка страниц не допустима. Если на сайт пришел посетитель совсем не обязательно предоставлять ему пеструю чехарду страниц. Достаточно одной страницы, содержание и функциональность которой меняется по необходимости.
Общие правила совмещения .htaccess и сайта
Веб-ресурс к .htaccess иметь такое же отношение как здание к своему фундаменту. Единственное отличие: здесь фундамент можно быстро менять, то есть сайт может быть перемещен на другой хостинг.
Настроив редирект в .htaccess, WordPress-сайт не сильно проигрывает. Но можно все записать в блокнотике или файле и потом переделать, используя средства системы управления сайтами или возможности нового хостинга.
Организовать кэширование или правила запретов/разрешений средствами .htaccess также практическая задача, но на новом хостинге все это можно будет сделать автоматически. Разумное совмещение .htaccess и WordPress - это когда каждый отвечает за свой участок работы.
Веб-ресурс должен быть полнофункциональным изделием, который полноценно автоматически работает на любом хостинге.
Пошаговая инструкция по применению .htaccess
Если вариант хостинга однозначно определен и нужно ориентироваться на веб-сервер платформы "Линукс", следует внимательно ознакомиться с руководством по настройке веб-сервера Apache и получить разрешение от хостера самостоятельно делать настройки в файлах .htaccess, которые будут находиться в различных папках сайта.
Общий порядок создания для WordPress .htaccess (https - потребуется еще SSL сертификат) таков:
- Получить общее представление о правилах и их записи по официальным источникам (Apache).
- Систематизировать требования по защите: запреты на чтение и доступ к .htaccess, wp-config.php и папке wp-content - однозначно, остальные файлы и папки сайта - по их назначению и уровню конфиденциальности.
- Предусмотреть перенаправление 301 WordPress в .htaccess на время переноса сайта на другой хостинг или на время проведения профилактических работ.
- Все выполненные действия зафиксировать на бумаге. Хранить важную информацию по настройке .htaccess в электронном виде не желательно.
Администратор веб-ресурса, размещенного на веб-сервере Apache в каждый момент времени должен точно знать, за что отвечает .htaccess, а что возложено на CMS WordPress.
Собственный сервер или внешний хостинг
Прежде чем приобретать SSL-сертификат для защищенных сайтов (https), следует уточнить о возможности предоставлении его собственным хостером. Прежде чем ориентироваться на конкретный внешний хостинг, следует оценить возможность использования собственного сервера. Если такая возможность есть, то следует сделать выбор оптимальной "Линукс"-системы и построить собственный веб-сервер.
Выбор собственной "Линукс"-платформы - идеальный фундамент для любого сайта. Хорошо представлять себе настройку httpd.conf и .htaccess важно и нужно.
Настройка веб-сервера и .htaccess доступна даже начинающему. Стоит потратить одну-две недели, и собственный хостинг позволит содержать не только рабочий сайт, но и создать среду разработки многочисленных веб-ресурсов при идеальном контроле прав доступа без контроля со стороны какого-либо хостера.
Динамичный редирект
Профессиональный сайт не должен зависеть от хостинга, на котором размещен. Система управления сайтами WordPress - это простая установка и комфортное использование в процессе создания и обслуживания сайта.
Ситуации, когда сайт нужно будет ставить на «ремонт» для целей обновления или обслуживания, обуславливаются областью применения, а не сайтом или CMS. Но предусмотреть для веб-ресурсов на WordPress редирект (301) в .htaccess необходимо. Сайт, который работает и устраивает всех, - идеальный вариант. Но всегда лучше перестраховаться.
Сайт, который имеет дубликат, который в каждый момент времени обновляется до уровня действующего оригинала, - отличная защита от взлома, непредвиденного сбоя по питанию или выхода сервера из строя по иной причине.
Иметь собственных хостинг целесообразно даже когда существует собственная площадка в престижном Beget. Ничто не мешает содержать рабочий сайт на Bedget, а копию у себя на собственном сервере. Моментально обеспечить в WordPress редирект (301) в .htaccess - не проблема, зато посетители даже не заметят, что на самом деле произошла «электронная» катастрофа.
