Crear uno de estos archivos es muy simple, podemos usar cualquier editor de texto y al salvarlo estar seguros de que lleva por nombre, exactamente, “.htaccess” -claro está, sin las comillas-.

Evitar el listado del contenido de un directorioUno de los primeros indicadores que nos pueden alertar de una configuración insegura de un servidor web es poner en la barra de direcciones del navegador una url que apunte a un directorio del servidor (http://www.dominio.es/images) y que el navegador nos muestre un listado de las carpetas y archivos que ahí se alojan. Salvo que lo tengamos pensado así de manera expresa, deberíamos evitar que este tipo de cosas sucedan puesto que estamos abriendo el contenido completo de nuestra web a terceros y, precisamente, para controlar este tipo de situaciones podemos usar las directivas DirectoryIndex u -Indexes para definir índices que eviten listar el contenido de una carpeta.

Proteger archivos y carpetas importantesSi pensamos un momento en WordPress, el archivo wp-config.php (que se encuentra en el raíz) almacena la dirección de nuestra base de datos, la base de datos que usamos así como el usuario y la contraseña, una información de gran valor para un atacante externo. Para evitar el acceso a este tipo de archivos “singulares” podremos valernos de reglas como la siguiente para evitar que alguien acceda pueda acceder a nuestro archivo:<files wp-config.php>order allow,denydeny from all</files>

Otro detalle a tener en cuenta es la protección de carpetas críticas a las que nadie, salvo un administrador, debería poder entrar. ¿Y de qué tipo de carpetas estamos hablando? Si retomamos el ejemplo de WordPress, nadie debería poder entrar en la carpeta de los plugins o en la carpeta uploads y así evitar que alguien recopile más información de la cuenta. ¿Y qué podemos hacer en estos casos? Una buena forma, y elegante, de evitar el acceso es forzar una redirección hacia nuestra página principal siguiendo esquemas como:Redirect 301 /wp-content/index.php http://www.tudominio.com/Redirect 301 /wp-content/themes/index.html http :// www . tudominio . com /

Crear páginas de error personalizadasYa todos sabemos que los servidores devuelven al cliente diferentes códigos de error cuando algo no anda bien, por ejemplo: el famoso 404 para las páginas no encontradas, 403 para acceso denegado o el temido error 500 que indica un problema interno con el servidor. Con .htaccess es posible redirigir a los visitantes hacia una página mucho más amigable cuando uno de estos errores se presenta. Todo lo que debemos hacer es agregar el siguiente código a nuestro “fichero mágico”.ErrorDocument 400 /error/400.htmlErrorDocument 401 /error/401.htmlErrorDocument 403 /error/403.html

ErrorDocument 404 /error/404.htmlErrorDocument 500 /error/500.html

Forzar la descarga de tipos de fichero específicosSi en nuestro sitio web ofrecemos acceso a diferentes tipos de archivos como .mp3, .pdf, .xls, etc, podemos establecer una configuración para que estos se descarguen de manera forzada en lugar de permitir al navegador elegir que hacer con ellos. El código para realizar esto es el siguiente y solo debemos modificar la extensión del tipo de archivo que deseamos forzar.<Files *.mp3> ForceType application/octet-stream Header set Content-Disposition attachment</Files><Files *.xls> ForceType application/octet-stream Header set Content-Disposition attachment</Files>

Prevenir el HotlinkingEn el artículo anterior aprendimos lo que significa Hotlinking (o Hotlink) y que es posible prevenirlo gracias a .htaccess. Con el siguiente código evitaremos que otros consuman nuestro valioso ancho de banda.RewriteEngine On#Cambiamos ?mysite\.com/ con la url de nuestro sitioRewriteCond %{HTTP_REFERER} !^http://(.+\.)?mysite\.com/ [NC]RewriteCond %{HTTP_REFERER} !^$#Cambiamos /images/nohotlink.jpg con una imagen que indique que no toleramos los hotlinksRewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Utilizar el cache para aumentar la velocidad de nuestro sitioProbablemente este sea uno de los códigos más valiosos de esta lista, ya que nos permitirá acelerar de manera considerable la velocidad de carga de nuestro sitio utilizando el cache. Cada bloque de código a continuación sirve para definir los tipos de archivo que se almacenarán en cache y la cantidad de tiempo -en segundos- que permanecerán allí.

<ifmodule mod_expires.c> ExpiresActive On ExpiresDefault A3600 <FilesMatch ".(gif|jpg|jpeg|png|swf)$"> # 2 weeks ExpiresDefault A604800 Header append Cache-Control "public" </FilesMatch>

<FilesMatch ".(xml|txt|html)$"> # 2 hours ExpiresDefault A604800 Header append Cache-Control "public" </FilesMatch> <FilesMatch ".(js|css)$"> # 3 days ExpiresDefault A604800 Header append Cache-Control "public" </FilesMatch></ifmodule>

Crear una lista negra de direcciones IPComo bien explicaba nuestro compañero JJ, con .htaccess podemos combatir el SPAM de manera agresiva. Una forma de hacerlo es bloqueando las direcciones IP identificadas como fuente de comentarios basura. Copia y pega el siguiente código en el fichero .htaccess de tu servidor y reemplaza las direcciones IP por las que deseas bloquear.<Limit GET POST PUT>order allow, denyallow from alldeny from 123.123.123.1deny from 555.555.555.5deny from 000.000.000.0</Limit>

Crear un registro de errores de PHPMientras desarrollabas tu sitio usando PHP o quizá navegando por red, es probable que te hayas encontrado con una página que imprimía algún error de PHP como parte de la “decoración”. Estos errores, además de ser desagradables para el usuario común, puede brindar información sensible que puede ser aprovechada por un visitante malintencionado. Para evitar que se impriman en pantalla y, por el contrario, se registren en una bitácora dentro del servidor podemos usar el código a continuación.# evitar que los errores se muestren al usuariophp_flag display_startup_errors offphp_flag display_errors offphp_flag html_errors off# registrar errores en la bítacoraphp_flag log_errors onphp_value error_log /logs/php_error.log

Redireccionar dispositivos móviles

Si tu sitio no tiene un diseño sensible (responsive web design), quizá te resulte de gran utilidad redirigir el tráfico hacia una versión especialmente preparada para dispositivos móviles.RewriteEngine OnRewriteCond %{REQUEST_URI} !^/m/.*$RewriteCond %{HTTP_ACCEPT} "text/vnd.wap.wml|application/vnd.wap.xhtml+xml" [NC,OR]RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|phone|pocket|mobile|pda|psp" [NC]#------------- La siguiente linea excluye al iPad de la listaRewriteCond %{HTTP_USER_AGENT} !^.*iPad.*$#-------------RewriteCond %{HTTP_USER_AGENT} !macintosh [NC] #*SEE NOTE BELOWRewriteRule ^(.*)$ /m/ [L,R=302]

Soporte para vídeos en HTML5Una de las principales características de HTML5, es la capacidad de reproducir vídeos sin la necesidad de usar plugins, y muchos están aprovechando esta ventaja en sus sitios. Sin embargo, es posible que existan algunos problemas con ciertos formatos de vídeo a la hora de reproducirlos. Alguien que se enfrentó a este inconveniente nos ofrece una solución que utiliza .htacces.RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteCond %{REQUEST_URI} !=/favicon.icoAddType video/ogg .ogvAddType video/ogg .oggAddType video/mp4 .mp4AddType video/webm .webmAddType application/x-shockwave-flash swf

Redirecciones 301Si quieres realizar un cambio de dominio o redirigir el tráfico de una o varias páginas de tu sitio sin ser penalizado por Google -y probablemente otros buscadores-, las redirecciones 301 son la mejor opción. El código .htacces para esto es el siguiente:

Redirect 301 /d/file.html http://www.domainname.com/r/file.html

Proteger un archivo específicoLos servidores almacenan diferentes archivos que guardan la configuración para el funcionamiento del sitio, muchos de estos contienen nombres de usuarios, rutas a bases de datos y contraseñas, información sensible que puede utilizar un usuario malintencionado para poner en jaque la integridad y seguridad de nuestro sitio. Para agregar una capa extra de seguridad y apartar estos archivos de los “curiosos”, podemos usar el siguiente método para lanzar un código de error 403. Suponiendo que queremos proteger el archivo wp-config.php de una instalación de WordPress, el código sería:<Files wp-config.php>order allow,denydeny from all</Files>

Proteger un directorio con contraseñaCon .htaccess también es posible proteger un archivo o directorio completo usando una contraseña. Los códigos para ambos casos se muestran a continuación:#Proteger un archivo con contraseña<files secure.php="">AuthType BasicAuthName "Prompt"AuthUserFile /home/path/.htpasswdRequire valid-user</files>

#Proteger un directorio con contraseñaresidesAuthType basicAuthName "This directory is protected"AuthUserFile /home/path/.htpasswdAuthGroupFile /dev/nullRequire valid-user

Debes prestar especial atención al archivo . htpasswd ya que este almacena toda la información relacionada con la autenticación de los usuarios.

Remover www de las URLs de tu sitioPara convertir http://www.tusitio.com en http://tusitio.com, basta con agregar el siguiente código a tu archivo .htaccess.#remover www de la URLRewriteEngine OnRewriteCond %{HTTP_HOST} ^www\.domain\.com$ [NC]RewriteRule ^(.*)$ http://domain.com/$1 [L,R=301]

Con esto llegamos al final de este pequeño, pero útil e interesante recorrido por el mundo .htaccess. Las dudas y comentarios son siempre bienvenidos y esperamos poder brindar ayuda adicional a través de esta vía.