Какво е .htaccess? Пълно ръководство за конфигурация на Apache

Файлът .htaccess е един от най-мощните инструменти, налични за администраторите на уебсайтове, работещи със сървъри Apache. Независимо дали трябва да управлявате пренасочвания на URL адреси, да налагате HTTPS, да ограничавате достъпа по IP адрес или да показвате персонализирани страници с грешки, .htaccess ви дава детайлен, контрол на ниво директория над поведението на вашия сървър — без да докосвате основната конфигурация на сървъра.

В този всеобхватен наръчник ще разгледаме всичко, което трябва да знаете за .htaccess: какво е, как работи, как да го създадете и най-важните случаи на употреба, които всеки администратор на уебсайт трябва да овладее.

Какво е .htaccess?

Файлът .htaccess — съкращение от “hypertext access” — е скрит, обикновен текстов конфигурационен файл, използван от Apache HTTP Server. Той ви позволява да дефинирате директиви на сървъра на база на директория, което означава, че правилата, които поставите в файл .htaccess, се прилагат незабавно към всички файлове и поддиректории в папката, където се намира файлът.

За разлика от промените, направени в основния конфигурационен файл на Apache (httpd.conf), правилата на .htaccess влизат в сила незабавно — не е необходимо рестартиране на сървъра. Това го прави особено полезен в среди на споделен хостинг, където потребителите нямат root достъп до основната конфигурация на сървъра.

Всеки път, когато потребител поиска ресурс от вашия уебсайт, Apache чете файла .htaccess в съответната директория и прилага конфигурираните правила. Това го прави както гъвкав, така и мощен — но също и файл, който трябва да се управлява внимателно.

> Кой използва .htaccess? Уеб разработчици, SEO специалисти и системни администратори, работещи в среди на базата на Apache — включително планове за Споделен уеб хостинг и VPS хостинг — разчитат на .htaccess ежедневно, за да контролират поведението на уебсайта.

Как да създадете .htaccess файл

Създаването на файл .htaccess е просто, но трябва да се следват няколко правила точно:

1. Използвайте обикновен текстов редактор като Nano, Vim, Notepad++ или всеки код редактор.
2. Назовете файла точно .htaccess — с начална точка и без разширение на файла. Самото име на файла е разширението.
3. Поставете файла в основната директория на вашия уебсайт (обикновено наречена public_html, www или htdocs) или в която и да е поддиректория, където искате да се прилагат специфични правила.
4. Запазете го като обикновен текст — никога като богат текст или форматиран документ.
5. Задайте правилни разрешения за файла: 644 е препоръчаното ниво на разрешение, което позволява на собственика да чете и пише, докато ограничава останалите само на четене.

На Linux сървър чрез SSH можете да създадете файла незабавно с:

nano /var/www/html/public_html/.htaccess

След като бъде запазен, Apache ще започне да прилага правилата незабавно.

Често използвани приложения на .htaccess

По-долу са най-важните и широко използвани директиви на .htaccess, с практически примери на код.

1. Пренасочване на URL адреси

Пренасочванията са съществени, когато страниците се преместват, преименуват или окончателно изтриват. Те запазват SEO стойност и гарантират, че потребителите се изпращат на правилното място.

301 Постоянно пренасочване (Страница преместена)

Redirect 301 /old-page.html https://www.example.com/new-page.html

Това изпраща както потребители, така и краулери на търсачки от стария URL адрес към новия, предавайки пълна стойност на връзката в процеса.

302 Временно пренасочване

Redirect 302 /sale https://www.example.com/seasonal-offers.html

Използвайте 302 когато пренасочването е временно, например по време на промоция или период на поддържане.

Пренасочване на цял домейн

RewriteEngine On
RewriteCond %{HTTP_HOST} ^olddomain.com$ [NC]
RewriteRule ^(.*)$ https://www.newdomain.com/$1 [L,R=301]

Това е особено полезно при миграции на домейни — сценарий, който е честа при регистрирането на нов домейн чрез услуга като Регистрация на домейни.

2. Пренаписване на URL адреси за SEO-приятелски URL адреси

Пренаписването на URL адреси преобразува динамични, натоварени с параметри URL адреси в чисти, четливи и SEO-приятелски структури. Това е един от най-значимите начини на използване на .htaccess за подобряване на класирането в търсачките.

Активиране на двигателя за пренаписване

RewriteEngine On

Този ред трябва да се появи преди всички директиви на RewriteRule.

Пренаписване на динамични URL адреси към чисти URL адреси

RewriteRule ^products/([a-zA-Z0-9-]+)$ product.php?item=$1 [L]

Това пренаписва example.com/products/blue-sneakers към example.com/product.php?item=blue-sneakers — прозрачно, без да променя това, което потребителят вижда в браузъра.

Премахване на .php разширения от URL адреси

RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME}.php -f
RewriteRule ^([^.]+)$ $1.php [NC,L]

Това позволява URL адреси като example.com/about да служат about.php без да разкриват разширението на файла.

3. Налагане на HTTPS

Принудителното преминаване на целия трафик чрез HTTPS е фундаментално изискване за сигурност и потвърден сигнал за класиране в Google. Ако имате инсталиран SSL сертификат, използвайте следните правила на .htaccess, за да гарантирате, че целия HTTP трафик се пренасочва автоматично към защитената версия на вашия сайт.

Налагане на HTTPS в целия сайт

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Налагане на HTTPS и премахване на www (Канонична URL адреса)

RewriteEngine On
RewriteCond %{HTTPS} off [OR]
RewriteCond %{HTTP_HOST} ^www. [NC]
RewriteRule ^(.*)$ https://example.com/$1 [L,R=301]

Това гарантира, че вашият сайт винаги се обслужва от един, канонична HTTPS URL адреса — критично както за SEO, така и за сигурност.

4. Настройка на персонализирани страници с грешки

Вместо да показвате общи съобщения за грешки на браузъра, можете да конфигурирате .htaccess да служи с брандирани, удобни за потребителя страници с грешки, които держат посетителите на вашия сайт.

Често срещани HTTP кодове за грешки

ErrorDocument 400 /errors/400.html
ErrorDocument 401 /errors/401.html
ErrorDocument 403 /errors/403.html
ErrorDocument 404 /errors/404.html
ErrorDocument 500 /errors/500.html

Най-добри практики за персонализирани страници с грешки:

• Включете навигацията на вашия сайт, така че потребителите да могат да намерят това, което търсят.
• Добавете лента за търсене, за да помогнете на потребителите да се възстановят от 404 грешки.
• Запазете дизайна в съответствие с брандирането на вашия основен сайт.
• Избягвайте цикли на пренасочване — страниците с грешки трябва да бъдат статични HTML файлове.

5. Ограничаване на достъпа по IP адрес

.htaccess ви дава фин контрол над това кой може да получи достъп до вашия сайт или специфични директории въз основа на IP адрес. Това е безценно за защита на администраторски панели, среди за тестване или чувствителни директории.

Блокиране на конкретен IP адрес

Deny from 192.168.1.100

Блокиране на множество IP адреси

Deny from 192.168.1.100
Deny from 10.0.0.50
Deny from 203.0.113.0/24

Разрешаване само на конкретни IP адреси (Бяла листа)

Order Deny,Allow
Deny from all
Allow from 192.168.1.101
Allow from 203.0.113.25

Тази конфигурация блокира целия трафик, с изключение на изрично изброените IP адреси — идеално за заключване на WordPress администраторски панел или тестов сайт.

6. Защита на директории с парола

Можете да добавите HTTP базова аутентификация към всяка директория, използвайки .htaccess в комбинация с файл .htpasswd.

Стъпка 1: Създайте файла .htpasswd

Използвайте помощната програма htpasswd на вашия сървър:

htpasswd -c /etc/apache2/.htpasswd yourusername

Стъпка 2: Добавете следното към вашия .htaccess файл

AuthType Basic
AuthName "Restricted Area"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user

Всеки, който се опита да получи достъп до защитената директория, ще бъде подканен да въведе потребителско име и парола, преди да получи достъп.

7. Контрол на кеширането на браузъра

Правилно конфигурираното кеширане подобрява скоростта на зареждане на страницата и намалява натоварването на сървъра — и двата фактора са важни за SEO и потребителския опит.

Задайте заглавия за изтичане на кеша

<IfModule mod_expires.c>
    ExpiresActive On
    ExpiresByType image/jpg "access plus 1 year"
    ExpiresByType image/jpeg "access plus 1 year"
    ExpiresByType image/png "access plus 1 year"
    ExpiresByType image/gif "access plus 1 year"
    ExpiresByType image/webp "access plus 1 year"
    ExpiresByType text/css "access plus 1 month"
    ExpiresByType application/javascript "access plus 1 month"
    ExpiresByType text/html "access plus 1 day"
</IfModule>

8. Блокиране на горещи връзки

Горещите връзки възникват, когато други уебсайтове вграждат вашите изображения директно, консумирайки вашата честотна лента без ваше разрешение. Блокирайте го с .htaccess:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https://(www.)?example.com/ [NC]
RewriteRule .(jpg|jpeg|png|gif|webp|svg)$ - [F,NC]

Заменете example.com с вашия действителен домейн. Това връща отговор 403 Forbidden на всеки външен сайт, който се опита да направи горещо свързване на вашите изображения.

9. Деактивиране на листването на директории

По подразбиране Apache може да показва съдържанието на директория, ако няма индексен файл. Това е значителен риск за сигурност, който разкрива вашата структура на файлове.

Деактивиране на преглеждането на директории

Options -Indexes

Този един ред предотвратява Apache да генерира автоматични списъци на директории, връщайки вместо това грешка 403 Forbidden.

Съображения за сигурност и производителност

Докато .htaccess е изключително мощен, трябва да се използва отговорно. Ето ключовите съображения, които всеки администратор трябва да има предвид:

Влияние на производителността

Apache чете файла .htaccess при всяко единствено поискване към сървъра. Ако вашият файл .htaccess съдържа десетки сложни правила, това добавя измеримо натоварване към всяко поискване. За да минимизирате влиянието на производителността:

• Запазете правилата стройни и добре организирани — премахнете всички правила, които вече не са необходими.
• Използвайте .htaccess само където е необходимо — поставете го само в директории, които изискват специфични правила.
• Обмислете преместване на правилата в httpd.conf — в среда, където имате пълен достъп до сървъра — като VPS хостинг или Dedicated сървър, където имате root достъп — поставянето на правилата директно в основната конфигурация на Apache е значително по-бързо, тъй като се чете само веднъж при стартиране.

Разрешения за файлове

Винаги задавайте разрешения на файла .htaccess на 644:

chmod 644 /var/www/html/public_html/.htaccess

Това предотвратява неоторизирани потребители да модифицират файла, докато позволява на Apache да го чете.

Защита на самия .htaccess файл

Предотвратете преки достъп до вашия файл .htaccess от уеба:

<Files ".htaccess">
    Order Allow,Deny
    Deny from all
</Files>

Тестване и отстраняване на неизправности на правилата на .htaccess

Неправилния синтаксис на .htaccess е една от най-честите причини за отговори 500 Internal Server Error. Следвайте тези най-добри практики, за да отстраните проблемите ефективно:

Направете една промяна наведнъж

Никога не правете множество промени едновременно. Приложете едно правило, тествайте го, след това преминете към следващото. Това улеснява идентифицирането кое правило е причинило проблем.

Проверете регистрите на грешките на Apache

Регистрите на грешките на Apache са вашия основен диагностичен инструмент:

# Ubuntu/Debian
tail -f /var/log/apache2/error.log

# CentOS/RHEL
tail -f /var/log/httpd/error_log

Коментирайте правилата временно

Използвайте символа #, за да коментирате правилата, които искате да деактивирате, без да ги изтривате:

# RewriteRule ^old-page$ /new-page [R=301,L]

Тестване на пренасочвания с curl

Използвайте curl, за да провер