Konfigurace .htaccess pro ochranu heslem v prostředí Apache nebo LiteSpeed hostingů představuje praktický soubor bezpečnostních metod, jak chránit adresář uživatelským jménem a heslem, zabránit čtení samotného souboru .htaccess zvenčí, vynutit přesměrování na HTTPS a omezit škodlivé přístupy. Nejčastějším scénářem je nastavení ochrany adresáře přes Basic Auth a ukládání zašifrovaných hesel v souboru .htpasswd. Zásadní ovšem je, že Basic Auth sám o sobě data nešifruje; pro bezpečné nasazení musí vždy běžet na HTTPS s platným SSL certifikátem. SSL certifikát Bezpečný Web Hosting
Zabezpečení webových stránek se často spojuje s rozsáhlými firewally, složitým softwarem nebo drahými pluginy. Přitom správně nastavený soubor .htaccess představuje jednu z prvních obranných linií, zejména na sdílených hostingách, u WordPressu, vlastních PHP aplikací a webů malých firem. Pomocí tohoto souboru můžete heslem ochránit kritické složky, jako je administrace, přesměrovat HTTP provoz na HTTPS, zakázat výpis obsahu adresáře, zablokovat přístup k citlivým souborům, omezit hotlinking a aktivovat základní bezpečnostní HTTP hlavičky.
V tomto průvodci se krok za krokem podíváme na ochranu adresářů heslem, vysvětlíme si nejpoužívanější bezpečnostní příkazy z reálného provozu a nabídneme vzorové zápisy, které můžete rovnou zkopírovat a upravit. Uvedené direktivy jsou vhodné především pro hostingová prostředí s podporou modulů mod_rewrite, mod_auth_basic a mod_headers. Servery LiteSpeed jsou do značné míry kompatibilní s Apache, takže většina pravidel funguje stejně. Přesto důrazně doporučujeme před zásahem do ostrého webu vždy zálohovat stávající soubor a ideálně vše nejprve vyzkoušet na testovací subdoméně. Správa domény Zálohování webové stránky
Co je soubor .htaccess a proč je klíčový pro bezpečnost?
.htaccess je lokální konfigurační soubor, který určuje, jak se má webový server chovat v daném adresáři a jeho podadresářích. Umístěný v kořenovém adresáři obvykle ovlivňuje celý web; například soubor .htaccess ve složce public_html spravuje pravidla platná pro hlavní kořen vaší domény. Pokud jej umístíte do podadresáře, platí pouze pro tuto složku a cesty pod ní.
Protože umožňuje řídit přístup na úrovni serveru, lze určité požadavky zablokovat ještě dříve, než se vůbec dostanou k aplikačnímu kódu. Pokud například ochráníte složku admin heslem, útočník se ještě před načtením WordPressu, vlastního panelu nebo PHP skriptu setká s výzvou k ověření totožnosti přímo na serveru. Tento přístup snižuje riziko útoků hrubou silou a ztěžuje zneužití zranitelností na úrovni aplikace.
Hlavní bezpečnostní výhody souboru .htaccess:
- Pravidla přístupu lze definovat bez zásahu do zdrojového kódu aplikace.
- Vybrané složky lze ochránit uživatelským jménem a heslem.
- HTTP požadavky lze automaticky přesměrovat na HTTPS.
- Lze omezit výpis adresáře, přístup k citlivým souborům a hotlinking.
- Bezpečnostní hlavičky umožňují bezpečnější chování prohlížeče.
- Omezení lze nastavit podle IP adresy, přípony souboru nebo metody požadavku.
To ovšem neznamená, že .htaccess zajistí veškerou bezpečnost sám. Nejlepších výsledků dosáhnete v kombinaci s aktuálním softwarem, politikou silných hesel, pravidelnými zálohami, spolehlivou hostingovou infrastrukturou, WAF, skenováním malwaru a SSL certifikátem. Bezpečnost hostingu Bezpečnost WordPress
Princip ochrany heslem: Basic Auth a .htpasswd
Sousloví ochrana .htaccess heslem mívá dva významy. Prvním je výzva k zadání uživatelského jména a hesla při vstupu do adresáře; druhým je zamezení čtení samotného souboru .htaccess zvenčí. První úkol řeší Basic Auth, druhý sada pravidel omezujících přístup k souborům.
V mechanismu Basic Auth obsahuje .htaccess ověřovací pravidlo a soubor .htpasswd uchovává uživatelské jméno a hash hesla. Heslo nikdy neukládejte v prostém textu. Moderní systémy využívají hashovací algoritmy bcrypt, Apache MD5 nebo SHA. Nejbezpečnějším přístupem je využít nástroj pro ochranu adresářů v ovládacím panelu hostingu; ten totiž většinou umístí .htpasswd na správné místo a hashování provede automaticky.
Ukázkové pravidlo pro ochranu heslem vypadá takto:
AuthType Basic
AuthName Chranena oblast
AuthUserFile /home/uzivatel/.htpasswd
Require valid-user
Význam těchto čtyř řádků je prostý: nastaví se typ ověření Basic, určí se text, který se zobrazí v dialogovém okně prohlížeče, uvede se úplná serverová cesta k souboru .htpasswd a povolí se přístup pouze ověřeným uživatelům. Nejčastější chybou je zadání URL adresy do řádku AuthUserFile. Správná hodnota není webová adresa, nýbrž fyzická cesta na serveru. Například https://mojedomena.cz/.htpasswd je špatně; /home/uzivatel/.htpasswd je blízko správnému formátu.
Kam umístit soubor .htpasswd?
Soubor .htpasswd pokud možno umístěte mimo složku public_html. I při chybné konfiguraci serveru tak nebude možné soubor přímo načíst přes web. Pokud váš web běží v /home/ucet/public_html, umístěte .htpasswd například do /home/ucet/.htpasswd, tedy mimo kořen webu.
Co se týče oprávnění, praktickou výchozí hodnotou je pro .htpasswd 640 nebo 644 a pro .htaccess 644. Podle konfigurace serveru mohou být potřeba jiná oprávnění; hodnoty jako 777, které umožňují zápis komukoli, však představují bezpečnostní riziko a neměly by se používat.
Krok za krokem: Ochrana adresáře heslem přes .htaccess
Následující postup je vhodný pro každého, kdo chce chránit složky jako admin, panel, test, staging, reporty nebo zákaznické soubory. Než začnete, vždy si zálohujte stávající .htaccess. I jediný chybný znak může způsobit chybu 500 Internal Server Error.
1. Určete složku k ochraně
Nejprve si ujasněte, který adresář chcete chránit heslem. Pokud například chcete zabezpečit pouze oblast mojedomena.cz/admin, můžete .htaccess umístit přímo do složky admin. Pokud chcete celý web dočasně uzavřít a zpřístupnit jej pouze oprávněným osobám, přidejte pravidlo do .htaccess v kořenovém adresáři.
2. Vytvořte uživatele v .htpasswd
Pokud váš hostingový panel nabízí nástroj pro heslem chráněné adresáře, je to nejpohodlnější cesta. Není-li k dispozici, lze na serverech s přístupem SSH použít příkaz htpasswd. Ukázková logika je následující: htpasswd -c /home/uzivatel/.htpasswd admin. Tento příkaz vygeneruje heslo pro uživatele admin a uloží je do souboru. Při přidávání dalších uživatelů do existujícího souboru parametr -c vynechejte; jinak hrozí přepsání souboru.
3. Vložte pravidlo do .htaccess
Do souboru .htaccess v chráněné složce přidejte tyto řádky:
AuthType Basic
AuthName Sprava webu
AuthUserFile /home/uzivatel/.htpasswd
Require valid-user
Po uložení otevřete danou složku v prohlížeči. Pokud se zobrazí výzva k zadání jména a hesla, bylo nastavení úspěšné. Pokud se ani se správným heslem nemůžete přihlásit, je pravděpodobně chybná cesta v AuthUserFile nebo server nemůže číst oprávnění souboru .htpasswd.
4. Bez HTTPS ochranu heslem nepoužívejte
Basic Auth přenáší přihlašovací údaje kódované v Base64; to není skutečné silné šifrování. Pokud provoz probíhá přes HTTP, může kdokoli odposlouchávající síť zachytit uživatelské jméno i heslo. Proto by pravidlo pro ochranu heslem mělo být vždy doplněno vynucením HTTPS. Na Hostragons můžete toto riziko snížit aktivací SSL a následným přidáním pravidla pro přesměrování na HTTPS. instalace SSL HTTPS přesměrování
Vynucení HTTPS a přesměrování www
Jedním ze základních kroků ke zvýšení bezpečnosti webu je přesměrování veškerého provozu na HTTPS. Po aktivaci SSL certifikátu můžete do .htaccess v kořenovém adresáři přidat pravidlo v tomto duchu:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Toto pravidlo přesměruje požadavky přicházející přes HTTP na stejnou doménu a stejnou cestu, ale přes HTTPS. Trvalé přesměrování 301 vysílá správný signál i z hlediska SEO. Pokud však váš web využívá reverzní proxy, CDN nebo load balancer, může být stav HTTPS vyhodnocován z jiných hlaviček. V takovém případě se řiďte pravidlem doporučeným vaším poskytovatelem hostingu.
Také preference varianty www a bez www by měla být konzistentní. Pokud chcete veškerý provoz přesunout na verzi bez www, můžete použít tento přístup:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.mojedomena\.cz$ [NC]
RewriteRule ^(.*)$ https://mojedomena.cz/$1 [L,R=301]
Nezapomeňte nahradit mojedomena.cz vlastní doménou. Pokud provádíte přesměrování na HTTPS i www současně, dbejte na to, abyste nevytvářeli zřetězená přesměrování. Ideální stav je takový, kdy se uživatel dostane na cílovou URL v jediném kroku. Přesměrování domény SEO kompatibilní přesměrování
Základní příkazy pro zvýšení bezpečnosti webu přes .htaccess
Následující tabulka shrnuje nejčastěji používané bezpečnostní direktivy .htaccess a situace, kdy je vhodné je nasadit. Před přidáním každého příkazu zkontrolujte stávající konfiguraci; některá pravidla se mohou dostat do konfliktu s WordPressem, Laravelem nebo jiným CMS.
| Účel | Ukázkový příkaz nebo direktiva | Kdy použít? | Na co si dát pozor |
|---|---|---|---|
| Ochrana adresáře heslem | AuthType Basic, Require valid-user | Admin, staging, složky s reporty | Vždy používat společně s HTTPS |
| Vynucení HTTPS | RewriteCond %{HTTPS} off | Pro zabezpečení veškerého provozu webu | Při nasazení CDN může být potřeba speciální pravidlo |
| Zákaz výpisu adresáře | Options -Indexes | Složky bez výchozího indexového souboru | Zabrání zobrazení struktury souborů |
| Ochrana .htaccess | Require all denied | Zamezení čtení konfiguračních souborů | Syntaxe se může lišit podle verze Apache |
| Blokování hotlinkingu | RewriteCond %{HTTP_REFERER} | Omezení vkládání obrázků na cizí weby | Otestujte náhledy CDN a sociálních sítí |
| Bezpečnostní hlavičky | Header set X-Frame-Options SAMEORIGIN | Omezení útoků na straně prohlížeče | Musí být aktivní mod_headers |
Zákaz výpisu obsahu adresáře
Pokud ve složce chybí soubor index.html, index.php nebo jiný výchozí vstupní soubor, může server zobrazit seznam souborů. To představuje riziko u záložních souborů, obrázků, dočasných reportů nebo starých zdrojových kódů. Jednoduchým příkazem výpis adresáře zakážete:
Options -Indexes
Po vložení tohoto řádku si již uživatelé nebudou moci nechat obsah složky vypsat. U složek bez indexového souboru se obvykle zobrazí odpověď 403 Forbidden, což je z bezpečnostního hlediska žádoucí chování.
Zamezení přístupu k .htaccess a citlivým souborům
Váš soubor .htaccess nesmí být čitelný přes web. Apache tento soubor obvykle chrání standardně, ale jako další bezpečnostní vrstvu lze použít toto pravidlo:
<Files .htaccess>
Require all denied
</Files>
Podobně by měly být před vnějším přístupem chráněny i soubory jako .env, composer.json, composer.lock, config.php.bak, backup.sql, database.sql. Zejména v Laravelu, Symfony nebo vlastních PHP aplikacích může soubor .env obsahovat heslo k databázi, API klíče a SMTP údaje. Únik tohoto souboru může vést až k ovládnutí celého systému.
Pro zablokování více citlivých přípon souborů lze použít tento přístup:
<FilesMatch ^(\.env|composer\.(json|lock)|package\.json|yarn\.lock|.*\.sql|.*\.bak)$>
Require all denied
</FilesMatch>
Při přidávání těchto pravidel se ujistěte, že neblokujete statické soubory, které vaše aplikace skutečně potřebuje. Některé ověřovací nebo integrační soubory by mohly být nechtěně zahrnuty a služby třetích stran by přestaly fungovat.
Zákaz spouštění PHP ve vybraných složkách
Složky pro nahrávání (upload) patří mezi nejčastější cíle útočníků. Pokud systém se slabou kontrolou nahrávání umožní nahrát škodlivý PHP soubor, jeho spuštění představuje obrovské riziko. Vypnutí PHP ve složkách určených pro obrázky nebo média poskytuje další vrstvu obrany.
Do příslušné složky pro nahrávání vložte .htaccess s tímto obsahem:
<FilesMatch \.php$>
Require all denied
</FilesMatch>
Toto pravidlo zablokuje přístup k PHP souborům v dané složce. U WordPressu se podobný přístup běžně používá pro složku wp-content/uploads; jelikož však některé pluginy mohou vyžadovat speciální zpracování souborů, je testování nezbytné.
Omezení hotlinkingu a snížení zátěže
Hotlinking znamená, že cizí weby přímo vkládají vaše obrázky do svých stránek. To zvyšuje spotřebu přenosového pásma a může vést k problémům s výkonem. Jednoduché pravidlo pro blokování hotlinkingu vypadá takto:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?mojedomena\.cz [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F,NC]
Toto pravidlo blokuje požadavky na obrázky, které přicházejí s neprázdným refererem a nepocházejí z vaší domény. Pokud však využíváte Google Obrázky, náhledy na sociálních sítích, CDN domény nebo máte partnerské weby, bude pravděpodobně nutné tyto domény přidat na whitelist. Používání CDN Výkon webové stránky
Povolení nebo blokování podle IP adresy
Pokud chcete do administrace povolit přístup pouze z IP adresy vaší kanceláře, představuje IP omezení účinnou dodatečnou vrstvu. Pro Apache 2.4 a vyšší vypadá základní logika takto:
Require ip 203.0.113.10
Při samostatném použití toto pravidlo povolí přístup pouze z uvedené IP adresy. Pokud používáte dynamickou IP, buďte opatrní; při změně IP se můžete ocitnout bez přístupu do vlastního panelu. Pro větší flexibilitu je vhodnější kombinovat IP omezení s ochranou heslem.
Pro zablokování konkrétní škodlivé IP adresy lze použít tento zápis:
<RequireAll>
Require all granted
Require not ip 198.51.100.25
</RequireAll>
Blokování IP adres je účinné při útocích menšího rozsahu; proti botnetům nebo útokům s proměnlivou IP však samo o sobě nestačí. V takových případech jsou efektivnější aplikační firewall, omezování rychlosti (rate limiting) a bezpečnostní řešení na straně serveru.
Bezpečnostní hlavičky: Dodatečná ochrana na úrovni prohlížeče
.htaccess neslouží jen k řízení přístupu, ale lze jej využít i ke správě bezpečnostních HTTP hlaviček. Pokud je aktivní mod_headers, následující hlavičky na většině webů zvyšují základní úroveň bezpečnosti:
Header always set X-Content-Type-Options nosniff
Header always set X-Frame-Options SAMEORIGIN
Header always set Referrer-Policy strict-origin-when-cross-origin
Header always set Permissions-Policy geolocation=(), microphone=(), camera=()
X-Content-Type-Options nosniff brání prohlížeči v hádání typu souboru a jeho následném spuštění. X-Frame-Options SAMEORIGIN omezuje vkládání vašeho webu do iframe na cizích doménách a snižuje riziko clickjackingu. Referrer-Policy řídí, jaké informace o odkazující stránce se předávají při přesměrování. Permissions-Policy omezuje oprávnění prohlížeče, jako je kamera, mikrofon a poloha.
Content-Security-Policy (CSP) je ještě silnější bezpečnostní hlavička, musí se však nasazovat opatrně. Příliš přísná CSP může rozbít fungování reklam, analytiky, platebních bran, live chatu nebo fontových služeb. Proto je správný postup nejprve testovat v režimu reportování a teprve poté pravidla postupně zavádět do ostrého provozu.
Kontrolní seznam před nasazením

Změny v .htaccess se projeví okamžitě. Proto je rozumné procházet při přidávání bezpečnostních příkazů krátký kontrolní seznam, který sníží riziko výpadku.
- Stáhněte si zálohu stávajícího souboru .htaccess do počítače.
- Ověřte, že je SSL certifikát aktivní a správně nainstalovaný.
- Pravidla pro přesměrování přidávejte jedno po druhém; neměňte vše najednou.
- Kontrolujte chyby 500, 403 a 404 v prohlížeči a v serverových chybových protokolech.
- Nemažte vlastní rewrite pravidla WordPressu, Laravelu nebo jiného softwaru.
- V oblastech chráněných heslem otestujte vynucení HTTPS.
- Pokud používáte CDN, cache plugin nebo bezpečnostní plugin, vyhodnoťte možnost konfliktů.
- Vyzkoušejte přihlašování, formuláře a platební procesy na mobilu, desktopu i v různých prohlížečích.
Postupné přidávání pravidel je v praxi nesmírně důležité. Například nejprve přidejte Options -Indexes a otestujte, poté přidejte přesměrování na HTTPS a nakonec přejděte k ochraně heslem. Když se objeví problém, rychle tak odhalíte, který řádek jej způsobil.
Nejčastější chyby a jejich řešení
500 Internal Server Error
Tato chyba je obvykle způsobena syntaktickou chybou, nepodporovanou direktivou nebo použitím nesprávného modulu. Například použití příkazu Header bez aktivního mod_headers může vyvolat chybu. Pro řešení dočasně odstraňte naposledy přidané řádky, zkontrolujte serverové chybové protokoly a ověřte, že vaše hostingové prostředí daný modul podporuje.
Dialog pro heslo se stále vrací
Pokud se přihlašovací dialog objevuje stále dokola i při zadání správného jména a hesla, může být chybná cesta k .htpasswd, server nemusí podporovat použitý hashovací formát nebo jsou chybně nastavená oprávnění souboru. Ujistěte se, že v řádku AuthUserFile používáte úplnou fyzickou cestu.
Přesměrování na HTTPS vytváří nekonečnou smyčku
U webů za CDN nebo proxy může server vidět požadavek interně jako HTTP a neustále se jej snažit přesměrovat na HTTPS. V takovém případě může být potřeba speciální pravidlo zohledňující hlavičky jako X-Forwarded-Proto. Důležité také je, aby byl SSL režim v panelu CDN nastaven na správnou úroveň, například Full nebo Full Strict.
Nenačítají se obrázky nebo CSS soubory
Pokud byla pravidla pro hotlinking, FilesMatch nebo bezpečnostní hlavičky napsána příliš široce, mohou být blokovány i legitimní statické soubory. V nástrojích pro vývojáře v prohlížeči zkontrolujte záložku Síť (Network), kde uvidíte, který soubor byl zablokován a s jakým HTTP kódem.
Bezpečnost .htaccess u WordPress webů
U WordPressu je soubor .htaccess klíčový pro hezké URL adresy. Proto není vhodné bezdůvodně měnit pravidla mezi značkami BEGIN WordPress a END WordPress, které generuje WordPress. Bezpečnostní pravidla je obvykle bezpečnější přidávat nad nebo pod tyto bloky.
Praktická opatření použitelná pro WordPress:
- Přidat dodatečnou Basic Auth ochranu na složku wp-admin.
- Zakázat spouštění PHP ve složce wp-content/uploads.
- Pokud nepoužíváte xmlrpc.php, omezit k němu přístup.
- Omezit viditelnost souborů readme.html a licenčních souborů.
- Sladit přesměrování na HTTPS s adresami nastavenými ve WordPressu.
Použití WordPress hesla i .htaccess ochrany heslem zároveň pro wp-admin poskytuje dvouvrstvou obranu. Protože však některé pluginy využívající AJAX potřebují soubor wp-admin/admin-ajax.php, může slepé uzavření celé složky wp-admin rozbít některé funkce. Testování na ostrém webu je proto nezbytné. WordPress hosting Zrychlení WordPressu
Profesionální tipy pro bezpečnost .htaccess
Zkušení správci systémů nejvíce dbají na rovnováhu mezi bezpečností a udržitelností. Příliš agresivní pravidla se mohou krátkodobě jevit jako bezpečná, ale z dlouhodobého hlediska zvyšují náklady na údržbu. Proto je vhodné si u každého pravidla poznamenat jeho účel, rozsah a výsledek testu.
- Před kritickými změnami vytvářejte datované zálohy: např. htaccess-2026-01-15.bak.
- Vyhněte se přidávání stovek zbytečných pravidel do jediného souboru .htaccess.
- Přesměrování 301 jsou trvalá – počítejte s mezipamětí prohlížečů a vyhledávačů.
- Po přidání bezpečnostních hlaviček zkontrolujte chyby v konzoli prohlížeče.
- V adresářích chráněných heslem vytvářejte individuální uživatele namísto sdílení jednoho slabého hesla.
- Testovací, stagingové a záložní složky zaveďte na úrovni serveru dříve, než je stihnou indexovat vyhledávače.
Dalším důležitým bodem je pravidelná revize bezpečnostních pravidel. Dnes používaná integrace může být zítra odstraněna, ale cesta, která kvůli ní zůstala otevřená, může být v .htaccess zapomenuta. Provádět každé čtvrtletí krátkou bezpečnostní kontrolu, čistit nepotřebná oprávnění a upravovat stará přesměrování je dobrým zvykem.
Závěr: Malý soubor, velká bezpečnostní vrstva
Příkazy pro ochranu heslem a zvýšení bezpečnosti webu v souboru .htaccess při správném použití posilují první obrannou linii vašeho webu proti útokům. Chránit adresáře heslem, vynutit HTTPS, zakázat výpis adresářů, zamezit přístupu k citlivým souborům a aktivovat bezpečnostní hlavičky – to vše jsou pro většinu webů proveditelné, měřitelné a efektivní kroky.
Přesto bezpečnost na úrovni .htaccess sama o sobě nestačí. Je třeba ji vnímat v kontextu spolehlivé hostingové infrastruktury, aktuálního softwaru, SSL certifikátu, pravidelných záloh a politiky silných hesel. Na Hostragons můžete při provozování svého webu spravovat SSL, hosting a správu domény z jediného panelu a v případě potřeby postupně budovat stále bezpečnější strukturu. Balíčky web hostingu Kup doménu SSL certifikáty
Často kladené dotazy
Šifruje ochrana heslem přes .htaccess skutečně soubory?
Ne. Tento výraz se obvykle používá ve významu ochrany adresářů uživatelským jménem a heslem. Basic Auth omezuje přístup; pro bezpečný přenos dat je nutné používat SSL a HTTPS.
Je bezpečné uchovávat .htpasswd uvnitř public_html?
Nedoporučuje se to. Nejbezpečnější je umístit .htpasswd mimo public_html, do adresáře, který není přímo dostupný přes web. I v případě chybné konfigurace je pak pravděpodobnost zobrazení souboru výrazně nižší.
Co dělat, když po změně .htaccess dostanu chybu 500?
Nejprve odstraňte naposledy přidané řádky nebo se vraťte k záložnímu souboru. Poté zkontrolujte serverové chybové protokoly. Chyba je nejčastěji způsobena překlepem, nepodporovanou direktivou nebo neaktivním Apache modulem.
Je správné chránit složku wp-admin přes .htaccess heslem?
Ano, může to poskytnout další bezpečnostní vrstvu. Protože však některé pluginy potřebují soubory jako admin-ajax.php, je po nasazení nezbytné otestovat přihlašování, komentáře, košík, platby a odesílání formulářů.
Škodí přesměrování na HTTPS SEO?
Správně implementované přesměrování 301 na HTTPS SEO neškodí; naopak zajišťuje bezpečnou a konzistentní strukturu URL. Důležité je nevytvářet řetězce přesměrování a udržovat všechny interní odkazy v souladu s cílovými HTTPS adresami.