Ridicați securitatea site-ului, utilizând

.htaccess (Hypertext Access) este fișierul de configurare Apache-server. În web destul de multe articole despre configurarea .htaccess. Acest lucru este chiar site-uri web dedicat întregi. Cu toate acestea, atunci când am început să studieze manualul pentru configurarea fișierului .htaccess. Nu am înțeles de mult, este scris foarte confuz. În plus, puțină atenție este acordată siguranței site-ului.

crea .htaccess

.htaccess - este un fișier text simplu, dar cu o extensie neobișnuită. Pe gazdele, cu care am lucrat, este posibil să se creeze și să gestioneze htaccess direct de la panoul de management al conținutului. În cazul în care dvs. de găzduire un astfel de sprijin nu este prezent, trebuie să creați un fișier text cu extensia .htaccess de pe computer (de exemplu, în Notepad), și prin FTP-conexiune să-l încărcați în directorul rădăcină. fișier de acțiune configuratorul se aplică tuturor subdirectoarele. Pentru a modifica setările pentru un anumit director (de exemplu, admin) ar trebui să fie plasate în cazul în care un alt fișier .htaccess cu noile setări.

extensii de fișiere Ascundeți

Pentru a complica procesul de a găsi vulnerabilități scriptare (așa cum acestea au întotdeauna) ar trebui să se ascundă sau să le schimbe extensiile altora, să confunde atacator. Acest lucru vă permite să taie imediat de pe multitudinea de dăunători mici și de a crește securitatea site-ului.

Exemplu # 2 Ascunderea extensia .php

Exemplu # 3 Schimbare în extensia .php asp

Dar nu este întotdeauna convenabil. La urma urmei, dacă vom trece GET sunt parametri în URL-ul, cererea va arata astfel:

Pentru a face acest lucru, trebuie să modificați parametrii întregul șir de interogare care nu alocă atât de evident. Aceasta se numește om-friendly URL-ul (NC).

Ascunderea Parametrii GET în NC

În orice CMS puteți face în panoul de administrare, dar dacă nu utilizați sisteme de management al conținutului și de a face meșterit, așa cum am să scrie CNC prin .htaccess.

Și avem nevoie pentru a converti URL-ul pentru a forma următoare:

Exemplu # 4 make URL-om prietenos (NC)

Gestionați Eroare de ieșire

Afișarea eroare este cu siguranță un lucru bun atunci când depanarilor. Cu toate acestea, după stabilirea error_reporting și display_errors directivele ar trebui să fie oprit, deoarece atacatorul poate învăța de la ei informații vitale despre scenariu.

Exemplul # 5 Turn de ieșire de eroare pentru aplicații de depanare

Exemplu # 6 off erori după depanare

Interziceți accesul la anumite fișiere

Exemplul # 7 interzicerea accesului la dosar .htpasswd

Exemplu # 8 Blocarea accesului la fișierele de configurare .inc și .CFG

Negarea acces la un director

Exemplul # 9 Nu există acces la directorul

autentificarea utilizatorului

ar trebui să utilizați autentificarea de bază pentru a proteja partea administrativă a site-ului. Acest lucru se poate face de la panoul de control al site-ului de găzduire.

Exemplul # 11 permite numai administratorul

fișier .htpasswd conține nume de utilizator și parolele HASH. Acesta este creat folosind utilități htpasswd.exe și este localizat în directorul rădăcină. Acum, când accesați utilizatorul director protejat vede:

Rețineți avertismentul că parola va fi transmise necriptat. Acest lucru înseamnă că, în anumite condiții, pot fi interceptate. Nu utilizați acest tip de autentificare pentru a proteja datele esențiale.

Proteja fișierele de la descărcarea (hotlink)

Hotlink - este de a insera o referință la un fișier de la un site la altul. Hotlink utilizate de obicei, pentru a nu încărca imaginea la server și utilizarea de găzduire a fotografiilor în acest scop. Cu toate acestea, unii webmasteri utilizează hotlink atunci când copiați conținut pe site-ul dvs., cu impact, astfel, traficul către server. Garda împotriva acest lucru prin recunoașterea HTTP_REFERER clientului, iar în cazul în care nu este un motor de căutare, blocarea conexiunii (eroare 403).

Exemplul # 11 Protecție hotlinking

Nu uitați să yoursite schimbați pe site.