通过配置.htaccess文件强制跳转https

最近发现我和小伙伴们共有的一个小团体网站被人持续穷举破解网站密码，从世界各地不同的IP，一天几百次到几千次到上万次。上面也没什么特别的东西啊，就是些出去玩的照片而已，不过我还是备份了整站和数据库，升级程序查缺补漏，后来在设置https的时候卡住了。

因为用阿里云虚机比较多，在控制台可以直接勾选是否强制，而这个小网站用的是香港虚机，配置好证书，整站也https了，但是没有强制https的功能，也就是说，在浏览器地址栏输入例如 www.xx x.com 这样的域名，默认打开的是http://www.xxx.com，而不是https://www.xxx.com。琢磨了一晚上，原来可以用一个很简单的方法实现，那就是通过配置.htaccess文件强制https。

以Linux Apache类型虚机为例：

1、前提：申请、配置完成ssl证书；
2、从主机根目录下载.htaccess文件，可以用Notepad++编辑；
3、打开该文件，在规则列表里添加以下代码：

1. RewriteCond %{HTTPS} !=on
   
2. RewriteRule ^(.*) https://%{SERVER_NAME}/$1 [R,L]

复制代码

4、保存，上传覆盖。