.htaccess

htaccess WordPress é o arquivo de configuração do servidor web Apache que controla como as requisições HTTP são processadas antes de chegar ao PHP. No WordPress, ele é responsável por reescrever URLs amigáveis (permalinks), forçar HTTPS, fazer redirecionamentos 301, bloquear acesso a arquivos sensíveis e adicionar headers de cache. É um arquivo pequeno, mas com poder enorme sobre o funcionamento do site — e potencial igualmente grande de quebrar tudo se editado errado.

O que é o arquivo .htaccess

O nome .htaccess é a abreviação de “hypertext access”. É um arquivo de configuração específico do servidor Apache, lido a cada requisição HTTP feita ao diretório onde ele está. Funciona como configuração descentralizada: em vez de tudo ficar no httpd.conf principal do servidor, cada diretório pode ter seu .htaccess que sobrescreve ou complementa configurações para aquele caminho específico.

O que é htaccess para o WordPress: o CMS gera um .htaccess automaticamente na raiz do site quando você define os permalinks em Configurações → Links Permanentes. Esse arquivo contém as regras de reescrita de URL que transformam URLs internas como /index.php?p=123 em URLs amigáveis como /meu-post-bonito/. Sem essa reescrita, o WordPress só funcionaria com URLs feias.

O .htaccess existe porque o Apache foi projetado em uma época em que servidores hospedavam múltiplos sites com necessidades diferentes. Permitir que cada diretório tivesse sua configuração própria, sem precisar editar o conf principal, foi solução elegante. Hoje, mesmo com servidores modernos, o padrão continua útil — especialmente em hospedagens compartilhadas onde você não tem acesso ao conf do Apache.

Importante: .htaccess é específico do Apache. Se sua hospedagem usa Nginx, o arquivo não tem efeito — Nginx tem sintaxe própria de configuração e não suporta arquivos por diretório. Hospedagens com LiteSpeed entendem o .htaccess do Apache para compatibilidade. Antes de editar, confirme qual servidor você está usando.

Funções essenciais do .htaccess

A função primária no WordPress é reescrita de URL. O bloco padrão começa com IfModule mod_rewrite.c e contém regras RewriteEngine On, RewriteRule. Quando alguém acessa /sobre, o Apache verifica se existe arquivo físico chamado sobre. Se não existe, redireciona internamente para index.php?pagename=sobre, e o WordPress assume dali. Esse bloco não deve ser editado manualmente — o WordPress o gerencia.

Além da reescrita básica, o .htaccess WordPress costuma ter regras adicionais conforme plugins instalados. Plugins de cache como WP Rocket adicionam regras para servir HTML estático antes do PHP processar. Plugins de segurança como AIOS adicionam regras para bloquear padrões maliciosos conhecidos. Plugins de redirect adicionam suas regras de 301.

O htaccess redirect é uma das funções mais usadas. Para redirecionar permanentemente uma URL antiga para nova: Redirect 301 /pagina-antiga /pagina-nova. Para redirecionar todo um padrão: RewriteRule ^categoria/(.*)$ /blog/$1 [R=301,L]. Para forçar HTTPS: RewriteCond %{HTTPS} off, RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301].

Outra função importante é controle de cache do navegador. Adicionar headers Expires e Cache-Control via mod_expires garante que CSS, JS e imagens sejam cacheadas no navegador do visitante por dias ou meses. Isso reduz drasticamente carregamento em visitas repetidas. Plugins de cache fazem isso, mas pode ser feito manualmente também.

Pode-se também bloquear acesso a arquivos sensíveis. Por exemplo: Files wp-config.php, Order Allow Deny, Deny from all, /Files. Isso impede que alguém acesse wp-config.php diretamente via URL — uma boa prática de hardening básico. Combine com wp-config.php bem protegido fora do diretório web sempre que possível.

Como editar .htaccess no WordPress

O configurar htaccess wordpress mais seguro é via SFTP. Conecte ao servidor, baixe o arquivo .htaccess da raiz do site (geralmente em /public_html ou /www), edite localmente em editor de texto com suporte a arquivos de configuração (VS Code, Notepad++, Sublime), e suba de volta. Sempre faça cópia de backup antes — em caso de erro, basta restaurar.

Outra opção é via cPanel ou painel da hospedagem. A maioria dos painéis tem File Manager com editor embutido que permite editar .htaccess diretamente. Mais conveniente, mas com risco maior — qualquer erro de sintaxe pode derrubar o site inteiro com erro 500. Sempre tenha o arquivo original copiado antes de editar.

Plugins WordPress podem editar .htaccess através do painel. Yoast SEO, Rank Math, e plugins dedicados como Htaccess Editor fazem isso. Conveniente para edições simples, mas o painel pode ficar inacessível se a edição quebrar o servidor — então você ainda precisa de SFTP de backup mesmo usando plugin.

O arquivo gerado pelo WordPress tem comentários BEGIN WordPress e END WordPress delimitando o bloco gerenciado pelo CMS. Tudo entre essas linhas é gerenciado pelo WordPress e pode ser sobrescrito quando você muda permalinks. Adições customizadas devem ficar fora desse bloco — geralmente acima ou abaixo, nunca dentro.

Se algo der errado e o site quebrar, a recuperação é rápida. Acesse via SFTP, renomeie .htaccess para .htaccess-quebrado, e o WordPress reverte para comportamento padrão. Em seguida, vá em Configurações → Links Permanentes e clique em Salvar Alterações — o WordPress regenera um .htaccess limpo. Pronto, site no ar.

Boas práticas de segurança

Bloqueie acesso a wp-config.php e arquivos sensíveis. Adicione blocos Files que negam acesso a wp-config.php, .htaccess (sim, ele mesmo), wp-config-sample.php, readme.html, license.txt. Isso impede leitura direta desses arquivos via browser, dificultando reconhecimento de versão WordPress por atacantes.

Restrinja execução de PHP em uploads. Adicione regra que impede que arquivos PHP rodem dentro de wp-content/uploads/. Caso um atacante consiga upload de arquivo malicioso, ele não consegue executá-lo. Sintaxe: bloco Files com padrão *.php em FilesMatch dentro do diretório uploads, deny from all. Pequeno detalhe, grande proteção.

Force HTTPS em todo o site. Combine .htaccess com plugin de SSL ou configuração de hospedagem para garantir que HTTP redirecione para HTTPS automaticamente. Dois redirects — primeiro http para https, depois www para non-www (ou vice-versa) — devem ser feitos em sequência via 301 para preservar SEO. Combine com permalink bem estruturado para evitar redirects encadeados que afetam performance.

Limite acesso ao painel admin por IP quando possível. Se você sabe os IPs de onde sempre acessa o wp-admin, pode adicionar regra que só permite esses IPs. Bloco Directory para wp-admin com Order Deny Allow, Deny from all, Allow from seu.ip.aqui. Bloqueia 100% dos ataques automatizados que tentam força bruta.

Bloqueie scanners e bots maliciosos por user agent. Plugins como AIOS adicionam centenas de regras desse tipo automaticamente, identificando user agents conhecidos por scanning de vulnerabilidades e bloqueando antes de chegar ao WordPress. Combine com redirecionamento bem configurado para uma camada robusta de proteção. Para sites profissionais que precisam dessa configuração otimizada sem editar .htaccess manualmente, a FULL Services entrega a stack profissional WordPress com .htaccess pré-configurado para segurança, performance e SEO técnico, junto com regras de cache, redirect e bloqueio de bots já calibradas pela engenharia. Em vez de copiar receitas de fórum e cruzar dedos, você roda em uma configuração testada em produção.