Naar hoofdinhoud

.htaccess: redirects, beveiliging en meer instellen

Gepubliceerd op 10 juli 2026 8 min leestijd

Leer wat een .htaccess-bestand is en hoe je htaccess redirects en beveiliging instelt in Plesk, met kant-en-klare codevoorbeelden voor Apache-hosting.

Vlakke illustratie van een persoon aan een laptop die een configuratiebestand bewerkt, met pictogrammen voor een redirect-pijl, een schild met sleutelgat, een slot en een snelheidsmeter.

Een .htaccess-bestand is een klein configuratiebestand waarmee je de Apache-webserver per map bijstuurt, zonder dat je aan de serverinstellingen zelf hoeft te komen. Je regelt er veelvoorkomende zaken mee, van htaccess redirects en beveiliging tot eigen foutpagina's en caching. In deze uitleg lees je wat .htaccess precies is, waar je het vindt in Plesk en hoe je het veilig bewerkt, met kant-en-klare voorbeelden voor redirects, beveiliging en meer.

Wat is een .htaccess-bestand?

De naam staat voor hypertext access. Het is een tekstbestand dat je in een map van je website plaatst en dat de Apache-webserver inleest voordat hij een pagina toont. De instellingen in het bestand gelden voor die map en alle onderliggende mappen. Zo pas je het gedrag van je site aan zonder programmeerkennis en zonder toegang tot de centrale serverconfiguratie.

.htaccess is een functie van Apache. LJPc-hosting draait op Apache, beheerd via het controlepaneel Plesk, dus je kunt .htaccess gewoon gebruiken. Op een server die alleen nginx gebruikt werkt .htaccess niet, maar dat is bij een standaard hostingpakket niet aan de orde. Werkt een regel niet zoals verwacht, dan kan dat aan de serverconfiguratie liggen. Neem in dat geval contact op met support.

Wat je kunt regelen: htaccess redirects, beveiliging en meer

Een .htaccess-bestand is verrassend veelzijdig. De meest gebruikte toepassingen vallen in drie groepen:

  • Redirects: bezoekers en zoekmachines automatisch doorsturen, bijvoorbeeld van HTTP naar HTTPS of van een oude naar een nieuwe URL.
  • Beveiliging: mappen afschermen, IP-adressen blokkeren of een map met een wachtwoord beveiligen.
  • Serverinstellingen: eigen foutpagina's tonen, caching instellen en het gedrag van je site fijnregelen.

Hieronder vind je voor elk daarvan een werkend voorbeeld dat je kunt kopiëren en aanpassen.

Waar vind je .htaccess in Plesk?

Het .htaccess-bestand hoort in httpdocs, de hoofdmap (documentroot) van je website. Bestaat het nog niet, dan maak je het zelf aan. Let op: een bestandsnaam die met een punt begint is standaard verborgen, dus je moet verborgen bestanden eerst zichtbaar maken.

In het controlepaneel gaat dat zo. Je opent Plesk via het klantenportaal.

  1. Ga in Plesk naar Files (de File Manager) en open de map httpdocs.
  2. Klik rechtsboven op Settings en zet Show hidden files aan. Nu zie je een bestaand .htaccess-bestand staan.
  3. Bestaat het nog niet? Klik op Create File, noem het exact .htaccess (met de punt ervoor, zonder extensie) en maak het aan.
  4. Klik op de bestandsnaam om de ingebouwde editor te openen, plak je regels en klik op Apply of OK om op te slaan.

Werk je liever met een FTP-programma? Je bereikt hetzelfde bestand ook via FTP of SFTP in de map httpdocs. Zie hiervoor bestanden uploaden via FTP en SFTP. Zet in je FTP-programma ook het weergeven van verborgen bestanden aan.

Bewerk .htaccess veilig: maak eerst een back-up

Een klein foutje in .htaccess legt je hele site plat met een 500-fout (Internal Server Error). Werk daarom voorzichtig. Maak eerst een kopie van het bestaande bestand, bijvoorbeeld .htaccess-backup, of maak een volledige back-up van je website.

Voeg regels bij voorkeur één voor één toe en test na elke wijziging of je site nog werkt. Krijg je een 500-fout, verwijder dan de laatste regel of zet je back-up terug. De site werkt dan direct weer, want .htaccess wordt bij elk verzoek opnieuw ingelezen.

Redirects instellen met .htaccess

Redirects sturen bezoekers en zoekmachines automatisch door naar een ander adres. Voor SEO gebruik je bijna altijd een 301 (permanent verplaatst), zodat de waarde van de oude URL meeverhuist.

1. HTTP naar HTTPS afdwingen

Zo stuur je alle bezoekers door naar de beveiligde https-versie van je site:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

LJPc regelt het SSL-certificaat automatisch met Let's Encrypt zodra je domein naar de hosting wijst, maar de omleiding naar https zet je zelf aan. Meer over certificaten lees je in wat een SSL-certificaat is en hoe je het installeert. Wil je het zonder code oplossen? Plesk heeft onder Hosting Settings de optie Permanent SEO-safe 301 redirect from HTTP to HTTPS. Dat is de eenvoudigste manier en die werkt hetzelfde.

2. www naar non-www (of andersom)

Kies een vaste schrijfwijze van je domein, zodat je niet twee versies naast elkaar hebt. Van www naar zonder www:

RewriteEngine On
RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC]
RewriteRule ^ https://%1%{REQUEST_URI} [L,R=301]

Wil je juist altijd www gebruiken? Draai het dan om:

RewriteEngine On
RewriteCond %{HTTP_HOST} !^www\. [NC]
RewriteRule ^ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Gebruik één van de twee, niet allebei tegelijk. Combineer je dit met de https-regel hierboven, houd dan een RewriteEngine-blok aan met de regels netjes onder elkaar.

3. Oude URL 301-redirecten naar een nieuwe

Heb je een pagina verplaatst of hernoemd? Stuur het oude adres door naar het nieuwe:

Redirect 301 /oude-pagina.html https://www.jouwdomein.nl/nieuwe-pagina

Het eerste deel is het pad op je eigen site (begin met een schuine streep), het tweede deel is de volledige nieuwe URL. Wil je een hele map met een patroon doorsturen, gebruik dan RedirectMatch of een RewriteRule. Meng Redirect en RewriteRule liever niet in hetzelfde bestand, want dat kan botsen.

Beveiliging regelen met .htaccess

Met een paar regels maak je je site een stuk moeilijker te misbruiken. De onderstaande voorbeelden zijn een goede basis.

4. Directory listing uitschakelen

Staat er in een map geen indexbestand, dan toont Apache soms een lijst van alle bestanden. Dat wil je meestal niet. Zet die lijst uit met:

Options -Indexes

Bezoekers krijgen dan een foutmelding in plaats van een overzicht van je bestanden.

5. IP-adressen blokkeren

Wil je een vervelend IP-adres weren? In het huidige Apache 2.4 gebruik je de Require-syntaxis:

<RequireAll>
    Require all granted
    Require not ip 203.0.113.5
    Require not ip 198.51.100.0/24
</RequireAll>

De eerste regel geeft iedereen toegang, de volgende regels sluiten specifieke adressen of een heel bereik uit. De oude schrijfwijze met Order en Deny from is verouderd. Gebruik die niet meer op moderne hosting.

6. Een map met een wachtwoord beveiligen

Je kunt een map afschermen met een gebruikersnaam en wachtwoord. Dat doe je met twee bestanden: een .htaccess met de instellingen en een .htpasswd met de versleutelde inloggegevens.

AuthType Basic
AuthName "Beveiligd gedeelte"
AuthUserFile /var/www/vhosts/jouwdomein.nl/.htpasswd
Require valid-user

Het pad naar .htpasswd is een absoluut pad op de server en verschilt per account. Het wachtwoord in .htpasswd moet versleuteld zijn, dus even snel typen werkt niet. Makkelijker is de ingebouwde functie in Plesk: Password-Protected Directories (meestal onder Websites & Domains bij de extra opties). Daar wijs je een map aan en voeg je een gebruiker met wachtwoord toe. Plesk regelt de .htaccess en .htpasswd dan voor je.

Meer serverinstellingen met .htaccess

Naast redirects en beveiliging stuur je met .htaccess ook foutpagina's, caching en meer bij.

7. Eigen foutpagina's (404 en 403)

Standaardfoutpagina's zien er kaal uit. Toon je bezoekers liever een eigen pagina die bij je site past:

ErrorDocument 404 /404.html
ErrorDocument 403 /403.html

Een 404 betekent dat een pagina niet bestaat, een 403 dat de toegang geweigerd is. Maak de bestanden 404.html en 403.html zelf aan in je hoofdmap. Het pad begint met een schuine streep, gerekend vanaf de documentroot.

8. Caching-headers instellen

Met caching laat je de browser van een bezoeker afbeeldingen, CSS en JavaScript tijdelijk bewaren, zodat volgende bezoeken sneller laden. Met de module mod_expires stel je per bestandstype een bewaartermijn in:

<IfModule mod_expires.c>
    ExpiresActive On
    ExpiresByType image/jpeg "access plus 1 year"
    ExpiresByType image/png "access plus 1 year"
    ExpiresByType image/svg+xml "access plus 1 year"
    ExpiresByType text/css "access plus 1 month"
    ExpiresByType application/javascript "access plus 1 month"
</IfModule>

Op sommige servers staat nginx voor Apache en serveert die statische bestanden rechtstreeks. Werkt je cachingregel dan niet, controleer de instellingen in Plesk of neem contact op met support. Caching is een van de manieren om je site sneller te maken; meer tips vind je in je website versnellen.

9. PHP-instellingen aanpassen

Je ziet online vaak PHP-regels als php_value upload_max_filesize 64M in een .htaccess. Let op: dat werkt alleen als PHP als Apache-module (mod_php) draait. Op Plesk-hosting draait PHP bijna altijd als FPM (FastCGI), en dan geeft zo'n regel juist een 500-fout.

Pas PHP-instellingen daarom niet aan via .htaccess, maar via de PHP Settings in Plesk. Zie de PHP-versie wijzigen in Plesk voor waar je die vindt. Wil je een instelling zetten die niet in het paneel staat, gebruik dan een .user.ini-bestand in je map, dat FPM wel inleest:

upload_max_filesize = 64M
post_max_size = 64M
memory_limit = 256M

Beveiligingsheaders: doe het op de juiste plek

Je kunt met mod_headers ook beveiligingsheaders zetten, zoals X-Content-Type-Options of een Content-Security-Policy. Doe dat gerust in .htaccess. Voeg alleen geen eigen HSTS-header toe: LJPc stuurt die al automatisch mee zodra je SSL-certificaat actief is, en een dubbele header kan problemen geven. Een compleet overzicht staat in HTTP-beveiligingsheaders instellen.

Kom je er niet uit?

Twijfel je over een regel of blijft je site een fout geven? Zet dan eerst je back-up terug, zodat je site weer werkt, en neem daarna contact op met support. We denken graag met je mee.

Veelgestelde vragen

Werkt .htaccess op mijn LJPc-hosting?

Ja. LJPc-hosting draait op Apache, beheerd via Plesk, en Apache leest .htaccess in. Je plaatst het bestand in de map httpdocs en de instellingen werken meteen. Alleen op een server die uitsluitend nginx gebruikt werkt .htaccess niet, maar dat is bij een standaard hostingpakket niet het geval.

Waarom krijg ik een 500-fout na het bewerken van .htaccess?

Een 500-fout (Internal Server Error) komt bijna altijd door een typefout of een regel die de server niet ondersteunt. Verwijder de laatste regel die je toevoegde of zet je back-up terug, dan werkt je site direct weer. Een veelvoorkomende oorzaak is een php_value-regel op FPM-hosting.

Waar staat het .htaccess-bestand precies?

In httpdocs, de hoofdmap van je website. Omdat de naam met een punt begint is het bestand standaard verborgen. Zet in Plesk File Manager bij Settings de optie Show hidden files aan, of schakel in je FTP-programma het tonen van verborgen bestanden in.

Kan ik PHP-instellingen via .htaccess aanpassen?

Alleen als PHP als Apache-module draait. Op Plesk draait PHP meestal als FPM, en dan geeft een php_value-regel in .htaccess een 500-fout. Gebruik in plaats daarvan de PHP Settings in Plesk of een .user.ini-bestand in je map.

Wat is de makkelijkste manier voor een HTTP-naar-HTTPS redirect?

De optie Permanent SEO-safe 301 redirect from HTTP to HTTPS onder Hosting Settings in Plesk. Die zet je aan met een vinkje en doet hetzelfde als de RewriteRule in .htaccess, zonder dat je code hoeft te typen. Je certificaat moet dan wel actief zijn.

Moet ik zelf een HSTS-header toevoegen?

Nee. LJPc stuurt de HSTS-header al automatisch mee zodra je SSL-certificaat actief is. Voeg je dezelfde header ook in .htaccess toe, dan ontstaat er een dubbele header, wat tot problemen kan leiden. Andere beveiligingsheaders mag je wel zelf zetten.

Toch liever iemand spreken?

We geven je ook graag persoonlijk antwoord op je vragen. Plan een gratis adviesgesprek of bel ons direct. We denken graag met je mee.

Blijf op de hoogte van recente ontwikkelingen! Schrijf je in en ontvang onze nieuwsbrief Bezig met aanmelden... Bedankt voor je inschrijving! Er ging iets mis. Probeer het later opnieuw.