Як заборонити доступ до конфіденційних конфігураційних файлів за допомогою .htaccess

При створенні та підтримці веб-сайту безпека завжди повинна бути головним пріоритетом. Одним з найбільш ігнорованих, але критично важливих аспектів веб-безпеки є забезпечення того, щоб конфіденційні файли, такі як конфігураційні файли, були недоступні широкому загалу через браузер.

Наприклад, файл config.cfg може містити облікові дані бази даних, ключі API або іншу конфіденційну інформацію. Якщо його не захистити належним чином, хтось може просто набрати http://www.yourdomain.com/config.cfg в браузері і отримати доступ до вмісту цього файлу. Цей тип вразливості може призвести до витоку даних, пошкодження веб-сайту або навіть повної компрометації сервера.

На щастя, якщо ви використовуєте веб-хостинг Apache (як у випадку з більшістю тарифних планів віртуального хостингу, в тому числі від AvaHost), ви можете легко захистити такі файли за допомогою файлу .htaccess.

Що таке .htaccess?

Файл .htaccess – це конфігураційний файл, який використовується веб-сервером Apache для застосування налаштувань на рівні каталогів без необхідності змінювати основну конфігурацію сервера. Він особливо корисний для таких речей як:

  • Увімкнення або вимкнення лістингу каталогів

  • Налаштування перенаправлень

  • Впровадження HTTPS

  • Керування доступом до певних файлів або папок

У нашому випадку ми використаємо .htaccess, щоб заборонити прямий доступ до файлів .cfg.

Як захистити конфігураційні файли

крок 1: Знайдіть каталог

Перейдіть до каталогу, який містить ваші конфіденційні файли – наприклад, до тієї ж папки, де зберігається файл config.cfg. Зазвичай вона знаходиться в корені документа вашого сайту (/public_html/, /www/ або подібний).

крок 2: Створення або редагування файлу .htaccess

Якщо в цьому каталозі вже є файл .htaccess, відкрийте його. Якщо ні, створіть новий файл і назвіть його .htaccess (так, з крапкою на початку).

крок 3: Додайте правила безпеки

Вставте наступні директиви у файл:

Щоце означає:

– Перебирає всі файли, що закінчуються на .cfg

  • Order allow,deny – Встановлює пріоритет правила (синтаксис Apache 2.2)

  • Deny from all – Заборонити весь веб-доступ до знайдених файлів

В результаті, будь-яка спроба відкрити config.cfg безпосередньо з браузера поверне помилку 403 Forbidden.

примітка: Якщо ви використовуєте Apache 2.4 , можливо, вам доведеться використовувати цей сучасний синтаксис:


Вимагати всі відхилені

AvaHost та безпека

AvaHost пропонує повну підтримку .htaccess і надає вам повний контроль над вашим хостинговим середовищем. Незалежно від того, чи розміщуєте ви невеликий персональний сайт, чи керуєте важливими бізнес-даними, ви можете покластися на нашу безпечну та гнучку інфраструктуру, щоб захистити те, що має значення.

Потрібна допомога із захистом вашого сайту? Наша команда підтримки працює в режимі 24/7, щоб допомогти з налаштуваннями, посиленням безпеки та найкращими практиками.