Protegendo seu site usando .Melhores práticas de htaccess
- 678
- 42
- Mrs. Willie Beahan
.htaccess é um poderoso arquivo de configuração usado por servidores da web, como o Apache, para controlar e personalizar seu comportamento. Embora possa ser usado para uma variedade de propósitos, um dos mais importantes é garantir seu site.
Neste artigo, discutiremos as melhores práticas para usar .Htaccess para proteger seu site, incluindo dicas para proteger arquivos e diretórios sensíveis, impedir o acesso não autorizado e salvaguardar contra ameaças comuns à segurança.
Use senhas fortes e autenticação
Uma das maneiras mais simples, mas mais eficazes de garantir seu site, é usar senhas fortes e autenticação. Ao exigir que os usuários digitem um nome de usuário e senha antes de acessar seu site ou determinados diretórios, você pode impedir o acesso não autorizado e proteger informações confidenciais.
Para configurar a proteção de senha em .HTACCESS, você precisar. Aqui está um exemplo:
AuthType Basic Authname "Restriting Area" AuthUserFile/Path/to/senhas/.htpasswd requer usuário válido| 1234 | Authtype BasicAuthName "Restrito Areia" AuthUserFile/Path/To/Passwords/.Htpasswdrequire Valid-User |
Neste exemplo, “Authtype” especifica o tipo de autenticação que está sendo usada (neste caso, autenticação básica), enquanto “Authuserfile” aponta para a localização de um arquivo que contém os nomes de usuário e senhas autorizados. O “Requer usuário válido” A Diretiva especifica que apenas nomes de usuário e senhas válidos podem acessar a área restrita.
Proteger arquivos e diretórios sensíveis
Outro uso importante de .Htaccess é proteger arquivos e diretórios sensíveis do acesso não autorizado. Isso é particularmente importante para arquivos que contêm informações confidenciais, como arquivos de configuração, bancos de dados e backups.
Para proteger um arquivo ou diretório em .htaccess, você pode usar a diretiva "negar de todos". Aqui está um exemplo:
Ordem negar, permitir negar de todos| 1234 |
Neste exemplo, “FileMatch” Especifica o arquivo ou arquivos a serem protegidos (neste caso, “Config.php ”), enquanto “Negar de todos” Especifica que todos os pedidos a esses arquivos devem ser negados.
Bloqueie o acesso a endereços IP suspeitos
Hackers e bots maliciosos geralmente usam ferramentas automatizadas para digitalizar sites para vulnerabilidades. Para evitar esses ataques, você pode usar .htaccess para bloquear o acesso a endereços IP suspeitos.
Para bloquear um endereço IP em .htaccess, você pode usar o “Negar de” diretivo. Aqui está um exemplo:
Negar de 192.168.1.1| 1 | Negar de 192.168.1.1 |
Neste exemplo, “Negar de” Especifica o endereço IP a ser bloqueado (neste caso, 192.168.1.1).
Ativar HTTPS e SSL
HTTPS (Hypertext Transfer Protocol Secure) é um protocolo para comunicação segura pela Internet. Ao ativar o HTTPS em seu site, você pode proteger informações confidenciais, como senhas e números de cartão de crédito, de serem interceptados por hackers.
Para ativar HTTPs em .htaccess, você pode usar as diretivas "rewritecond" e "rewriture". Aqui está um exemplo:
RewriteEngine no rewritetond %https off rewriture ^(.*) $ https: //%http_host%request_uri [l, r = 301]| 123 | RewriteEngine onrewritEcond %https OffrewRitreure ^(.*) $ https: //%http_host%request_uri [l, r = 301] |
Neste exemplo, “Reescreva -se” verifica se o HTTPS já está ativado, enquanto “Rewriture” redireciona todo o tráfego que não é HTTPS para HTTPS.
Limite o upload de arquivo
Os uploads de arquivos são uma fonte comum de vulnerabilidades de segurança, pois podem ser usadas para fazer upload de arquivos maliciosos para o seu servidor. Para evitar isso, você pode usar .htaccess para limitar o tamanho e os tipos de arquivos que podem ser carregados.
Para limitar o uploads de arquivo em .Htaccess, você pode usar a diretiva "php_value". Aqui está um exemplo:
php_value upload_max_filesize| 1 | php_value upload_max_filesize |
Neste exemplo, “Php_value” Define o tamanho máximo do arquivo para uploads para 10 MB. Você também pode usar o “Php_flag” Diretiva para desativar certos tipos de arquivos de serem carregados por completo, assim:
motor php_flag desligado| 1 | motor php_flag desligado |
Neste exemplo, “Php_flag Engine Off” desativa o upload de scripts PHP.
Desativar listagens de diretórios
Por padrão, os servidores da web exibem uma lista de arquivos em um diretório quando nenhum arquivo padrão (como índice.html) é encontrado. Este pode ser um risco de segurança, pois pode revelar o conteúdo de diretórios sensíveis.
Para desativar as listagens de diretórios em .htaccess, você pode usar a diretiva "opções". Aqui está um exemplo:
Opções -Indexes| 1 | Opções -Indexes |
Neste exemplo, “Opções -Indexes” Desative as listagens de diretório para o diretório atual e todas as suas subdiretas.
Evite o hotlinking
Hotlinking é a prática de vincular imagens, vídeos ou outros arquivos hospedados em seu servidor em outro site. Isso não apenas consome sua largura de banda, mas também pode levar à violação de direitos autorais se o conteúdo do Hotplinked for protegido por direitos autorais.
Para evitar o hotlinking em .htaccess, você pode usar as diretivas "rewritecond" e "rewriture". Aqui está um exemplo:
RewriteEngine no rewritecond %http_referer !^$ Rewritecond %http_referer !^http (s)?: // (www \.)?seu domínio.com [NC] rewriture \.(jpg | jpeg | png | gif) $ - [nc, f, l]| 1234 | RewriteEngine onrewritEcond %http_referer !^$ Rewritecond %http_referer !^http (s)?: // (www \.)?seu domínio.com [NC] rewriture \.(jpg | jpeg | png | gif) $ - [nc, f, l] |
Neste exemplo, “Rewritecond” verifica se o site de referência é seu próprio domínio, enquanto “rewriture” retorna um erro 403 proibido para qualquer solicitação de arquivos de imagem de outros domínios.
Proteger contra scripts entre sites (XSS)
O script cruzado (XSS) é um tipo de vulnerabilidade de segurança que permite que os invasores injetem código malicioso em seu site, geralmente por meio de formas ou outros campos de entrada.
Para proteger contra XSS em .Htaccess, você pode usar a diretiva "cabeçalho" para definir o cabeçalho "X-XSS-Protection". Aqui está um exemplo:
Conjunto de cabeçalho X-XSS-Proteção "1; MODE = BLOCO"| 1 | Conjunto de cabeçalho X-XSS-Proteção "1; MODE = BLOCO" |
Neste exemplo, "Cabeçalho" Define o “Proteção X-XSS” Caminhão para “1; modo = bloco ”, que diz aos navegadores para bloquear as páginas que contêm suspeitos de ataques XSS.
Defina uma Política de Segurança de Conteúdo Estremendada (CSP)
A Política de Segurança de Conteúdo (CSP) é um recurso de segurança que ajuda a evitar scripts cruzados (XSS), clickjacking e outros tipos de ataques especificando quais fontes de conteúdo podem ser carregadas por uma página da web.
Para definir um CSP rigoroso em .HTACCESS, você pode usar a diretiva "cabeçalho" para definir o cabeçalho "conteúdo-security-policy". Aqui está um exemplo:
Definir o cabeçalho conteúdo-segurança-política "padrão-src 'self'; script-src" self "inseguro"; Style-src 'eu "inseguro" "| 1 | Definir o cabeçalho conteúdo-segurança-política "padrão-src 'self'; script-src" self "inseguro"; Style-src 'eu "inseguro" " |
Neste exemplo, "Cabeçalho" Define o “Política de segurança de conteúdo” Cabeçalho para uma política estrita que apenas permite o conteúdo do domínio atual e scripts e estilos embutidos.
Atualize e monitore regularmente seu .arquivo htaccess
Finalmente, é importante atualizar e monitorar regularmente o seu .arquivo htaccess para garantir que ele permaneça seguro e eficaz. Isso inclui verificação de diretrizes desatualizadas ou vulneráveis, remoção de regras não utilizadas ou desnecessárias e revisando regularmente os logs do servidor para obter sinais de atividade suspeita.
Seguindo essas práticas recomendadas, você pode usar .Htaccess para melhorar significativamente a segurança do seu site e proteger contra ameaças de segurança comuns. No entanto, é importante ter em mente que .htaccess é apenas um dos muitos
- « Como lidar com erros de string de consulta em javascript
- Como ativar o modo de depuração em Laravel para ambientes específicos »