我们都知道WordPress网站的伪静态规则是通过.htaccess文件来实现的，但很多人还不知道.htaccess其实还有很多用处。这个文件可实现很多功能，比如可以用于禁止IP访问，禁止访问某个目录，设置301跳转等等。用.htaccess文件即可实现很多网站安全设置。今天就教大家八个最常用的.htaccess使用技巧来加强WordPress网站安全。

1、用.htaccess来保护WordPress后台
我们可以用.htaccess文件来限制只允许白名单IP访问WordPress后台，其它未授权的IP均访问不了后台地址。以下的.htaccess代码：

#只允许白名单IP访问WordPress后台
#代码来源: www.wpzxbj.com
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic

order deny,allow
deny from all
# whitelist IP 1
allow from xx.xx.xx.xxx
# whitelist IP 2
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx

以上代码中的xx.xx.xx.xxx为允许访问后台的IP地址，请替换成你自己的。将包含以上代码的.htaccess文件上传到wp-admin文件夹内即可。

2、禁止查看WordPress文件夹目录
这点是基础安全防护，我想大部分人都明白服务器的目录浏览权限一般都会在服务器端禁用，其重要性无需多说。不过可能你用的服务器没设置这项，那就只能用.htaccess来禁止查看文件夹目录了。禁止查看文件夹目录很简单，就一行代码添加到.htaccess文件即可：

Options -Indexes

3、在某些目录下禁止执行PHP
黑客往往会用后门程序来黑掉WordPress网站，而这些后门程序往往又会被伪装成系统核心文件放到wp-includes或uploads目录下，所以我们需要在这些目录下禁止执行PHP以提高安全性。只需上传一个包含以下代码的.htaccess文件到以上所说目录即可：

deny from all

4、保护wp-config.php文件
wp-config.php文件作为wordpress网站的总控制文件，其重要性绝对不容忽视。所以我们必须禁止一切未经授权的访问此文件。将以下代码加入网站根目录下的.htaccess文件即可实现禁止访问wp-config.php：

#保护wp-config.php
#代码来源: www.wpzxbj.com

order allow,deny
deny from all

5、通过.htaccess文件设置301跳转
301跳转对SEO的作用就不用我多说了吧，这是个常用必备功能。如果你的网站地址发生变化，你就需要用301跳转来告诉搜索引擎已经将旧地址变更到新地址了。具体实现301跳转的方法如下，将类似以下代码加入.htaccess文件即可：

#设置301跳转
#代码来源: www.wpzxbj.com
Redirect 301 /oldurl/ http://www.example.com/newurl
Redirect 301 /category/A/ http://www.example.com/category/B/

6、禁止恶意IP访问
比较常用于禁止一些垃圾蜘蛛抓取，也经常用于禁止一些恶意扫描等等。将以下代码加入.htaccess文件即可，将xxx.xxx.xx.x替换为你要禁止其访问的IP地址：

#禁止恶意IP访问
#代码来源: www.wpzxbj.com

order allow,deny
deny from xxx.xxx.xx.x
allow from all

7、用.htaccess禁止图片盗链

#禁止图片盗链
#代码来源: www.wpzxbj.com
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?wpzhinan.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?baidu.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ – [NC,F,L] 

代码说明：将允许用你图片的网站添加到以上代码中，其它未添加的网站都将无法显示盗链自你网站的图片。最后一行是设置应用此规则的图片类型，可自行根据需要修改。

8、保护.htaccess文件本身
.htaccess文件可用来保护其它目录及文件，但别忽略了还得保护它自己。这点也非常重要，如果.htaccess文件被攻陷，那上面所说的各种保护都白搭了。可将以下代码插入网站根目录.htaccess文件来保护它自己：

#禁止访问.htaccess
#代码来源: www.wpzxbj.com

order allow,deny
deny from all
satisfy all

通过以上八点技巧可以给你的WordPress网站上好几道锁，网站安全系数可提高很多。当然，光靠.htaccess文件来设置安全策略是不够的，还需服务器安全配置。