.htaccess adgangskode og sikkerhedskommandoer dækker over en række praktiske metoder til Apache- eller LiteSpeed-baseret hosting, hvor du beskytter mapper med brugernavn og adgangskode, forhindrer udefrakommende i at læse din .htaccess-fil, gennemtvinger HTTPS og begrænser skadelige forespørgsler. Den mest udbredte fremgangsmåde er at beskytte mappeadgang via Basic Auth i .htaccess og opbevare adgangskoderne i en .htpasswd-fil. Men her er det afgørende punkt: Basic Auth krypterer ikke data i sig selv; for sikker brug skal det altid køre over HTTPS med et SSL-certifikat. SSL certifikat Sikker Web Hosting
Når vi taler om websikkerhed, tænker mange automatisk på store firewalls, kompleks software eller dyre plugins. Men en korrekt konfigureret .htaccess-fil er faktisk et af de første forsvarslag – især på delt hosting, WordPress, skræddersyede PHP-applikationer og mindre virksomhedssider. Med denne fil kan du adgangskodebeskytte kritiske mapper som administrationspanelet, omdirigere HTTP-trafik til HTTPS, deaktivere mappelistning, blokere adgang til bestemte filer, reducere hotlinking og aktivere grundlæggende sikkerhedsheadere.
I denne guide gennemgår vi trin for trin, hvordan du opsætter .htaccess adgangskode, forklarer de mest brugte sikkerhedskommandoer i praksis og deler eksempler, du kan kopiere og tilpasse. Kommandoerne i indholdet er særligt velegnede til hostingmiljøer, der understøtter Apache mod_rewrite, mod_auth_basic og mod_headers. LiteSpeed-servere er i høj grad Apache-kompatible, så de fleste regler fungerer på samme måde. Ikke desto mindre anbefales det, at du altid tager en sikkerhedskopi af filen og om muligt tester på et test-subdomæne, inden du implementerer ændringer på din live-side. Domænestyring websted backup
Hvad er en .htaccess-fil, og hvorfor er den vigtig for sikkerheden?
.htaccess er en lokal konfigurationsfil, der bestemmer, hvordan webserveren skal opføre sig i den pågældende mappe og dens undermapper. Placeres den i rodmappen, påvirker den ofte hele sitet; for eksempel styrer .htaccess-filen i public_html-mappen de regler, der gælder for dit domænes primære webrod. Placeres den i en undermappe, kan den begrænses til kun at gælde for den mappe og dens understier.
Fordi denne fil kan styre adgang på serverniveau, kan bestemte forespørgsler blokeres, allerede inden de når applikationskoden. Hvis du for eksempel beskytter admin-mappen med en adgangskode, vil en angriber blive mødt af serverens autentificering, før vedkommende overhovedet når dit WordPress-panel, din specialbyggede PHP-fil eller dit administrationsmodul. Denne tilgang reducerer brute force-forsøg og gør det sværere at udnytte sårbarheder i applikationslaget.
De sikkerhedsmæssige fordele ved .htaccess-filen er blandt andet:
- Adgangsregler kan defineres uden at ændre applikationskoden.
- Specifikke mapper kan beskyttes med brugernavn og adgangskode.
- HTTP-forespørgsler kan automatisk omdirigeres til HTTPS.
- Mappelistning, adgang til følsomme filer og hotlinking kan begrænses.
- Browseradfærd kan gøres mere sikker ved hjælp af sikkerhedsheadere.
- Begrænsninger kan laves baseret på IP-adresse, filtype eller forespørgselsmetode.
Ikke desto mindre kan .htaccess ikke stå alene med hele sikkerheden. Den giver det bedste resultat, når den kombineres med opdateret software, en stærk adgangskodepolitik, regelmæssig backup, pålidelig hostinginfrastruktur, WAF, malware-scanning og et SSL-certifikat. Hosting sikkerhed WordPress sikkerhed
Logikken bag .htaccess adgangskode: Basic Auth og .htpasswd
Udtrykket .htaccess adgangskode dækker som regel over to forskellige betydninger. Den første er at kræve brugernavn og adgangskode for at få adgang til en mappe; den anden er at forhindre, at selve .htaccess-filen kan ses udefra. Den første opgave løses med Basic Auth, mens den anden løses med regler for filadgangsbegrænsning.
I en Basic Auth-struktur indeholder .htaccess-filen autentificeringsreglen, mens .htpasswd-filen gemmer brugernavnet og den krypterede adgangskode. Adgangskoden bør ikke opbevares i almindelig tekst. Moderne systemer bruger bcrypt, Apache MD5 eller SHA-baserede hash-metoder. Den sikreste fremgangsmåde er at bruge dit hosting-kontrolpanels funktioner til mappebeskyttelse eller adgangskodebeskyttede mapper; disse paneler placerer nemlig ofte .htpasswd-filen det korrekte sted og automatiserer hash-processen for adgangskoden.
Et eksempel på en regel for adgangskodebeskyttelse ser sådan ud:
AuthType Basic
AuthName Beskyttet Område
AuthUserFile /home/bruger/.htpasswd
Require valid-user
Betydningen af disse fire linjer er enkel: Autentificeringstypen sættes til Basic, det områdenavn, der vises i browseren, defineres, den fulde serversti til .htpasswd-filen med brugeradgangskoder angives, og der gives kun adgang til gyldige brugere. Den hyppigste fejl her er at skrive en URL på AuthUserFile-linjen. Den korrekte værdi er ikke en webadresse, men den fysiske filsti på serveren. For eksempel er https://dinside.dk/.htpasswd forkert; /home/bruger/.htpasswd er tæt på det korrekte format.
Hvor bør .htpasswd-filen opbevares?
Opbevar om muligt .htpasswd-filen uden for public_html. På den måde kan filen ikke kaldes direkte via nettet, selv hvis der skulle opstå en fejl i serverkonfigurationen. Hvis dit site for eksempel kører i /home/kontonavn/public_html, er det mere sikkert at placere .htpasswd-filen uden for webroden, f.eks. i /home/kontonavn/.htpasswd.
Med hensyn til filtilladelser kan en praktisk startværdi være 640 eller 644 for .htpasswd og 644 for .htaccess. Afhængigt af serveropsætningen kan andre tilladelser være nødvendige; men skrivbare tilladelser for alle (777) udgør en sikkerhedsrisiko og bør ikke bruges.
Trin for trin: Mappebeskyttelse med .htaccess
Følgende trin er velegnede for brugere, der ønsker at beskytte mapper som admin, panel, test, staging, rapporter eller kundespecifikke filmapper. Tag en sikkerhedskopi af din eksisterende .htaccess-fil, før du går i gang. Selv et enkelt forkert tegn kan resultere i en 500 Internal Server Error.
1. Identificér den mappe, der skal beskyttes
Start med at afklare, hvilken mappe du ønsker at beskytte med adgangskode. Hvis du for eksempel kun vil beskytte dinside.dk/admin, kan du placere .htaccess-filen inde i admin-mappen. Hvis du midlertidigt vil lukke hele sitet og kun åbne for autoriserede personer, kan du tilføje reglen til .htaccess-filen i rodmappen.
2. Opret en .htpasswd-bruger
Hvis dit hosting-kontrolpanel har et værktøj til adgangskodebeskyttede mapper, er det den mest praktiske metode. Hvis værktøjet ikke findes, kan du på servere med SSH-adgang oprette en bruger med htpasswd-kommandoen. Eksempel på logik: htpasswd -c /home/bruger/.htpasswd admin. Denne kommando genererer en adgangskode til admin-brugeren og gemmer den i filen. Brug ikke parameteren -c, når du tilføjer en ny bruger til en eksisterende fil; ellers kan filen blive overskrevet.
3. Tilføj .htaccess-reglen
Tilføj følgende linjer til .htaccess-filen i den mappe, der skal beskyttes:
AuthType Basic
AuthName Administrationspanel
AuthUserFile /home/bruger/.htpasswd
Require valid-user
Gå til den pågældende mappe i din browser, når du har gemt. Hvis der kommer et brugernavn- og adgangskodevindue, er handlingen vellykket. Hvis du ikke kan logge ind, selvom adgangskoden er korrekt, kan AuthUserFile-stien være forkert, eller serveren kan måske ikke læse .htpasswd-filens tilladelser.
4. Brug det ikke uden HTTPS
Basic Auth transmitterer loginoplysningerne med Base64; dette er ikke en reel stærk kryptering. Hvis trafikken går over HTTP, kan en person, der overvåger netværket, opsnappe brugernavn og adgangskode. Derfor bør reglen om .htaccess adgangskode altid implementeres sammen med et HTTPS-krav. Du kan reducere denne risiko ved at aktivere SSL på Hostragons og derefter tilføje en HTTPS-omdirigeringsregel. SSL installation HTTPS omdirigering
HTTPS-tvang og www-omdirigering
Et af de mest grundlæggende skridt til at øge websikkerheden er at omdirigere al trafik til HTTPS. Når SSL-certifikatet er aktivt, kan du tilføje en regel med følgende logik til .htaccess-filen i rodmappen:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Denne regel flytter forespørgsler, der kommer via HTTP, til HTTPS på det samme domæne og den samme sti. Den permanente omdirigering (301) giver også det korrekte signal i forhold til SEO. Men hvis dit site bruger en reverse proxy, CDN eller load balancer, kan HTTPS-status blive aflæst fra andre headere. I sådanne tilfælde bør du vælge den omdirigeringsregel, som din hostingudbyder anbefaler.
Valget mellem www og ikke-www domæne bør også være konsekvent. Hvis du for eksempel ønsker at flytte al trafik til versionen uden www, kan du bruge denne fremgangsmåde:
RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.eksempeldomæne\.dk$ [NC]
RewriteRule ^(.*)$ https://eksempeldomæne.dk/$1 [L,R=301]
Her skal du erstatte eksempeldomæne.dk med dit eget domænenavn. Hvis du laver både HTTPS- og www-omdirigering samtidig, skal du være omhyggelig med ikke at skabe en omdirigeringskæde. Den ideelle struktur fører brugeren til den endelige URL i ét enkelt trin. Domæneviderestilling SEO-kompatibel omdirigering
Grundlæggende kommandoer til at øge websikkerheden med .htaccess
Tabellen nedenfor opsummerer de mest anvendte .htaccess sikkerhedskommandoer, og hvornår de bør implementeres. Kontrollér altid din eksisterende konfiguration, før du tilføjer hver kommando; nogle kan risikere at være i konflikt med regler fra WordPress, Laravel eller specialbyggede CMS'er.
| Formål | Eksempel på kommando eller direktiv | Hvornår bruges det? | Vær opmærksom på |
|---|---|---|---|
| Mappebeskyttelse | AuthType Basic, Require valid-user | Admin-, staging-, rapportmapper | Skal altid bruges sammen med HTTPS |
| HTTPS-tvang | RewriteCond %{HTTPS} off | For at gøre al trafik sikker | Speciel regel kan være nødvendig ved CDN |
| Deaktivering af mappelistning | Options -Indexes | I mapper uden en index-fil | Forhindrer visning af filstrukturen |
| .htaccess-beskyttelse | Require all denied | For at forhindre læsning af konfigurationsfiler | Syntaks kan variere afhængigt af Apache-version |
| Blokering af hotlinking | RewriteCond %{HTTP_REFERER} | For at reducere brug af billeder på andre sider | Test forhåndsvisninger i CDN og sociale netværk |
| Sikkerhedsheadere | Header set X-Frame-Options SAMEORIGIN | For at reducere browserbaserede angreb | mod_headers skal være aktiv |
Deaktivering af mappelistning
Hvis en mappe ikke indeholder index.html, index.php eller en standardindgangsfil, kan serveren vise en liste over filerne. Denne situation udgør en risiko i forhold til sikkerhedskopier, billeder, midlertidige rapporter eller ældre kildekode. Mappelistning kan deaktiveres med en simpel kommando:
Options -Indexes
Efter denne linje kan brugere ikke længere se mappeindholdet. I mapper, der mangler en index-fil, vil der typisk blive vist et 403 Forbidden-svar. Denne adfærd er ønskelig af sikkerhedsmæssige årsager.
Blokering af adgang til .htaccess og følsomme filer
Din .htaccess-fil bør ikke kunne ses via nettet. Apache beskytter normalt denne fil som standard, men som et ekstra sikkerhedslag kan du bruge følgende logik:
<Files .htaccess>
Require all denied
</Files>
På samme måde bør filer som .env, composer.json, composer.lock, config.php.bak, backup.sql, database.sql også lukkes for udefrakommende adgang. Især i Laravel, Symfony eller specialbyggede PHP-applikationer kan .env-filen indeholde databaseadgangskode, API-nøgle og SMTP-oplysninger. En lækage af denne fil kan i værste fald føre til, at hele systemet kompromitteres.
For at blokere flere følsomme filtyper kan du bruge denne logik:
<FilesMatch ^(\.env|composer\.(json|lock)|package\.json|yarn\.lock|.*\.sql|.*\.bak)$>
Require all denied
</FilesMatch>
Når du tilføjer denne type regler, skal du sikre dig, at du ikke blokerer de statiske filer, som din applikation reelt har brug for. Hvis visse verificeringsfiler eller integrationsfiler for eksempel ved en fejl bliver omfattet, kan tredjepartstjenester holde op med at fungere.
Deaktivering af PHP-eksekvering i bestemte mapper
Upload-mapper er et af de mest udsatte mål for angribere. Hvis et system med svag filupload-kontrol får uploadet en skadelig PHP-fil, udgør eksekveringen af denne fil en stor risiko. At deaktivere PHP-eksekvering i mapper, hvor der uploades billeder eller mediefiler, giver et ekstra forsvar.
Du kan placere en .htaccess-fil i den pågældende upload-mappe og anvende denne logik:
<FilesMatch \.php$>
Require all denied
</FilesMatch>
Denne regel blokerer adgang til PHP-filer i den pågældende mappe. For WordPress er en lignende fremgangsmåde i wp-content/uploads-mappen meget udbredt; dog bør det testes, da nogle plugins kan have brug for særlig filhåndtering.
Reduktion af trafikforbrug ved at blokere hotlinking
Hotlinking er, når andre sider bruger dine billedfiler direkte på deres egne sider. Dette øger båndbreddeforbruget og kan føre til ydelsesproblemer. En simpel regel til at blokere hotlinking følger denne logik:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://(www\.)?eksempeldomæne\.dk [NC]
RewriteRule \.(jpg|jpeg|png|gif|webp)$ - [F,NC]
Denne regel blokerer billedforespørgsler, der kommer med en ikke-tom referer, og som ikke stammer fra dit eget domæne. Men hvis du bruger Google Billeder, forhåndsvisninger på sociale medier, CDN-domæner eller samarbejdspartnere, kan det være nødvendigt at tilføje disse domæner til en whitelist. Brug af CDN websted performance
Tilladelse eller blokering af specifikke IP-adresser
Hvis du kun vil give adgang til administrationspanelet fra din kontor-IP-adresse, er IP-begrænsning et effektivt ekstra lag. Grundlogikken for Apache 2.4 og nyere er som følger:
Require ip 203.0.113.10
Når denne regel bruges alene, tillader den kun den angivne IP-adresse. Vær forsigtig, hvis du bruger dynamisk IP; når IP'en skifter, kan du miste adgangen til dit eget panel. For mere fleksibel brug kan det være mere robust at kombinere IP-begrænsning med adgangskodebeskyttelse.
For at blokere en specifik ondsindet IP-adresse kan du bruge denne logik:
<RequireAll>
Require all granted
Require not ip 198.51.100.25
</RequireAll>
IP-blokering er nyttig ved mindre angreb, men er ikke tilstrækkelig alene mod botnet eller angreb, der bruger skiftende IP'er. I sådanne tilfælde er en applikationsfirewall, hastighedsbegrænsning og serverbaserede sikkerhedsløsninger mere effektive.
Sikkerhedsheadere: Ekstra beskyttelse på browserniveau
.htaccess kan ikke kun bruges til adgangskontrol, men også til at administrere sikkerhedsheadere i browseren. Hvis mod_headers er aktiv, øger følgende headere det grundlæggende sikkerhedsniveau på mange sider:
Header always set X-Content-Type-Options nosniff
Header always set X-Frame-Options SAMEORIGIN
Header always set Referrer-Policy strict-origin-when-cross-origin
Header always set Permissions-Policy geolocation=(), microphone=(), camera=()
X-Content-Type-Options nosniff reducerer browserens tendens til at gætte og eksekvere filtyper. X-Frame-Options SAMEORIGIN begrænser, at dit site kan indlejres som en iframe på andre domæner, og mindsker risikoen for clickjacking. Referrer-Policy styrer, hvilken referer-information der deles ved omdirigering. Permissions-Policy begrænser browsertilladelser som kamera, mikrofon og placering.
Content-Security-Policy (CSP) er en mere kraftfuld sikkerhedsheader, men den skal implementeres med omtanke. En for stram CSP kan ødelægge funktionaliteten for annoncer, analyse, betaling, live chat eller fonttjenester. Derfor er det en bedre metode først at teste i rapporttilstand og derefter gradvist aktivere den i produktion.
Tjekliste før implementering

Ændringer i .htaccess slår igennem hurtigt. Hvis du gennemgår en kort tjekliste, inden du tilføjer sikkerhedskommandoer, mindsker du risikoen for nedbrud.
- Download en sikkerhedskopi af den eksisterende .htaccess-fil til din computer.
- Kontrollér, at dit SSL-certifikat er aktivt og korrekt installeret.
- Tilføj omdirigeringsregler én ad gangen; ændr ikke alle regler på samme tid.
- Kontrollér 500-, 403- og 404-fejl i både browseren og serverens fejllogfiler.
- Slet ikke de eksisterende rewrite-regler fra WordPress, Laravel eller specialbygget software.
- Test HTTPS-tvang i de områder, hvor du bruger adgangskodebeskyttelse.
- Hvis du bruger CDN, cache-plugin eller sikkerhedsplugin, bør du vurdere risikoen for konflikter.
- Afprøv login-, formular- og betalingsflows på mobil, desktop og i forskellige browsere.
Det er i praksis meget vigtigt at implementere reglerne stykke for stykke. Tilføj for eksempel først Options -Indexes og test det, derefter HTTPS-omdirigeringen, og gå så videre til adgangskodebeskyttelse. På den måde kan du hurtigt finde frem til, hvilken linje der er skyld i problemet, hvis der opstår et.
De mest almindelige fejl og løsninger
500 Internal Server Error
Denne fejl skyldes normalt en syntaksfejl, et direktiv der ikke understøttes, eller brug af et forkert modul. Hvis du for eksempel bruger Header-kommandoen, uden at mod_headers er aktiv, kan det generere en fejl. Løsningen er midlertidigt at fjerne de senest tilføjede linjer, gennemgå serverens fejllogfiler og kontrollere, at dit hostingmiljø understøtter det pågældende modul.
Adgangskodevinduet bliver ved med at dukke op
Hvis vinduet med brugernavn og adgangskode bliver ved med at komme igen, selvom oplysningerne er korrekte, kan .htpasswd-stien være forkert, adgangskodens hash-format understøttes måske ikke af serveren, eller filtilladelserne er forkerte. Sørg for, at du bruger den fulde fysiske sti på AuthUserFile-linjen.
HTTPS-omdirigering skaber en uendelig løkke
På sider, der ligger bag et CDN eller en proxy, kan serveren se forespørgslen som intern HTTP og konstant forsøge at omdirigere til HTTPS. I dette tilfælde kan der være brug for en speciel regel, der tager højde for headere som X-Forwarded-Proto. Det er også vigtigt, at SSL-tilstanden i dit CDN-panel står på et korrekt niveau, f.eks. Full eller Full Strict.
Billeder eller CSS-filer indlæses ikke
Hvis regler for hotlinking, FilesMatch eller sikkerhedsheadere er skrevet for bredt, kan legitime statiske filer også blive blokeret. Ved at kontrollere fanen Netværk i browserens udviklerværktøjer kan du se, hvilken fil der blokeres, og med hvilken HTTP-statuskode.
.htaccess-sikkerhed på WordPress-sider
På WordPress-sider er .htaccess-filen afgørende for permalinks. Derfor bør du ikke unødigt ændre reglerne mellem BEGIN WordPress og END WordPress, som er genereret af WordPress. Det er normalt mere sikkert at tilføje sikkerhedsregler over eller under disse blokke.
Praktiske foranstaltninger, der kan implementeres for WordPress, omfatter:
- Anvende ekstra Basic Auth-beskyttelse på wp-admin-mappen.
- Deaktivere PHP-eksekvering i wp-content/uploads.
- Begrænse adgangen til xmlrpc.php, hvis du ikke bruger den.
- Reducere synligheden af readme.html og licensfiler.
- Sikre, at HTTPS-omdirigeringen er kompatibel med WordPress-sidens adresser.
Især for wp-admin giver det et dobbelt forsvarslag at bruge både WordPress-brugeradgangskoden og .htaccess adgangskodebeskyttelse. Men da nogle plugins, der bruger AJAX, har brug for filen wp-admin/admin-ajax.php, kan en fuldstændig blokering af hele wp-admin-mappen ødelægge visse funktioner. Derfor er det afgørende at teste på live-siden. WordPress hosting WordPress acceleration
Professionelle tips til .htaccess-sikkerhed
Det, erfarne systemadministratorer er mest opmærksomme på, er balancen mellem sikkerhed og bæredygtig vedligeholdelse. Meget aggressive regler kan virke sikre på kort sigt, men kan øge vedligeholdelsesomkostningerne på lang sigt. Derfor bør formålet, omfanget og testresultatet for hver regel noteres.
- Tag en dateret sikkerhedskopi før kritiske ændringer: f.eks. htaccess-2026-01-15.bak.
- Undgå at tilføje unødvendige hundredvis af regler til en enkelt .htaccess-fil.
- Da 301-omdirigeringer er permanente, skal du tage højde for browser- og søgemaskinecache.
- Kontrollér fejl i browserkonsollen, efter du har tilføjet sikkerhedsheadere.
- Opret personlige brugere i adgangskodebeskyttede mapper i stedet for at dele svage adgangskoder.
- Luk test-, staging- og backupmapper på serverniveau, allerede før du gør det for søgemaskiner.
Et andet vigtigt punkt er at gennemgå sikkerhedsreglerne regelmæssigt. En integration, der bruges i dag, kan være fjernet i morgen; men en sti, der er åbnet specifikt til den, kan blive glemt i .htaccess. Det er en god vane at lave et kort sikkerhedstjek hvert kvartal, rydde op i unødvendige tilladelser og rette gamle omdirigeringer.
Konklusion: En lille fil, et stort sikkerhedslag
Kommandoer til .htaccess adgangskode og forøgelse af websikkerheden styrker, når de bruges korrekt, din websides første forsvarslinje mod angreb. At beskytte mapper med adgangskode, gennemtvinge HTTPS, deaktivere mappelistning, blokere adgang til følsomme filer og aktivere sikkerhedsheadere er implementerbare, målbare og effektive skridt for de fleste websider.
Alligevel er .htaccess-sikkerhed ikke tilstrækkelig alene. Det bør ses i sammenhæng med pålidelig hostinginfrastruktur, opdateret software, SSL-certifikat, regelmæssig backup og en stærk adgangskodepolitik. Når du hoster din webside hos Hostragons, kan du administrere grundlæggende sikkerhedskomponenter som SSL, hosting og domæneadministration fra ét enkelt panel, og du kan skridt for skridt bevæge dig mod en mere sikker struktur, når behovet opstår. Webhosting pakker Køb domæne SSL certifikater
Ofte stillede spørgsmål
Krypterer .htaccess adgangskodebeskyttelse virkelig filerne?
Nej. Dette udtryk bruges normalt i betydningen at beskytte mapper med brugernavn og adgangskode. Basic Auth begrænser adgangen; for at dataoverførslen skal være sikker, skal der bruges SSL med HTTPS.
Er det sikkert at opbevare .htpasswd-filen inde i public_html?
Det anbefales ikke. Den sikreste fremgangsmåde er at opbevare .htpasswd-filen uden for public_html, i en mappe der ikke er direkte tilgængelig via nettet. Dermed mindskes risikoen for, at filen kan vises, selv i tilfælde af fejlkonfiguration.
Hvad skal jeg gøre, hvis jeg får en 500-fejl efter en .htaccess-ændring?
Fjern først de senest tilføjede linjer, eller gendan sikkerhedskopien. Gennemgå derefter serverens fejllogfiler. Fejlen skyldes oftest en stavefejl, et direktiv der ikke understøttes, eller et inaktivt Apache-modul.
Er det korrekt at adgangskodebeskytte WordPress wp-admin-mappen med .htaccess?
Ja, det kan give et ekstra sikkerhedslag. Men da nogle plugins har brug for filer som admin-ajax.php, skal login, kommentarer, kurv, betaling og formularhåndtering absolut testes efter implementeringen.
Er HTTPS-omdirigering skadelig for SEO?
En korrekt implementeret 301 HTTPS-omdirigering er ikke skadelig; tværtimod giver den en sikker og konsistent URL-struktur. Det vigtige er ikke at skabe en omdirigeringskæde og at holde alle interne links konsistente med de endelige HTTPS-adresser.