Sichern Sie Ihre Website mithilfe .Best Practices
- 846
- 139
- Matteo Möllinger
.HTAccess ist eine leistungsstarke Konfigurationsdatei, die von Webservern wie Apache verwendet wird, um ihr Verhalten zu steuern und anzupassen. Während es für eine Vielzahl von Zwecken verwendet werden kann, ist es eines der wichtigsten, Ihre Website zu sichern.
In diesem Artikel werden wir Best Practices für die Verwendung diskutieren .HTaccess, um Ihre Website zu sichern, einschließlich Tipps zum Schutz sensibler Dateien und Verzeichnisse, Verhinderung des unbefugten Zugriff.
Verwenden Sie starke Passwörter und Authentifizierung
Eine der einfachsten, aber effektivsten Möglichkeiten zur Sicherung Ihrer Website ist die Verwendung starker Passwörter und Authentifizierungen. Wenn Benutzer vor dem Zugriff auf Ihre Website oder bestimmte Verzeichnisse einen Benutzernamen und ein Kennwort eingeben müssen, können Sie unbefugten Zugriff verhindern und vertrauliche Informationen schützen.
Zum Einrichten des Passwortschutzes in .Htaccess, Sie müssen die Anweisungen „AuthType“ und „AuthuserFile“ verwenden. Hier ist ein Beispiel:
AuthType grundlegender Authname "eingeschränkter Bereich" AuthuserFile/Pfad/zu/Passwörtern/.Htpasswd benötigt einen gültigen Benutzer| 1234 | AuthType BasicAuthname "eingeschränkter Bereich" AuthuserFile/Pfad/TO/Passwörter/.htpasswdRequire Valid-User |
In diesem Beispiel, "Authentifizierungstyp" Gibt die Art der Authentifizierung an (in diesem Fall grundlegende Authentifizierung), während "Authuserfile" zeigt auf den Ort einer Datei, die die autorisierten Benutzernamen und Passwörter enthält. Der "Erfordernder gültiger Benutzer" Die Richtlinie gibt an, dass nur gültige Benutzernamen und Passwörter auf den eingeschränkten Bereich zugreifen dürfen.
Schutz sensibler Dateien und Verzeichnisse schützen
Eine weitere wichtige Verwendung von .HTAccess soll sensible Dateien und Verzeichnisse vor unbefugtem Zugriff schützen. Dies ist besonders wichtig für Dateien, die vertrauliche Informationen enthalten, z. B. Konfigurationsdateien, Datenbanken und Sicherungen.
Zum Schutz einer Datei oder eines Verzeichnisses in .Htaccess, Sie können die Anweisung „Ablehnen aus allen“ verwenden. Hier ist ein Beispiel:
Bestellen leugnen, leugnen leugnen von allen| 1234 |
In diesem Beispiel, "Dateien stimmen überein" Gibt die zu geschützte Datei oder die Dateien an (in diesem Fall "konfigurieren".Php ”), während "Abgelehnt von allen" Gibt an, dass alle Anfragen an diese Dateien abgelehnt werden sollten.
Blockieren Sie den Zugriff auf verdächtige IP -Adressen
Hacker und böswillige Bots verwenden häufig automatisierte Tools, um Websites nach Sicherheitslücken zu scannen. Um diese Angriffe zu verhindern, können Sie verwenden .HTaccess, um den Zugriff auf verdächtige IP -Adressen zu blockieren.
So blockieren Sie eine IP -Adresse in .Htaccess können Sie die verwenden "Ablehnen" Richtlinie. Hier ist ein Beispiel:
Ab 192 leugnen.168.1.1| 1 | Ab 192 leugnen.168.1.1 |
In diesem Beispiel, "Ablehnen" Gibt die zu blockierende IP -Adresse an (in diesem Fall 192.168.1.1).
Aktivieren Sie HTTPS und SSL
HTTPS (Hypertext Transfer Protocol Secure) ist ein Protokoll für die sichere Kommunikation über das Internet. Durch Aktivieren von HTTPS auf Ihrer Website können Sie vertrauliche Informationen wie Passwörter und Kreditkartennummern vor Abnahme von Hackern schützen.
HTTPS in aktivieren .Htaccess, Sie können die Richtlinien „Rewritecond“ und „Rewriterule“ verwenden. Hier ist ein Beispiel:
RewriteEngine on Rewritecond %https off Rewriterule ^(.*) $ https: //%http_host%request_uri [l, r = 301]| 123 | RewriteEngine Onrewritecond %https offrewriterule ^(.*) $ https: //%http_host%request_uri [l, r = 301] |
In diesem Beispiel, "Umschreiben" Überprüft, ob HTTPS bereits aktiviert ist, während "Umkraerule" leitet den gesamten Nicht-HTTPS-Verkehr auf HTTPS um.
Begrenzen Sie die Datei -Uploads
Datei -Uploads sind eine häufige Quelle für Sicherheitsanfälligkeiten, die zum Hochladen von böswilligen Dateien auf Ihren Server verwendet werden können. Um dies zu verhindern, können Sie verwenden .HTaccess, um die Größe und die Arten von Dateien zu begrenzen, die hochgeladen werden können.
So begrenzen Datei -Uploads in .Htaccess, Sie können die Anweisung "php_value" verwenden. Hier ist ein Beispiel:
PHP_VALUE upload_max_filesize| 1 | PHP_VALUE upload_max_filesize |
In diesem Beispiel, "Php_value" Legt die maximale Dateigröße für Uploads auf 10 MB fest. Sie können auch die verwenden "Php_flag" Anweisung, um bestimmte Arten von Dateien von der Hochladen zu deaktivieren, wie folgt:
Php_flag Engine aus| 1 | Php_flag Engine aus |
In diesem Beispiel, "Php_flag Engine aus" Deaktiviert das Hochladen von PHP -Skripten.
Verzeichnislisten deaktivieren
Standardmäßig zeigen Webserver eine Liste von Dateien in einem Verzeichnis an, wenn keine Standarddatei (z. B. Index.HTML) wird gefunden. Dies kann ein Sicherheitsrisiko sein, da es den Inhalt sensibler Verzeichnisse aufzeigen kann.
Verzeichnisauflistungen in deaktivieren in .Htaccess, Sie können die Anweisung "Optionen" verwenden. Hier ist ein Beispiel:
Optionen -Indexes| 1 | Optionen -Indexes |
In diesem Beispiel, "Optionen -Indexes" Deaktivieren Sie Verzeichniseinträge für das aktuelle Verzeichnis und alle seine Unterverzeichnisse.
Hotlinking verhindern
Die HotLinking ist die Praxis, mit Bildern, Videos oder anderen Dateien zu verlinken, die auf Ihrem Server von einer anderen Website gehostet werden. Dies konsumiert nicht nur Ihre Bandbreite, sondern kann auch zu Urheberrechtsverletzungen führen, wenn der Hotlinked -Inhalt urheberrechtlich geschützt ist.
Um die Hotlinking in zu verhindern .Htaccess, Sie können die Richtlinien „Rewritecond“ und „Rewriterule“ verwenden. Hier ist ein Beispiel:
RewriteEngine on Rewritecond %http_referer !^$ Rewritecond %http_referer !^http (s)?: // (www \.)?Deine Domain.com [nc] rewriterule \ \.(jpg | jpeg | png | gif) $ - [nc, f, l]| 1234 | RewriteEneNeN -Onrewritecond %http_referer !^$ Rewritecond %http_referer !^http (s)?: // (www \.)?Deine Domain.com [nc] rewriterule \ \.(jpg | jpeg | png | gif) $ - [nc, f, l] |
In diesem Beispiel prüft „Rewritecond“, ob die überweisende Website Ihre eigene Domain ist, während „Rewriterule“ einen 403 -Forbidden -Fehler für Anfragen nach Bilddateien aus anderen Domänen zurückgibt.
Schützen Sie sich vor Cross-Site-Skripten (XSS)
Cross-Site Scripting (XSS) ist eine Art von Sicherheitsanfälligkeit, mit der Angreifer böswilligen Code in Ihre Website einbringen können, häufig über Formulare oder andere Eingabefelder.
Sich vor XSS schützen in .Htaccess, Sie können die Anweisung "Header" verwenden, um den Header "X-XSS-Protection" festzulegen. Hier ist ein Beispiel:
Header Set X-XSS-Protektion "1; Modus = Block"| 1 | Header Set X-XSS-Protektion "1; Modus = Block" |
In diesem Beispiel, "Header" legt die "X-XSS-Schutz" Kopfball zu „1; Modus = Block ”, Dies fordert die Browser an, alle Seiten zu blockieren, die vermutete XSS -Angriffe enthalten.
Legen Sie eine strenge Inhaltssicherheitsrichtlinie (CSP) fest
Inhaltssicherheitsrichtlinie (CSP) ist eine Sicherheitsfunktion, die dazu beiträgt, Skript- (Skripten), ClickJacking und andere Arten von Angriffen zu verhindern, indem angeben, welche Inhaltsquellen von einer Webseite geladen werden dürfen.
Einen strengen CSP in festlegen .Htaccess, Sie können die Anweisung "Header" verwenden, um den Header „Inhaltssicherheitspolitik“ festzulegen. Hier ist ein Beispiel:
Header Set Content-Security-Policy "Standard-src 'self'; script-src 'self" unsicherin-inline'; Stil-Src 'Selbst "unsicherer'" "| 1 | Header Set Content-Security-Policy "Standard-src 'self'; script-src 'self" unsicherin-inline'; Stil-Src 'Selbst "unsicherer'" " |
In diesem Beispiel, "Header" legt die "Content-Security-Policy" Header zu einer strengen Richtlinie, die nur Inhalte aus der aktuellen Domain- und Inline -Skripte und -stile ermöglicht.
Aktualisieren und überwachen Sie regelmäßig Ihre und überwachen Sie Ihre .HTaccess -Datei
Schließlich ist es wichtig, Ihre regelmäßig zu aktualisieren und zu überwachen .HTaccess -Datei, um sicherzustellen, dass sie sicher und effektiv bleibt. Dies beinhaltet die Überprüfung auf veraltete oder schutzbedürftige Richtlinien, das Entfernen von ungenutzten oder unnötigen Regeln sowie die regelmäßige Überprüfung Ihrer Serverprotokolle auf Anzeichen von verdächtiger Aktivitäten.
Wenn Sie diesen Best Practices folgen, können Sie verwenden .Htaccess, um die Sicherheit Ihrer Website erheblich zu verbessern und vor gemeinsamen Sicherheitsbedrohungen zu schützen. Es ist jedoch wichtig zu bedenken, dass dies berücksichtigt wird .Htaccess ist nur einer von vielen
- « So behandeln Sie Abfragestönefehler in JavaScript
- So aktivieren Sie den Debug -Modus in Laravel für bestimmte Umgebungen »