Zabezpieczenie Twojej witryny za pomocą .Najlepsze praktyki Htaccess
- 2917
- 888
- Natan Cholewa
.HTACCESS to potężny plik konfiguracyjny używany przez serwery Web, takie jak Apache do kontrolowania i dostosowywania ich zachowania. Chociaż może być używany do różnych celów, jednym z najważniejszych jest zabezpieczenie Twojej witryny.
W tym artykule omówimy najlepsze praktyki korzystania z .HTACCESS w celu zabezpieczenia witryny, w tym wskazówek dotyczących ochrony poufnych plików i katalogów, zapobiegania nieautoryzowanemu dostępowi i ochronie przed typowymi zagrożeniami bezpieczeństwa.
Użyj silnych haseł i uwierzytelniania
Jednym z najprostszych, ale najskuteczniejszych sposobów zabezpieczenia witryny jest użycie silnych haseł i uwierzytelniania. Wymagając od użytkowników wprowadzenia nazwy użytkownika i hasła przed uzyskaniem dostępu do witryny lub niektórych katalogów, możesz zapobiec nieautoryzowanemu dostępowi i chronić poufne informacje.
Aby skonfigurować ochronę haseł .Htaccess, musisz użyć dyrektyw „AuthType” i „AuthuserFile”. Oto przykład:
AuthType Podstawowa nazwa autoryzacji „Ograniczona obszar” AuthuserFile/Path/to/Hassass/.HTPASSWD wymaga ważnego użytkownika| 1234 | AuthType basicauthName „Ograniczony obszar” AuthuserFile/Path/to/Hassings/.HTPASSWDREQUIRE WAŻNY Użyta |
W tym przykładzie, "Typ uwierzytelniania" Określa rodzaj używanego uwierzytelnienia (w tym przypadku podstawowe uwierzytelnianie), podczas gdy „Authuserfile” wskazuje na lokalizację pliku zawierającego autoryzowane nazwy użytkowników i hasła. „Wymagaj ważnego użytkownika” Dyrektywa określa, że tylko prawidłowe nazwy użytkowników i hasła mogą uzyskać dostęp do obszaru ograniczonego.
Chroń wrażliwe pliki i katalogi
Kolejne ważne zastosowanie .HTACCESS ma ochrona poufnych plików i katalogów przed nieautoryzowanym dostępem. Jest to szczególnie ważne w przypadku plików zawierających poufne informacje, takie jak pliki konfiguracyjne, bazy danych i kopie zapasowe.
W celu ochrony pliku lub katalogu w .Htaccess, możesz użyć dyrektywy „Odmowa ze wszystkich”. Oto przykład:
Zamów, odmawiaj, pozwól zaprzeczyć od wszystkich| 1234 |
W tym przykładzie, „FilesMatch” Określa plik lub pliki do chronionych (w tym przypadku „Konfiguracja.php ”), podczas gdy "Odmowa od wszystkich" Określa, że wszystkie żądania tych plików należy odrzucić.
Dostęp do bloków do podejrzanych adresów IP
Hakerzy i złośliwe boty często używają zautomatyzowanych narzędzi do skanowania stron internetowych pod kątem luk w zabezpieczeniach. Aby zapobiec tym atakom, możesz użyć .htaccess w celu blokowania dostępu do podejrzanych adresów IP.
Aby zablokować adres IP .htaccess, możesz użyć „Odmowa” dyrektywa. Oto przykład:
Odmowa z 192 roku.168.1.1| 1 | Odmowa z 192 roku.168.1.1 |
W tym przykładzie, „Odmowa” Określa adres IP do zablokowania (w tym przypadku 192.168.1.1).
Włącz HTTPS i SSL
HTTPS (Hypertext Transfer Protocol Secure) to protokół bezpiecznej komunikacji przez Internet. Włączając HTTPS na swojej stronie internetowej, możesz chronić poufne informacje, takie jak hasła i numery kart kredytowych przed przechwyceniem przez hakerów.
Aby włączyć https w .HTACCESS, możesz użyć dyrektyw „przepisywania” i „przepisu”. Oto przykład:
RewriteEngine na przepisu %https poza rewriterule ^(.*) $ https: //%http_host%request_uri [l, r = 301]| 123 | RewriteEngine OnrewriteCond %https Offrewriterule ^(.*) $ https: //%http_host%request_uri [l, r = 301] |
W tym przykładzie, „Przepisanie” sprawdza, czy HTTPS jest już włączony, a „Przepis” przekierowuje cały ruch niezwiązany z HTTPS do HTTPS.
Ogranicz przesyłanie pliku
Przesłanie plików są powszechnym źródłem luk w zabezpieczeniach, ponieważ można je użyć do przesyłania złośliwych plików na serwer. Aby temu zapobiec, możesz użyć .HTACCESS, aby ograniczyć rozmiar i typy plików, które można przesłać.
Aby ograniczyć przesyłanie pliku .htaccess, możesz użyć dyrektywy „php_value”. Oto przykład:
php_value upload_max_filesize| 1 | php_value upload_max_filesize |
W tym przykładzie, „PHP_Value” Ustawia maksymalny rozmiar pliku dla przesłania na 10 MB. Możesz także użyć „Php_flag” Dyrektywa, aby wyłączyć niektóre typy plików z całkowitego przesłania, tak jak to:
WYŁĄCZNIE SILNIK PHP_FLAG| 1 | WYŁĄCZNIE SILNIK PHP_FLAG |
W tym przykładzie, „Off silnik php_flag” Wyłącza przesyłanie skryptów PHP.
Wyłącz listę katalogów
Domyślnie serwery internetowe wyświetla listę plików w katalogu, gdy nie ma pliku domyślnego (takie jak indeks.html) znajduje się. Może to stanowić ryzyko bezpieczeństwa, ponieważ może ujawnić zawartość wrażliwych katalogów.
Aby wyłączyć oferty katalogów w .Htaccess, możesz użyć dyrektywy „Opcje”. Oto przykład:
Opcje -indexes| 1 | Opcje -indexes |
W tym przykładzie, „Opcje -indexes” Wyłącza oferty katalogów dla bieżącego katalogu i wszystkich jego podkładników.
Zapobiegać hotlinkingowi
Hotlinking to praktyka łączenia się z obrazami, filmami lub innymi plikami hostowanymi na serwerze z innej strony internetowej. To nie tylko zużywa przepustowość, ale może również prowadzić do naruszenia praw autorskich, jeśli zawartość na gorąco jest chroniona prawem autorskim.
Aby zapobiec hotlinkingowi .HTACCESS, możesz użyć dyrektyw „przepisywania” i „przepisu”. Oto przykład:
RewriteEngine na przepisu %http_referer !^$ RewriteCond %http_referer !^http (s)?: // (www \.)?Twoja domena.com [NC] Rewriterule \.(jpg | jpeg | png | gif) $ - [nc, f, l]| 1234 | RewriteEngine onrewriteCond %http_referer !^$ RewriteCond %http_referer !^http (s)?: // (www \.)?Twoja domena.com [NC] Rewriterule \.(jpg | jpeg | png | gif) $ - [nc, f, l] |
W tym przykładzie „przepisanie” sprawdza, czy witryna polecająca jest twoją własną domeną, podczas gdy „Rewriterule” zwraca błąd 403 dla jakichkolwiek żądań plików obrazów z innych domen.
Chroń przed skryptami krzyżowymi (XSS)
Skrypty między witrynami (XSS) to rodzaj podatności na bezpieczeństwo, który pozwala atakującym na wstrzyknięcie złośliwego kodu do Twojej witryny, często za pomocą formularzy lub innych pól wejściowych.
Chronić przed XSS w .Htaccess, możesz użyć dyrektywy „nagłówek”, aby ustawić nagłówek „X-XSS-Protection”. Oto przykład:
Zestaw nagłówka X-XSS-Protection „1; tryb = blok”| 1 | Zestaw nagłówka X-XSS-Protection „1; tryb = blok” |
W tym przykładzie, "Nagłówek" ustawia „Protekcja X-XSS” nagłówek do „1; tryb = blok ”, który mówi przeglądarom, aby zablokowały wszelkie strony zawierające podejrzane ataki XSS.
Ustaw ścisłe zasady bezpieczeństwa treści (CSP)
Polityka bezpieczeństwa treści (CSP) to funkcja bezpieczeństwa, która pomaga zapobiegać skryptom krzyżowym (XSS), kliknięciu i innych rodzajach ataków, określając, które źródła treści mogą być ładowane przez stronę internetową.
Aby ustawić ścisły CSP w .Htaccess, możesz użyć dyrektywy „nagłówek”, aby ustawić nagłówek „Content-Security Policy”. Oto przykład:
Ustaw nagłówek-security-Policy „Default-Src„ self ”; Script-Src„ self ”niebezpieczny inline; styl-SRC „Self„ Self ”niebezpieczne„ ”| 1 | Ustaw nagłówek-security-Policy „Default-Src„ self ”; Script-Src„ self ”niebezpieczny inline; styl-SRC „Self” niebezpieczne „ |
W tym przykładzie, "Nagłówek" ustawia „Polityka bezpieczeństwa treści” nagłówek do ścisłej zasady, która pozwala tylko na treść z obecnych domeny oraz skrypty i style wbudowane.
Regularnie aktualizuj i monitoruj swoje .plik Htaccess
Wreszcie ważne jest, aby regularnie aktualizować i monitorować swoje .plik htaccess, aby zapewnić, że pozostaje on bezpieczny i skuteczny. Obejmuje to sprawdzenie przestarzałych lub wrażliwych dyrektyw, usuwanie nieużywanych lub niepotrzebnych zasad oraz regularne przegląd dzienników serwera pod kątem oznak podejrzanej aktywności.
Postępując zgodnie z tymi najlepszymi praktykami, możesz użyć .htaccess, aby znacznie poprawić bezpieczeństwo Twojej witryny i chronić przed typowymi zagrożeniami bezpieczeństwa. Należy jednak pamiętać o tym .Htaccess to tylko jeden z wielu
- « Jak obsługiwać błędy ciągów zapytania w JavaScript
- Jak włączyć tryb debugowania w Laravel dla określonych środowisk »