Файл htaccess — бяспека сайта (у дапамогу пачаткоўцам)

Колькасць праглядаў

322
Надрукаваць · Время на чтение: 9мін · па · Апублікавана · Абноўлены

Праслухаць гэты артыкул

Падвышаем бяспеку сайта пры дапамозе .htaccess. Файл htaccess

Файл htaccess - Бяспека сайта, артыкул у першую чаргу дапаможа пачаткоўцам. Калі вы з'яўляецеся новым карыстачом CMS WordPress, тыя Вы маглі нават не чуць аб файле .htaccess. Калі Вы з'яўляецеся карыстачом WordPress сярэдняга ўзроўня, вы хутчэй за ўсё ці наўрад цалкам знаёмыя з WordPress, Sitemap, Html, Css. Людзі, якія размяшчаюць свой сайт на Wordpress CMS, не вельмі любяць затлумляцца з .htaccess. Гэта адбываецца па наступных прычынах:

  1. Няведанне, як працаваць з .htaccess;
  2. Паспрабавалі зрабіць нешта ў файле і сайт зламаўся.
Сёння я збіраюся расказаць Вам, што такое файл .htaccess і як выкарыстоўваць яго для абароны і паскарэнні вашага сайта.

Змест артыкула:

Што такое файл htaccess?

htaccess - задаецца ў файле httpd.conf.

.htaccess - гэта кароткая форма Hypertext Access. Гэта файл канфігурацыі, які выкарыстоўваецца на вэб-серверы apache для ўключэння ці адключэнні дадатковых функцый ці функцый на вэб-серверы. Ён дапаможа вам, дэталёва наладзіць вэб-сайт, без змены асноўнай канфігурацыі сервера.

Файлы htaccess могуць быць схаваныя ў тэчцы, у якую вы яго загрузілі. Файл кіруе каталогам, дзе ён размешчаны, а таксама ўплывае на падкаталогі ўсярэдзіне гэтага каталога. Цяпер Вы сапраўды павінны ведаць, дзе размяшчаць гэты файл. Што такое файл .htaccess?

Файл .htaccess дапаможа значна палепшыць прадукцыйнасць вэб-сайта, калі вы карыстаецеся яго ў рэкамендуемым парадку. Гэты файл аказвае прыярытэтны ўплыў на дзве складнікі вэб-сайта.

Хуткасць загрузкі:

Файл запавольвае працу сэрвэра. Тым не менш большую частку часу ён не ідэнтыфікуецца. Гэта звязана з тым, што калі сервер загружае старонку. Яму таксама неабходна счытваць усе свае каталогі датуль, пакуль ён не дасягне канчатковага каталога ці не дасягне файла .htaccess. Калі гэты файл не існуе ў тэчцы, працэс будзе працягнуты. Чыннік адсутнасць дазволаў для перавызначэння доступу да файла.

Далей серверу трэба прайсці ўсе правілы пазначаныя ў файле. Як правіла, іх у файле хапае, пры гэтым усе яны дастаткова рэсурсу-затратныя. Гэта ставіцца да сціску, кэшаванню  ці перанакіраванням. Усе яны значна нагружаюць працай сервер і запавольваюць яго. Але пры гэтым паскараецца праца сайта.

Бяспека сайта:

Галоўная праблема ў жыцці вэб-сайта - яго бяспека. Файл .htaccess з'яўляецца магутным рашэннем бяспекі і лёгка даступны карыстачу. Калі вы дадасце якую-небудзь дырэктыву ў файл .htaccess, яна будзе лічыцца дададзенай у файл канфігурацыі Apache. Усе гэтыя змены набудуць моц, нават без перазагрузкі вэб - сервера.

Ведаючы гэта вы павінны быць больш асцярожныя ў падаванні доступу іншым карыстачам, паколькі ён дае поўны кантроль над серверам. Apache не заахвочвае падаванне доступу да .htaccess, бо карыстач можа напроста звяртацца да файла канфігурацыі Apache.

Як актываваць файл .htaccess?

У вас павінен быць доступ да налад сервера. Каб Вы маглі ўнесці змены ў файл канфігурацыі, для дазволу пераазначэння .htaccess. Далей ваш наступны крок - адкрыць файл канфігурацыі па змаўчанні Apache. Для гэтага вам патрэбны прывілеі карыстальніка sudo.

$ sudo nano /etc/apache2/sites-available/default

Пасля таго як вы адкрылі файл, трэба знайсці ў ім наступную частку.

Options Indexes FollowSymLinks MultiViews
AllowOverride None
Order allow,deny
allow from all

Тут трэба замяніць None на All. Цяпер файл павінен выглядаць наступным чынам:

Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all

Захавайце файл і перазапусціце Apache.

$ sudo service apache2 restart

Стварэнне файла .htaccess

Стварыць файл htaccess вельмі проста. Вы можаце стварыць яго ў тэкставым рэдактары ў лакальнай сістэме. Затым загрузіць яго ў каталог вэб-сервера праз FTP-кліент. Ці вы можаце стварыць файл .htaccess, выкарыстоўваючы камандны радок тэрмінала .

Вось каманда для стварэння гэтага файла на тэрмінале. Вось:
Заменіце ваш сайт.com на назву вашага сайта.

$ sudo nano /var/www/вашсайт.com/.htaccess

Перанакіраванне старонак у .htaccess

Mod_Rewrite: Гэта адна з лепшых функцый. Вы можаце выкарыстоўваць Mod-Rewrite для абазначэння і змены. Асабліва, калі ваша вэб-старонка або URL-адрас на вашым вэб-сайце, павінны правільна аддавацца карыстачу.

Бяспека сайта з дапамогай .htaccess

Аўтэнтыфікацыя карыстальніка: Гэты файл не патрабуе больш дазволаў, чым патрабуецца для доступу да вэб-канфігурацыі Apache Вы ўсё роўна можаце ўнесці эфектыўныя змены на вэб-сайт. Адным з важных змен, якія вы можаце зрабіць, з'яўляецца настройка пароля на пэўную частку вэб-старонкі. Такім чынам, карыстач павінен увесці пароль для доступу да часткі. Htaccess пароль будзе захаваны ў .htpasswd файле.

Як стварыць файл .htpasswd

Стварыце файл і захавайце яго за межамі вэб-каталога па некаторых прычынам бяспекі. Калі вы ствараеце файл .htpasswd, дадайце прабел паміж імем і паролем. Акрамя таго, дадайце ўсе імёны карыстальнікаў і паролі для карыстальнікаў. Якім вы хочаце даць доступ да пэўнай часткі вэб-старонкі.

Шыфраваць пароль можна з дапамогай: Генератар Htpasswd - стварэнне htpasswd. У ім трэба дадаць імя карыстальніка і пароль. Інструмент прадаставіць вам зашыфраваны пароль. Калі вы ўводзіце імя карыстальніка: seva і пароль: thereworld, вы атрымаеце наступны зашыфраваны пароль.

su:$apr1$WLNEbl3T$lzBRpqp2CDM.m6xHwTzyv.

Вы можаце дадаць больш карыстальнікаў столькі, колькі хочаце. Не дадавайце ўсіх карыстальнікаў у адзін радок, выкарыстоўвайце новы радок для кожнага карыстальніка. Калі вы стварылі файл .htpasswd, наступным крокам будзе стварэнне правіла, для выкарыстання гэтага пароля.

Як дадаць правілы ў .htaccess для файла .htpasswd

Для гэтага дадайце наступны радок у файл.

AuthUserFile
/usr/local/username/safedirectory/.htpasswd
AuthGroupFile /dev/null
AuthName "Please Enter Password"
AuthType Basic
Require valid-user

Давайце я раскажу, што вызначае кожны радок:

  1. AuthUserFile: гэты радок усталёўвае шлях да файла .htpasswd.
  2. AuthGroupFile: радок выкарыстоўваецца для пошуку файла групы аўтараў. Паколькі мы не стварылі такога файла, мы ўсталеўваны / dev / null.
  3. AuthName: тэкст, уведзены вамі, будзе адлюстроўвацца ў камандным радку. Вы можаце выбраць назву на ваша меркаванне.
  4. AuthType: у гэтым полі паказваецца, які тып аўтэнтыфікацыі павінен выкарыстоўвацца для праверкі пароля. Вы не павінны змяняць AuthType. Ён мусіць заставацца асноўным.
  5. Require valid-user: гэты радок паказвае, што ёсць шмат людзей, якім дазволена ўваходзіць у абароненую паролем вобласць (калі вы дадалі шмат імёнаў карыстачоў і пароляў у файл .htpasswd, тады дадайце гэты радок) Калі толькі адзін карыстач! Якому дазволены ўваход у абароненую паролем вобласць. Тады дадайце "require user username", каб паказаць паказанага чалавека, якому дазволены ўваход.

Карыстальніцкія старонкі памылак у .htaccess

Можна ствараць прыстасаваныя старонкі памылак для вашага сайта. Такія старонкі вельмі карысныя, асабліва для Seo сайта. Вось некаторыя прыклады:

Памылкі запыту кліента:

  • 400 - Няправільны запыт
  • 401 - Патрабуецца аўтарызацыя
  • 403 – Забаронена
  • 404 – Не знойдзены дакумент
  • 405 - Метад не дазволены
  • 406 - Не дапускаецца (кадаванне)
  • 407 - Патрабуецца аўтэнтыфікацыя проксі і іншыя.

Памылкі на баку сервера:

  • 500 - Унутраная памылка сервера
  • 501 – Не рэалізавана
  • 502 - Дрэнны шлюз
  • 503 – Служба недаступная
  • 504 - Тайм-аўт шлюза
  • 505 – Версія HTTP не падтрымліваецца

Гэтыя старонкі памылак карыстальнікаў дазваляюць ствараць уласную старонку памылкі. Затым дабаўляць яе ў спіс старонак з памылкамі.

Стварэнне старонкі памылкі 404

Па змаўчанні на серверы адлюстроўваюцца ўласныя старонкі з памылкай. Тым не менш, Вы можаце выкарыстоўваць сваю ўласную старонку памылкі. І арганізаваць яе з уласным дызайнам. Пасля таго, як вы стварылі старонку для карыстацкай памылкі, загрузіце яе ў вэб-каталог і дадайце месцазнаходжанне старонкі ў .htaccess. Як прыклад, я буду выкарыстоўваць старонку памылкі 404.

ErrorDocument 404 /new404.html

Сервер Apache будзе шукаць старонку памылкі ў каранёвым каталогу сайта. Калі вы дадалі старонку з памылкай у любую з-пад тэчак. Тады Вам трэба пазначыць дакладны шлях гэтага файла для доступу да старонкі.

Напрыклад:

ErrorDocument 404 /error_pages/new404.html

Тыпы MIME выкарыстанне з дапамогай .htaccess

Калі вы карыстаецеся некаторыя файлы прыкладанняў, якія не апрацоўваюцца вашым вэб-серверам. Тады вам неабходна дадаць іх у канфігурацыйны файл apache, выкарыстоўваючы наступны код.

AddType audio/mp4a-latm .m4a

Вы можаце замяніць прыкладанне і пашырэнні ў вышэйпаказаным кодзе. На тыя якія адпавядаюць вашаму тыпу прыкладання.

Пашырэння, якія неабходна дадаць на вэб-сервер Apache . SSI: SSI (Server Side Includes) выкарыстоўваецца для масавага абнаўлення вэб-старонкі. Гэта пашырэнне зэканоміць шмат часу вашага часу. Асабліва калі вам трэба ўнесці якія-небудзь змены на сайт. І яны павінны адбіцца на ўсіх старонках, вам дапаможа ў гэтым SSI. Можна ўключыць SSI, дадаўшы наступны код у файл .htaccess.

AddType text/html .shtml
AddHandler server-parsed .shtml

Гэтыя каманды інструктуюць .htaccess, што .shtml сапраўдны, а другі інструктуе сервер для аналізу ўсіх файлаў, якія сканчаюцца на .shtml для ўсіх каманд SSI. Калі ў вас вялікая колькасць html-старонак, і вы не жадаеце пераназываць іх з .shtml, тады ёсць опцыя, якая прымусіць сервер разбіраць усе .html- файлы для каманд SSI. Опцыя выкарыстоўвае XBitHack.

Калі вы дадасце гэты радок, тады Apache праверыць усе файлы .html з дазволамі для SSI.

XBitHack on

Далей трэба зрабіць SSI прыдатным для XbitHack, выкарыстоўваючы каманду ніжэй.

chmod +x pagename.html

Заключэнне:

Файл мае шмат функцый, якія могуць даць гнуткія магчымасці для вашага сайта. Усе функцыі не могуць быць апісаны ў адным артыкуле. Іх вялікая колькасць, як і метадаў прымянення для сайта. У гэтым артыкуле я пастараўся расказаць вам асноўную інфармацыю. Поспехаў вам)

Дзякуй, што чытаеш Nicola Top

Наколькі публікацыя карысная?

Націсніце на смайлік, каб ацаніць!

Сярэдняя адзнака 4.9 / 5. Колькасць адзнак: 17

Ацэнак пакуль няма. Пастаўце адзнаку першым.

Пакінуць адказ

Ваш адрас электроннай пошты не будзе апублікаваны. Неабходныя палі пазначаны як *

13 − 7 =