Генератор .htaccess онлайн
Куда вы планируете положить этот .htaccess?
Пресеты
Базовые настройки
HTTPS и домен
Доступ по IP
Защита файлов и папок
/admin/; она будет закрыта вместе со всеми файлами внутри. Если слеш забыли, путь без расширения вроде admin тоже будет считаться папкой.
Файл — с именем и расширением: config.php. Эти правила закрывают путь для всех посетителей, не только по IP.
Security headers
Кэш и сжатие
Страницы ошибок
Результат
Генератор .htaccess онлайн помогает создать файл конфигурации Apache без ручного набора правил. Конструктор собирает безопасный .htaccess из готовых блоков: HTTPS, www/non-www, 301-редиректы, защита по IP, защита служебных файлов, security headers, кэширование статики и gzip. Всё работает прямо в браузере — текст файла не отправляется на сервер uToolkit.
Как пользоваться
- Выберите область применения: Укажите, куда вы планируете положить файл — в корень сайта или в отдельную папку (например /admin/). Это нужно, чтобы конструктор предупредил вас о рискованных комбинациях.
- Выберите пресет или настройте вручную: Готовые пресеты («Обычный сайт», «Закрыть по IP», «Редиректы», «WordPress») включают типовой набор блоков. Дальше можно донастроить любой блок вручную.
- Проверьте результат: Готовый файл собирается автоматически в текстовом поле справа по мере того, как вы отмечаете блоки.
- Скопируйте или скачайте: Перед заменой файла на сервере обязательно сделайте backup текущего .htaccess.
Что входит в конструктор
- HTTPS и домен. Принудительный HTTPS, www ↔ non-www, миграция со старого домена, точечные 301-редиректы отдельных страниц.
- WordPress / front controller. Стандартный rewrite-блок на index.php.
- Доступ по IP. Ограничение доступа ко всей выбранной области или к одному файлу в этой же папке по списку IP/CIDR — только синтаксис Apache 2.4.
- Защита файлов. Блокировка служебных файлов (.env, .sql, .bak, .log, .ini, .conf, .htpasswd), дополнительных файлов/путей, отдельное правило для папки .git, запрет листинга директорий.
- Security headers. X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, HSTS (опционально).
- Кэш и сжатие. Кэширование статики по типам файлов, gzip через mod_deflate.
- Страницы ошибок. Кастомные 404/403/500.
В первой версии осознанно нет CSP, фильтров SQL/XSS в адресе, защиты от хотлинкинга и полноценной Basic Auth с генерацией .htpasswd — эти блоки легко дают ложные срабатывания или требуют отдельной настройки под конкретный сайт.
Безопасность
Если вы выбрали «в корень сайта» и включили ограничение по IP, результат скрывается за предупреждением и обязательным подтверждением — это частая ошибка новичков, которая закрывает весь сайт от посетителей и поисковых роботов. Внутри самого блока IP-доступа также есть предупреждающий комментарий о том, в какую папку класть файл.
Генератор использует синтаксис Apache 2.4 и не добавляет в MVP спорные правила CSP, фильтры SQL/XSS в query string, hotlink protection и скрытие расширений PHP/HTML. Это сделано намеренно: такие блоки требуют ручной настройки под конкретный сайт и могут ломать аналитику, виджеты или рабочие URL.
Частые вопросы
Текст файла отправляется на сервер?
Нет. Весь конструктор работает в браузере на JavaScript — ничего не отправляется и не сохраняется на сервере uToolkit.
Почему нельзя сразу скопировать файл с защитой по IP?
Если вы выбрали «в корень сайта» и включили ограничение по IP, конструктор скрывает результат за предупреждением. Это частая ошибка новичков: такой файл закрывает весь сайт от всех посетителей и поисковых роботов, кроме перечисленных IP. Обычно этот блок нужен только для отдельной папки (например /admin/).
Какой синтаксис используется для ограничения по IP?
Только синтаксис Apache 2.4 (Require ip / Require all denied). Старый синтаксис Apache 2.2 (Order deny,allow / Allow from / Deny from) намеренно не используется.
Почему IP-ограничение может не сработать на некоторых хостингах?
Для директив Require в .htaccess сервер должен разрешать соответствующие AllowOverride-настройки для папки. На обычных панелях хостинга это часто уже включено, но если правило не срабатывает, проверьте настройки Apache или обратитесь в поддержку хостинга.
Можно закрыть один конкретный файл?
Да. В блоке «Защита файлов и папок» можно добавить конкретные имена файлов или пути, которые нужно закрыть полностью. А в блоке «Доступ по IP» можно выбрать режим «один файл в этой же папке» и разрешить его только указанным IP.
Что делать с готовым файлом?
Скачайте или скопируйте результат и загрузите в нужную папку на сервере через FTP или файловый менеджер хостинга, заменив текущий .htaccess. Перед заменой обязательно сохраните копию старого файла.
Почему в конструкторе нет CSP, защиты от хотлинкинга или фильтра SQL-инъекций?
Это осознанное решение для первой версии. Такие правила легко дают ложные срабатывания на чужих сайтах (например, блокируют легитимные параметры в адресе) или могут незаметно сломать аналитику и виджеты. Сейчас в конструкторе только блоки, которые безопасно работают на типовом сайте без тонкой настройки.
Можно указывать диапазон IP, а не только один адрес?
Да, поддерживается CIDR-нотация, например 192.168.1.0/24, наравне с одиночными адресами IPv4 и IPv6.