Xəbər 06 Apr 2026

.htaccess təhlükəsizlik qaydaları: 10 vacib müdafiə

.htaccess Apache və LiteSpeed serverlərində konfiqurasiyanı qovluq səviyyəsində dəyişməyə imkan verir. Düzgün istifadə ilə saytın 80% təhlükəsizlik problemlərini həll edir.

1. wp-config.php-i qoru

<Files wp-config.php>
order allow,deny
deny from all
</Files>

DB istifadəçi və şifrəsini brauzerdən endirməyi qadağan edir.

2. xmlrpc.php-i bağla

<Files xmlrpc.php>
order deny,allow
deny from all
</Files>

XML-RPC API hücumları üçün ən sevimli vektor - WordPress-də brute force və DDoS üçün istifadə olunur.

3. Directory listing-i bağla

Options -Indexes

https://sayt.az/uploads/ açanda fayl siyahısı görsənməsin.

4. .htaccess özünü qoru

<Files .htaccess>
order allow,deny
deny from all
</Files>

.htaccess-i brauzerdən oxumağı qadağan edir.

5. PHP icrasını uploads qovluğunda bağla

<Directory /home/sayt/public_html/wp-content/uploads>
<FilesMatch "\.(php|php5|phtml)$">
deny from all
</FilesMatch>
</Directory>

Hacker upload qovluğa malicious PHP yükləsə icra olunmaz.

6. Hotlink protection

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?sayt\.az [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F]

Başqaları saytınızdakı şəkillərə öz saytlarından bağlanmasın - bandwidth qənaət.

7. Wp-login.php brute force qoruması

<Files wp-login.php>
order deny,allow
deny from all
allow from 192.168.1.1
</Files>

Yalnız müəyyən IP-lərə login icazəsi.

8. User-Agent əsaslı blok

RewriteCond %{HTTP_USER_AGENT} (semrushbot|ahrefsbot|mj12bot) [NC]
RewriteRule .* - [F,L]

Aqressiv SEO botları bandwidth-i şişirdir - bloklayın.

9. Bad bot blocking

RewriteCond %{HTTP_USER_AGENT} ^$ [OR]
RewriteCond %{HTTP_USER_AGENT} (curl|wget|libwww-perl) [NC]
RewriteRule .* - [F,L]

Boş user-agent və script-əsaslı tool-ları bloklayır.

10. HTTPS məcburi

RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Bütün HTTP trafiki HTTPS-ə yönləndirir.

Bonus: Security headers

Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-Content-Type-Options "nosniff"
Header always set Referrer-Policy "strict-origin-when-cross-origin"
Header always set Strict-Transport-Security "max-age=31536000"

LiteSpeed üçün xüsusi qeyd

Hostinq.az LiteSpeed istifadə edir - .htaccess Apache uyumlu sintaksiya tamamilə dəstəklənir.

Hostinq.az hosting - server səviyyəsində mod_security + bu qaydalar hazır quraşdırılıb.

Paylaş: