Каждый владелец веб-ресурса рано или поздно сталкивается с необходимостью тонкой настройки сервера Apache. Основным инструментом для этого служит файл htaccess. В этом руководстве мы разберем всё: от того, где он находится, до продвинутых способов блокировки угроз.
Файл htaccess — это
конфигурационный файл для сервера Apache, который позволяет изменять настройки конкретных папок без правки главного файла конфигурации сервера.
Где он есть
CMS WordPress, Joomla, Drupal и любые самописные сайты на Apache.
- Обычные хостинги часто работают на Apache
htaccess где находится файл
Многие ищут htaccess WordPress где находится этот элемент. Обычно он расположен в корневой директории вашего сайта.
htaccess где находится в Apache: Ищите его в папке
public_htmlилиwww.Важно: Файл является скрытым. Убедитесь, что в вашем FTP-клиенте включено отображение скрытых файлов.
Показываем на примере нашего блога, хостинг Beget — обычный хостинг (не VPS)
Переходим в панель управления Хостингом Beget (у Вас может быть другой хостинг)
Переходим в Файловый менеджер — выбираем Ваш сайт, в нашем примере это ebyebots.ru
Переходим в public_html
В главной директории сайта мы увидим файл .htacces
Обратите внимание что ниже есть файл .htaccess с расширение .bk — это старая копия файла.
Если вы собрались редактировать основной файл .htacces — рекомендуем его предварительно скачать или положить его содержимое в файл .htacces.bk (чтобы была возможность вернуть как было)
Если открыть наш файл — правой кнопкой мыши по нему > Правка , показываем содержимое нашего файла сейчас:
Файл htaccess wordpress
# BEGIN WordPress
# The directives (lines) between «BEGIN WordPress» and «END WordPress» are
# dynamically generated, and should only be modified via WordPress filters.
# Any changes to the directives between these markers will be overwritten.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* — [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Это стандартный файл .htaccess WordPress, в нём у нас нет никаких правил защиты, так как у нас все фильтруется через наш прокси-сервер
Как создать и включить .htaccess
Ситуация, если у Вас нет этого файла.
Перед тем как приступать к настройке, важно понять: будет ли ваш сервер вообще «читать» этот файл.
Будет ли работать .htaccess? Проверяем тип сервера
Если ваш сайт размещен на обычном виртуальном хостинге, скорее всего, там используется связка Apache + Nginx, и .htaccess будет работать.
Однако, если у вас VPS — виртуальный выделенный сервер, ситуация может быть иной:
Pure Nginx: Файлы
.htaccessигнорируются. Все настройки вносятся в конфиг-файлы сервера (обычно/etc/nginx/nginx.conf).Apache: Файлы работают.
OpenLiteSpeed: Поддерживает
.htaccess, но требует перезагрузки сервера для применения изменений (в отличие от классического Apache).
Если вы не уверены, какой сервер у вас установлен, обязательно уточните в технической поддержке хостинга, поддерживается ли работа файлов
.htaccess. Иначе любые ваши правила защиты просто не будут функционировать.
Как создать файл .htaccess с нуля
Если поддержка Apache подтверждена, но файла в папке сайта нет, его нужно создать вручную.
Через файловый менеджер хостинга
Зайдите в панель управления (ISPmanager, cPanel, DirectAdmin).
Откройте «Менеджер файлов» и перейдите в корневую директорию сайта.
Нажмите «Создать файл», в названии укажите
.htaccess(обязательно с точкой в начале!).
Создать файл .htaccess через компьютер
Откройте любой текстовый редактор (например, Блокнот).
Сохраните пустой файл под именем
1.txt.Загрузите его на сервер по FTP или веб Файловый менеджер.
Внутри FTP-клиента переименуйте файл в
.htaccess.
Windows часто не позволяет создавать файлы, начинающиеся с точки, поэтому переименование лучше делать уже на сервере.
Обратите внимание:
При настройке подключении защиты eByeBots, нам не важно, какой сервер у вас стоит — Nginx или Apache. Мы фильтруем трафик на своей стороне и отдаем вашему серверу уже «чистые» запросы. Это избавляет вас от необходимости изучать техническую документацию по конфигурации сервера и сетевого стека.
Настройка файла htaccess: примеры правил
Наш стандартный htaccess для WordPress — это база, которая отвечает за работу ЧПУ (красивых ссылок). Но его можно превратить в мощный инструмент защиты.
Блокировка плохих ботов и накрутчиков ПФ
Если вы знаете IP нападающего или User-Agent бота, используйте это правило htaccess:
<IfModule mod_rewrite.c>
RewriteEngine On# 1. Блокировка популярных ИИ-парсеров по User-Agent
# В список включены боты OpenAI,, Common Crawl и другие
RewriteCond %{HTTP_USER_AGENT} (GPTBot|ChatGPT|CCBot|anthropic-ai|Claude-Web|cohere-ai|Omgilibot|FacebookBot|Bytespider) [NC]
RewriteRule .* — [F,L]# 2. Блокировка конкретных IP-адресов или сетей
# Замените 1.2.3.4 на реальный IP, который нужно забанить
# Если нужно добавить несколько, просто дублируйте строку Require not ip
</IfModule><IfModule mod_authz_core.c>
<RequireAll>
Require all granted
# Список заблокированных IP:
Require not ip 1.2.3.4
Require not ip 5.6.7.8
# Можно блокировать подсети (например, всю сеть 192.168.1.0/24):
# Require not ip 192.168.1
</RequireAll>
</IfModule># =================================================================
# СТАНДАРТНЫЙ БЛОК WORDPRESS
# =================================================================# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule .* — [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
RewriteBase /
RewriteRule ^index\.php$ — [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Совет: После сохранения файла обязательно проверьте, не упал ли сайт в ошибку 500. Если это произошло — проверьте, нет ли лишних пробелов в строке со списком ботов.
Для теста можете добавить свой IP в блокировку, узнать его можно на специальных онлайн сервисах по запросу — мой айпи. Если все правильно сделали, получите сообщение 403 Forbidden. Переводится как: 403 Запрещено.
Почему это решение — временное?
У файла .htaccess есть три критических минуса, о которых мы пишем в статье:
Нагрузка на CPU: Каждый раз, когда на сайт заходит реальный пользователь или бот, сервер Apache заново перечитывает все эти строки. Если строк или ботов много, ваш сайт начнет «тормозить».
Обход по IP: Накрутчики ПФ (поведенческих факторов) часто используют резидентские прокси (IP обычных людей). Заблокировать их через
.htaccessневозможно, так как их тысячи и они постоянно меняются.Сложность поддержки: Вам придется вручную пополнять список
RewriteCond, следя за новыми именами ботов.
Как это делается с eByeBots
Вместо того чтобы заставлять ваш сервер выполнять эту тяжелую работу, мы переносим фильтрацию на отдельный прокси-сервер. Ваш сайт получает только «чистых» посетителей, а ваш .htaccess остается легким и быстрым.
Простое сравнение:
| Параметр | Блокировка через .htaccess | Защита eByeBots |
| Нагрузка на сервер | Высокая (каждый запрос грузит CPU) | Нулевая (фильтрация идет на нашей стороне) |
| Скорость сайта | Падает при большом списке IP | Стабильная (сервер не читает лишний код) |
| Актуальность баз | Нужно обновлять вручную | Автоматическая (базы ботов обновляются 24/7) |
| Защита от накрутки ПФ | Низкая (ручная настройка) | Высокая (Fingerprint отпечатки, защита под ключ) |
FAQ: Часто задаваемые вопросы по .htaccess
Собрали для вас самые частые вопросы по этому файлу, это пригодится.
Как настроить редирект с HTTP на HTTPS в .htaccess?
Для настройки переадресации (301 редирект) на защищенный протокол добавьте этот код в начало файла:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Если подключаетесь к нашей защите, редирект с https на https нужно будет убрать — на уровне прокси сервера редирект уже есть.
Что делать, если возникла ошибка 403 Forbidden?
Ошибка 403 означает «Доступ запрещен». Она может появиться, если:
В файле прописана директива
Deny from allилиRequire all denied.Установлены неверные права на файл (рекомендуемые права — 644).
Ваш IP попал под блокировку (проверьте блоки со словами
Require not ipилиDeny from).
Можно ли использовать .htaccess на сервере Nginx?
Напрямую — нет. Nginx не поддерживает .htaccess. Если ваш сервер работает только на Nginx, все правила нужно вносить в основной конфигурационный файл сервера (nginx.conf).
Однако на большинстве хостингов используется связка Apache + Nginx, где .htaccess работает корректно.
Большинство запросов, связанных с htaccess блокировка и заблокировать ботов, показывают, что владельцы сайтов пытаются решить проблему безопасности вручную.
Важно понимать: современные накрутчики ПФ используют тысячи динамических IP. Прописывать их в .htaccess — это бесконечный и тяжелый процесс, который нагружает ваш сервер (CPU) и замедляет работу сайта.
файл htaccess для WordPress 6.1.1
Когда я готовил этот материал, я специально полез в статистику поисковиков, чтобы посмотреть: а что вообще люди ищут про .htaccess?
И я немного обалдел. Огромное количество людей ищут, где «скачать стандартный htaccess для WordPress 6.1.1». То есть люди реально надеются найти какой-то универсальный архив, скачать его и закинуть на сайт.
Я понял, что в интернете много путаницы, и решил объяснить на пальцах: этот файл — как отпечаток пальца вашего сайта. Он индивидуален. Нельзя просто взять чужой файл и ждать, что всё заработает.
Где взять файл, если он пропал
Если файл исчез или вы его случайно «сломали», есть два пути:
Восстановить из бэкапа: Это самый верный способ. Если вы на обычном хостинге (типа Beget или Timeweb), просто зайдите в раздел «Резервные копии» и вытащите файл за вчерашнее число.
Воссоздать с нуля: Если бэкапа нет, не вздумайте ничего скачивать с левых сайтов. Во-первых, там могут быть вирусы или скрытая реклама. Во-вторых, он может просто не подойти вашему серверу. Лучше создайте пустой файл и пропишите в него базовые правила WordPress, о которых я рассказал выше. Это будет «чистый» и безопасный старт.
