Generador .htaccess

El Generador .htaccess produce un archivo de configuración para servidores Apache listo para copiar o descargar, con toggles para HTTPS forzado, canonical www, URLs limpias, redirects 301, compresión gzip, cache del navegador, bloqueo de archivos sensibles, anti-hotlinking y páginas de error personalizadas. Sin necesidad de memorizar la sintaxis de Apache.

Por qué un .htaccess bien configurado impacta en SEO y seguridad

La compresión gzip en .htaccess reduce el peso de archivos de texto (HTML, CSS, JS) entre un 60 y 80%, mejorando directamente el TTFB y el LCP de Core Web Vitals.

El archivo .htaccess es el punto de control de Apache para cada directorio. Una configuración correcta resuelve varios problemas de SEO técnico de golpe: forzar HTTPS elimina la versión HTTP insegura que Google depreca; el canonical www (o sin www) evita contenido duplicado entre www.dominio.com y dominio.com; los redirects 301 preservan el link equity de URLs antiguas al moverlas permanentemente.

La compresión gzip reduce el peso de HTML, CSS y JavaScript entre un 60-80%, lo que mejora directamente el Time To First Byte (TTFB) y el Largest Contentful Paint (LCP), dos métricas de Core Web Vitals. Sin gzip, un archivo CSS de 200 KB llega al navegador a 200 KB; con gzip, llega en ~40 KB, reduciendo el tiempo de transferencia proporcionalmente.

El cache del navegador define cuánto tiempo puede un browser reutilizar recursos estáticos (imágenes, fuentes, JS, CSS) sin volver a pedirlos al servidor. Un .htaccess que asigna max-age=31536000 (1 año) a imágenes significa que un usuario recurrente cargará el sitio casi sin hacer peticiones para esos recursos, mejorando el Time to Interactive.

Bloqueo de archivos sensibles: qué archivos siempre debes proteger

Un error de configuración frecuente en servidores Apache es dejar accesibles archivos que no deben ser públicos. El generador incluye reglas para bloquear .env, .git, wp-config.php, xmlrpc.php y archivos de backup (.sql, .bak, .zip). Si estos archivos son accesibles desde el navegador, exponen credenciales de base de datos, claves API o el historial de Git del proyecto.

El bloqueo de xmlrpc.php en WordPress es especialmente importante: este archivo, que permite la API XML-RPC de WP, es el vector de ataques de fuerza bruta y DDoS más común en sitios WordPress. Bloquearlo en .htaccess es más efectivo que un plugin de seguridad porque el bloqueo ocurre antes de que PHP se ejecute, sin consumir recursos del servidor.

El anti-hotlinking protege las imágenes de tu servidor de ser cargadas directamente desde otros sitios, lo que consume tu ancho de banda sin beneficiarte. La regla de hotlink en .htaccess verifica el encabezado HTTP Referer: si la solicitud no proviene de tu propio dominio, devuelve un 403 o una imagen de reemplazo.

• ▸.env — credenciales de aplicación (DB, API keys)
• ▸.git/ — historial de código y commits
• ▸wp-config.php — credenciales MySQL de WordPress
• ▸xmlrpc.php — vector de ataques de fuerza bruta en WP
• ▸*.sql, *.bak — backups de base de datos
• ▸*.log — logs de errores con información interna

Cómo agregar redirects 301 personalizados correctamente

Los redirects 301 en .htaccess siguen la sintaxis Redirect 301 /ruta-vieja /ruta-nueva. Para URLs con patrones (por ejemplo, migrar /blog/categoria/post a /articulos/post), se usan RewriteRule con expresiones regulares. El generador produce la sintaxis correcta para ambos casos sin que el usuario tenga que conocer la gramática de mod_rewrite.

Un error común al configurar redirects en .htaccess es crear cadenas de redirección (A→B→C) en lugar de ir directo al destino final (A→C). Cada salto adicional agrega latencia y puede degradar el traspaso de PageRank. Al migrar un sitio, siempre mapea cada URL origen directamente a su destino final, sin pasar por URLs intermedias.