Die Webserver-Konfigurationsdatei .htaccess ist eine der wichtigsten Dateien deiner Website-Installation. Viel kann diese oftmals noch unterschätzte Datei leisten. Sie kann zu einem wahren Performance-Schub einer Website ebenso beitragen, wie zu erhöhter Sicherheit. Beides ist in der heutigen Zeit wichtig. Die Ladegeschwindigkeit ist bereits seit längerem ein Rankingfaktor für die Position der eigenen Website in den Google-Suchergebnissen. Zudem werden immer wieder WordPress-Websites gehackt, weil kein Augenmerk auf die Sicherheit der Website gelegt wird. In diesem Artikel stelle ich meine eigene .htaccess-Datei vor, die ich im Laufe der Zeit immer weiter verfeinert und optimiert habe.
Eine optimale .htaccess Datei
Eine optimale .htaccess-Datei wird es niemals fertig konfiguriert geben können, da sich viele Punkte individuell auf die eigene Website beziehen werden. Auch die von mir vorgestellte Datei ist nur ein großer Teil dessen, was bei mir aktiv ist. Einiges muss noch auf persönliche Bedürfnisse angepasst werden, doch mit dem folgenden Code hat man bereits sehr viel erreicht. Vor allem ist eine optimale Grundlage für eine wirklich schnelle Website geschaffen worden. Nicht vergessen habe ich dabei den Bereich Sicherheit, der sich zum Teil auf WordPress bezieht.
Die komplette Datei kann bei GitHub heruntergeladen werden.
Teil 1: Browser-Caching
Im Abschnitt Caching wurde an alles gedacht, auch an das Zwischenspeichern der beliebten Webfonts, die dann allerdings auf dem eigenen Server liegen sollten. In der Sektion für die Bildformate findet das neue Grafik-Format WebP Berücksichtigung. Dateien, die sich im Allgemeinen eher selten ändern, zum Beispiel JavaScripts, bekommen einen weit in der Zukunft definierten Cache-Header. Feeds hingegen werden nur eine Stunde gecached, fast alle anderen Dateien hingegen einen Monat. Zu beachten ist, dass in der Datei statische HTML-Seiten für eine schnellere Auslieferung für eine Stunde (3.600 Sekunden) in den Speicher befördert werden. Wer das nicht möchte, setzt stattdessen ein „access plus 0 seconds„ ein.
Der ETag-Header wird durch die .htaccess deaktiviert, da ein Last-Modified-Header gesendet wird. Zudem ist die ETag-Technologie bekannt als langsam, daher nutzen wir sie nicht. Wichtig zu erwähnen ist, dass ein keep-alive-Header gesendet wird. Das erlaubt dem Browser das gleichzeitige Laden mehrerer Dateien und sorgt für einen weiteren Performance-Schub.
Bitte beachten: Da auch das CSS zwischengespeichert wird, sollte man, wenn man öfter etwas daran ändert, entweder die Datei nach einer Änderung umbenennen, oder eine Versionierung implementieren. Ich bevorzuge die zweite Lösung, die ein Teil eines zukünftigen Artikels sein wird.
Ein Klick öffnet die komplette Datei bei GitHub
Teil 2: Die komprimierte Auslieferung der Dateien
Viele Vorschläge für .htaccess Dateien, die im Netz zu finden sind, sind nur rudimentär und unvollständig. Alle denkbaren und wichtigen Datei-Formate werden durch meine .htaccess komprimiert ausgeliefert, damit ein wirklicher Geschwindigkeitsvorteil entsteht.
Ein Klick öffnet die komplette Datei bei GitHub
Teil 3: Allgemeine Sicherheitseinstellungen
Der Grandseigneur des Webdesigns – Jeff Starr von Perishable Press – feilt bereits seit Jahren an seiner Blockliste für die .htaccess. Die neueste Version seiner Firewall, die 6G, ist ein Manifest der Sicherheit und wird gerne durch einige WordPress-Security-Plugins kopiert, weil sie so effektiv ist. Sie schützt unter anderem vor Cross-Site-Scripting und Schadcode-Implementierung über die Erweiterungen von URLs. Hackversuche werden trotz des minimalen Codes wirkungsvoll unterbunden und der Code arbeitet sehr effektiv.
Ein Klick öffnet die komplette Datei bei GitHub
Teil 4: Wichtige Sicherheitseinstellungen für WordPress
Die allgemeine Beliebtheit des Content-Management-Systems WordPress ist leider der Grund dafür, dass es sich immer öfter den Hackversuchen böswilliger Mitmenschen ausgesetzt sieht. Mit einigen Zeilen Code in der .htaccess kann man dem vorbeugen. Kommt dann noch eine Absicherung des Administrator-Zugangs der Website hinzu, kann man die Site als sicher ansehen, wenn man die Basics wie das rechtzeitige Update von WordPress, Theme und Plugins beherrscht.
Wie man den Admin-Zugang einer WordPress-Website per .htaccess und .htpasswd wirkungsvoll absichert, haben wir bereits beschrieben. Ebenfalls wird die potenziell unsichere XML-RPC-Schnittstelle von WordPress mit diesem Code völlig abgeschaltet. Wer die Schnittstelle nutzen möchte, weil er zum Beispiel mit der neuen WordPress-Desktop-App arbeitet, muss den Bereich des Codes auskommentieren. Das geschieht mit einer vorgesetzten Raute (#) pro Code-Zeile. Die Absicherung des Adminbereichs ist bereits vorbereitet, wenn du diese Form der Sicherheit nicht nutzen möchtest, dann kommentiere diesen Bereich aus.
Ein Klick öffnet die komplette Datei bei GitHub
Download der kompletten .htaccess Datei
Die komplette .htaccess Datei kann bei GitHub heruntergeladen werden.
Fazit
Mit dieser .htaccess Datei sind wir schon ziemlich nahe am Optimum. Die Datei ist eine hervorragende Grundlage, in der nur noch einige kleine, seitenspezifische Details ergänzt werden müssen (vermutlich). Mir und meiner Website leistet diese Datei sehr gute Dienste, und, ich hoffe stark, dir auch. Die Datei ist zudem so aufgebaut, dass es keine nervigen Probleme mehr bei Google Page Speed Insights gibt. Falls jemand von euch der Meinung ist, es gäbe da noch Verbesserungsbedarf, dann schreibe er/sie bitte einen Kommentar. Auch ich lerne gerne noch dazu :-)
Links zum Thema:
- Dr. Web: WordPress: Das kann die neue Desktop-App
- Dr. Web: WordPress-Sicherheit: Die XML-RPC-Schnittstelle abschalten
- Dr. Web: WordPress: So schützen Sie Ihre Website vor Hackern
(dpe)