Wie schütze ich meine .htaccess-Datei?

Einleitung

Die Sicherung einer Website ist eine Herausforderung, es gibt viele verschiedene Aspekte der Website-Sicherheit und unzählige Sicherheitslücken, die geschlossen werden müssen. Wir haben einige nützliche htaccess-Sicherheitstipps, Tweaks und Code-Snippets zusammengestellt, um häufige Website-Sicherheitsprobleme zu beheben. Diese Korrekturen funktionieren alle einwandfrei auf unserer Webhosting-Plattform. Sicherheitsscanner erkennen diese Probleme häufig. Hier erfahren Sie, wie Sie diese beheben können, um die allgemeine Sicherheit Ihrer Website zu verbessern. Sie können diese htaccess-Sicherheitstipps und Codeschnipsel für WordPress und jede andere Website verwenden.

Was ist eine .htaccess-Datei?

.htaccess ist eine Datei, die vom Apache-Webserver verwendet wird, um Serverumgebungsvariablen und Konfigurationseinstellungen nur für das angegebene Verzeichnis festzulegen. Sie befindet sich normalerweise im Root-Verzeichnis Ihrer Website, z. B. /home/username/public_html/.htaccess

Aktivieren Sie HTTP Strict Transport Security (HSTS) in .htaccess

Die Unterstützung von HTTP Strict Transport Security (HSTS) wird häufig von SEO- und Sicherheitsscannern angezeigt. Was macht es? Es teilt Webbrowsern einfach mit, dass Sie möchten, dass auf Ihre Website nur über eine gültige https-Verbindung zugegriffen werden kann. Um es zu aktivieren, fügen Sie einfach diese Zeile zu Ihrer htaccess hinzu:

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

Blockieren Sie die Ausführung von PHP-Code in bestimmten Verzeichnissen in .htaccess

Dies ist eine schnelle .htaccess-Website-Sicherheitsoptimierung, die für WordPress oder jede andere benutzerdefinierte Website mit Verzeichnissen funktioniert, die Sie vor der Ausführung von PHP-Code schützen möchten. Mit diesem .htaccess-Trick können Sie einfach die Ausführung von PHP in Ihren zentralen WordPress-Verzeichnissen blockieren, um häufige Angriffe zu stoppen. Überprüfen Sie Ihre Website jedoch sorgfältig, um sicherzustellen, dass die Funktionalität vorhandener Themes oder Plugins nicht beeinträchtigt wird. Erstellen Sie dazu einfach eine .htaccess-Datei in jedem Verzeichnis, das Sie schützen möchten, und fügen Sie diesen Code ein:

<FilesMatch "\.(?i:php)$">
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
</IfModule>
<IfModule mod_authz_core.c>
Require all denied
</IfModule>
</FilesMatch> 

Beschränken Sie den Zugriff nach IP-Adresse in .htaccess

Wenn Sie eine statische IP-Adresse haben, können Sie diese verwenden, um den Zugriff auf bestimmte Dateien oder Verzeichnisse auf Ihrer Website zu kontrollieren, z. B. auf Ihre Login-Seite oder Ihren Admin-Bereich. Dies wird häufig verwendet, um WordPress-Websites zu sichern, indem der Zugriff auf die Verzeichnisse wp-login.php und /wp-admin/ eingeschränkt wird, funktioniert aber auch für andere Content-Management-Systeme und benutzerdefinierte Websites und Anwendungen.

So beschränken Sie den Zugriff auf eine bestimmte Datei

<Files <YOUR FILENAME>.php>
Order deny,allow
Deny from all
Allow from <YOUR IP ADDRESS>
</Files>

Um den Zugriff auf ein ganzes Verzeichnis zu beschränken, erstellen Sie eine .htaccess-Datei in dem Verzeichnis, das Sie schützen möchten, und fügen Sie diesen Code ein:

Order Deny,Allow
Deny from all
Allow from <YOUR IP ADDRESS>

Verzeichnis-Browsing in .htaccess verhindern

Dieser wird oft standardmäßig von Ihrem Hosting-Provider festgelegt, aber wenn nicht, können Sie Ihrer .htaccess-Datei die folgende Zeile hinzufügen, um das Durchsuchen Ihrer Verzeichnisse über einen Webbrowser zu verhindern.

Options All -Indexes

Hotlinking von Bildern in .htaccess unterbinden

Dadurch wird verhindert, dass andere Websites Bilder anzeigen, die auf Ihrer Website gehostet werden. Dies ist kein großes Problem, aber wenn die Website viel Traffic hat, kann es schnell Ihre Bandbreite verbrauchen und dazu führen, dass Ihre Website blockiert wird oder zusätzliche Bandbreitenkosten anfallen. Sie können das Bild auch durch ein Bild ersetzen, das den Namen und die Adresse Ihrer Website zeigt, um ein wenig Werbung für sich zu machen, oder es durch etwas Freches ersetzen, wenn Sie es für richtig halten. Fügen Sie einfach diesen Code in Ihre .htaccess-Datei ein und ändern Sie Ihre Domain und die URL Ihres Bildes ohne Hotlinks entsprechend:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?yourdomain.com/.*$ [NC]
RewriteRule .(jpeg|JPEG|jpe|JPE|jpg|JPG|gif|GIF|png|PNG)$ https://www.yourdomain.com/no-hotlinking.png [R,L]

Header für Cross-Origin Resource Sharing (CORS)

Grundsätzlich beschränkt dieser Header den Zugriff auf Ressourcen wie CSS-Stylesheets, Bilder und Skripte auf die angegebene Domain. Wir empfehlen Ihnen, mehr über CORS auf der Mozilla Developers Website zu lesen. Wenn Sie CORS aktivieren möchten, fügen Sie einfach die folgende Zeile zu Ihrer .htaccess hinzu:

Header set Access-Control-Allow-Origin https://www.yourdomain.com

Deaktivieren Sie HTTP-Track & Trace

Eine weitere Methode, die häufig von Sicherheitsscans angezeigt wird, ist das Deaktivieren der HTTP TRACE- und HTTP TRACK-Methoden. Dies kann in Apache entweder durch das Hinzufügen von TraceEnable Off zu Ihrer httpd.conf oder durch das Hinzufügen des folgenden Codes zu Ihrer .htaccess-Datei erreicht werden:

RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]