شرح ملف htaccess. وظائفه وأهم التعديلات وكيفية استخدامه

شرح ملف htaccess. وظائفه وأهم التعديلات وكيفية استخدامه

إذا كنت مستخدمًا لمنصة ووردبريس أو تملك موقعًا على هذه النظام، فيجب عليك الإطلاع على ملف htaccess الذي يتواجد ضمن ملفات ووردبريس المتعددة.

يتميز هذا الملف بفوائد واستخدامات عديدة لتحسين أداء وأمان موقعك، مثل التحكم في رسائل صفحات الخطأ وتأمين صفحة تسجيل الدخول، وإخفاء بعض مجلدات الموقع، وغير ذلك من الوظائف التي سنتعرف عليها في هذه المقالة.

يجب الإشارة إلى أن هذا الملف يختلف عن الملفات الافتراضية الأخرى في لوحة التحكم.

أين يوجد ملف htaccess وكيف يمكن التعديل عليه؟ 

يتم حفظ ملف htaccess ضمن مجلد الملفات الخاص بووردبريس، ولا يتم عرضه للمستخدمين على واجهة الموقع.

يمكن لمدير الموقع الوصول إليه والتعامل معه عبر لوحة التحكم cPanel، أو عبر بروتوكول FTP.

بمجرد الدخول إلى مدير الملفات file manager الخاص بموقعك، يمكنك العثور بسهولة على الملف المذكور بجوار ملفات ووردبريس.

عند قيامك بفتح الملف ستجد هناك بعض الأكواد والرموز مثل الصورة التالية:

يجب ملاحظة أن بعض شركات الاستضافة تخفي ملف htaccess داخل مدير الملفات، وإذا كان هذا الملف مخفيًا ولم تتمكن من الوصول إليه مباشرة، فيمكن الوصول إليه عن طريق الدخول إلى مدير الملفات.

ثم ستجد زر إعدادات أعلى الصفحة، لتقوم بالضغط عليها: 

في صفحة الإعدادات، ستجد عدة خيارات، ويجب اختيار خيار إظهار الملفات المخفية، ثم النقر على حفظ (Save).

بعد ذلك، سيتمكن المدير من الوصول إلى ملف htaccess دون أي مشكلة.

عند ذلك، سيتم عرض ملف htaccess بشكل مباشر داخل مدير الملفات إلى جوار باقي ملفات الووردبريس الخاصة بموقعك.

إذا قمت باتباع كافة الخطوات السابقة ولم يظهر لك ملف htaccess، فذلك يعني على الأرجح أن نسخة الووردبريس التي تستخدمها لا تحتوي على هذا الملف بشكل أساسي.

في هذه الحالة، يمكنك بسهولة إنشاء الملف بنفسك من خلال مدير الملفات، حيث يمكنك النقر على “ملف جديد” وتسميته “htaccess”.

ملاحظة: في حال لم يكن الملف htaccess موجودا بالفعل في موقع الويب الخاص بك وقررت إنشاءه بنفسك، يمكنك وضع الكود الافتراضي الخاص به التالي وحفظ الملف وغلقه:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

 وإلى هنا يكون لديك ملف htaccess يمكنك الاستفادة منه وسنقوم الأن بتوضيح الشرح بشكل مفصل.

الوظائف التي يمكنني القيام بها باستخدام ملف htaccess 

فيما يلي قائمة بأهم الوظائف التي يمكنك القيام بها باستخدام ملف htaccess لتعزيز أمان موقعك:

1- إعادة توجية رابط قديم في موقعك إلى رابط آخر جديد redirect 301 

بالتأكيد، يمكنك توجيه الروابط الخاصة بموقعك باستخدام ملف htaccess، وذلك بإضافة بعض الأسطر البرمجية إلى الملف.

يمكنك استخدام هذه الخاصية لتغيير الروابط المكسورة أو لتحسين تجربة المستخدم، ولكن يجب عليك الانتباه إلى أن تحويل الروابط بشكل غير صحيح قد يؤثر على ترتيب موقعك في نتائج محركات البحث.

نفترض أن الرابط الذي تريد تغييره هو : http://example.com/pro/index.php

وأن الرابط الجديد الذي تريد إعادة التوجيه له هو: http://example.com/pro/new/html 

يمكن إضافة الكود التالي إلى ملف htaccess لتوجيه الزوار من الرابط القديم إلى الرابط الجديد:

Redirect 301 /try/index.php https://Example.com/try/new.html

يمكن كتابة الرابط القديم بدون ذكر اسم الدومين بعد Redirect 301، حيث يتم إضافة مسار الرابط فقط. وبالنسبة للرابط الجديد، يتم كتابته كاملاً كما هو موضح في الكود السابق.

يمكنك أيضًا القيام بأنواع مختلفة من إعادة التوجيه Redirect عن طريق ملف htaccess، ومن بين هذه الأنواع:

التحويل من Non-www إلى WWW

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} ^example.com$
RewriteRule (.*) http://www.example.com/$1 [R=301,L]
</IfModule>

التحويل من WWW إلي Non-www

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www.example.com$
RewriteRule (.*) http://example.com/$1 [R=301,L]
</IfModule>

تحويل الروابط http إلى https

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} !^443$
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

وفي حالة تحويل https إلى http

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{SERVER_PORT} ^443$
RewriteRule ^(.*)$ http://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

التحويل من دومين Domain إلى آخر

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^(.*)$ http://example.com/$1 [R=301,L]
</IfModule>

تحويل الصفحات ذات الإمتدادات مثل html. إلى روابط بدون هذا الإمتداد

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^/?(.*).(html)$ /$1 [R=301,L]

</IfModule>

إذا كان امتداد الصفحات المراد تحويلها هو php

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^/?(.*).(php|html)$ /$1 [R=301,L]

</IfModule>

التحويل من نطاق فرعي subdomain إلى صفحة فرعية داخل الموقع. في هذه الحالة نريد تحويل روابط الدومين الفرعي إلى رابط صفحة داخلية ما بالموقع، وليكن على سبيل المثال نريد تحويل الدومين الفرعي : blog.example.com

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteRule ^(.*)$ http://https://www.example.com/blog/$1 [L,NE,R=301]
</IfModule>

يجب ملاحظة أن ملف .htaccess في هذه الحالة يجب أن يكون موجوداً داخل مجلد الدومين الفرعي (subdomain) المعني.

2- حظر عنوان IP من الدخول إلى موقعك

بعض الأحيان يمكن ملاحظة عدد كبير من الزيارات إلى موقعك من نفس عنوان IP، وهذا يعني أن هناك شخصًا يحاول إرسال عدد كبير من الطلبات إلى موقعك بهدف استهلاك موارد الاستضافة وتعطيل الموقع.

في هذه الحالة، يمكن حظر عنوان الـ IP هذا بكل بساطة عن طريق كتابة الكود التالي في ملف htaccess الموجود في مجلد الدومين الفرعي الخاص بك.

Order Deny,Allow
Deny from 127.127.18.1

مع استبدال 127.127.18.1 بعنوان IP الفعلي الذي تريد حظره. 

3- حماية الدخول إلى لوحة تحكم الووردبريس Wp-admin 

إذا كنت تريد حظر الوصول إلى صفحة wp-admin للزوار، والسماح فقط لجهاز واحد أو عدد معين من الأجهزة بالوصول إليها، يمكنك استخدام ملف htaccess لتحقيق ذلك.

وللقيام بذلك، يمكنك استخدام الكود التالي:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from 11.11.11.111
</LIMIT>

مع مراعاة أن تقوم باستبدال 11.11.11.111 بال IP المراد السماح له فقط بالدخول إلى منطقة wp-admin الخاصة بموقع الووردبريس. 

5- حظر تنفيذ أوامر PHP داخل المجلدات في الووردبريس 

يستخدم المخترقون في بعض الأحيان طريقة زرع برامج تقوم بتنفيذ أوامر معينة داخل مجلدات الموقع، ويتم تشغيل تلك البرامج عن طريق أوامر لغة PHP، وهذا يمكن أن يؤدي إلى سرقة أو تخريب ملفات الموقع.

لذلك يجب منع هذا النوع من الهجمات على موقعك، يمكنك إنشاء ملف htaccess جديد تماما والقيام بوضع ذلك الكود التالي بداخله:

<Files *.php>
deny from all
</Files>

بعد ذلك يجب عليك أن تقوم برفع هذا الملف htaccess داخل مجلد wp-content/uploads وايضا داخل مجلد wp-includes. وذلك لأن تلك الملفات تكون عرضه دائما لبرامج القرصنة من ذلك النوع.

6- حماية الوصول إلى ملف قاعدة البيانات wp-config.php 

يتمتع ملف wp-config الخاص بالووردبريس بأهمية كبيرة لأنه يحتوي على العديد من المعلومات الحساسة عن موقعك، لذلك يجب حماية الوصول إليه بشكل كامل. يمكن ذلك بوضع الكود التالي في ملف htaccess الخاص بالموقع الخاص بك، حيث يقوم بمنع الوصول المباشر إلى ملف wp-config:

<files wp-config.php>
order allow,deny
deny from all
</files>

7- حظر المواقع الأخرى أو ما يسمى image hotlinking لمنع إستدعاء الصور

قد يقوم بعض أصحاب المواقع بالحصول على روابط لصور من موقعك واستخدامها على موقعهم، مما يؤدي إلى استهلاك موارد موقعك وزيادة حمولة الخادم وربما تعطل الموقع إذا كان هناك عدد كبير من تلك الروابط.

لتجنب ذلك، يمكنك استخدام تقنية “حظر الاستخدام الخارجي” (hotlinking) والتي تمنع المستخدمين الآخرين من استخدام روابط صور موقعك على مواقعهم.

يمكن تنفيذ ذلك عن طريق إضافة الكود التالي إلى ملف htaccess في موقعك:

#disable hotlinking of images with forbidden or custom image option
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?example.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

ثم يجب استبدال example.com برابط موقعك، وعدم تغيير google.com، فإن هذا يعني أنه يسمح فقط لمصدرين بعرض روابط الصور داخل موقعك، وهما الموقع نفسه وكذلك جوجل لأنه يقوم بفهرسة روابط تلك الصور في نتائج البحث.

8- الحماية من الوصول إلى ملف htaccess.

نظراً لأن ملف htaccess يحتوي على العديد من المعلومات الحساسة بشأن موقعك، فإن الوصول إليه قد يشكل خطراً كبيراً على الموقع.

لذلك، ينبغي حظر الوصول إليه بشكل كامل من أي مصدر، ويتعين الوصول إليه فقط عن طريق مدير الملفات الخاص بموقعك.

وللقيام بحظر الوصول إلى ملف htaccess يمكنك إستخدام الكود التالي داخل الملف نفسه:

<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</files>

9- زيادة حجم رفع الملفات في الووردبريس

تعرض فى الصورة السابقة الحد الأقصى المسموح به لحجم الملفات المرفوعة في موقع الويب الخاص بك، والذي يقتصر على 50 ميجابايت لكل ملف.

يمكن استخدام ملف htaccess لتحديد حد معين لحجم الملفات المسموح برفعها داخل مدونة WordPress، بإضافة الكود التالي:

php_value upload_max_filesize 50M
php_value post_max_size 50M
php_value max_execution_time 300
php_value max_input_time 300

هذا الكود المذكور يساعد في تعديل الحد الأقصى لحجم الملفات التي يمكن رفعها، كما يساعد على زيادة وقت التنفيذ اللازم لرفع الملفات داخل الووردبريس.

لاحظ أن بعض شركات الاستضافة، وخاصة استضافات الويب المشتركة (Shared Hosting)، قد يتم حظرها لتعديل حد الحجم الأقصى على الرغم من تحديدها داخل ملف htaccess.

لذلك، يجب التحقق من سياسة الاستضافة الخاصة بك والتأكد من أنه يمكنك تحديد حد أقصى لحجم الملفات وتغييره بشكل آمن قبل استخدام أي كود في ملف htaccess.

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

# BEGIN block author scans
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (author=\d+) [NC]
RewriteRule .* - [F]
# END block author scans

ErrorDocument 400 /errors/error400.html

ErrorDocument 500 /errors/serverr.html

400 Bad Request
401 Authorization Required
402 Payment Required (not used yet)
403 Forbidden
404 Not Found 
405 Method Not Allowed
406 Not Acceptable (encoding)
407 Proxy Authentication Required
408 Request Timed Out
409 Conflicting Request
410 Gone
411 Content Length Required
412 Precondition Failed
413 Request Entity Too Long
414 Request URI Too Long
415 Unsupported Media Type
400 – Bad Request 
401 – Authorization Required
403 – Forbidden 
404 – File not found
500 – Internal Server Error
503 – Service Unavailable