Come posso proteggere il mio file .htaccess?
Introduzione
La sicurezza di un sito web è una sfida, ci sono molti aspetti diversi della sicurezza del sito web e innumerevoli buchi di sicurezza che devono essere chiusi. Abbiamo raccolto alcuni utili consigli di sicurezza htaccess, modifiche e frammenti di codice per risolvere i più comuni problemi di sicurezza del sito web. Queste correzioni funzionano tutte perfettamente sulla nostra piattaforma di web hosting. Gli scanner di sicurezza spesso rilevano questi problemi. Ecco come può risolverli per migliorare la sicurezza generale del suo sito web. Può utilizzare questi suggerimenti di sicurezza e snippet di codice htaccess per WordPress e qualsiasi altro sito web.
Che cos'è un file .htaccess?
.htaccess è un file utilizzato dal server web Apache per definire le variabili di ambiente del server e le impostazioni di configurazione solo per la directory specificata. Normalmente si trova nella directory principale del suo sito web, ad esempio /home/username/public_html/.htaccess
Attivi l'HTTP Strict Transport Security (HSTS) in .htaccess
Il supporto HTTP Strict Transport Security (HSTS) viene spesso visualizzato dai SEO e dagli scanner di sicurezza. Che cosa fa? Indica semplicemente ai browser web che desidera che il suo sito web sia accessibile solo tramite una connessione https valida. Per attivarlo, è sufficiente aggiungere questa riga al suo htaccess:
Imposta l'intestazione Strict-Transport-Security "max-age=31536000" env=HTTPS
Blocca l'esecuzione del codice PHP in determinate directory in .htaccess
Si tratta di un rapido tweak di sicurezza del sito web .htaccess che funziona per WordPress o per qualsiasi altro sito web personalizzato con directory che desidera proteggere dall'esecuzione di codice PHP. Con questo trucco .htaccess, può facilmente bloccare l'esecuzione di PHP nelle directory centrali di WordPress per bloccare gli attacchi più comuni. Tuttavia, controlli attentamente il suo sito web per assicurarsi che la funzionalità dei temi o dei plugin esistenti non venga compromessa. Per farlo, è sufficiente creare un file .htaccess in ogni directory che desidera proteggere e aggiungere questo codice:
.
Ordine allow, deny
Rifiuta da tutti
Richiedi a tutti negato
Limita l'accesso per indirizzo IP in .htaccess
Se dispone di un indirizzo IP statico, può utilizzarlo per controllare l'accesso a determinati file o directory del suo sito web, come la pagina di login o l'area amministrativa. Questo viene spesso utilizzato per proteggere i siti web WordPress, limitando l'accesso alle directory wp-login.php e /wp-admin/, ma funziona anche per altri sistemi di gestione dei contenuti e per siti web e applicazioni personalizzate.
Per limitare l'accesso a un file specifico
<Files .php>
Ordine negare, consentire
Rifiuta da tutti
Consenti da
Per limitare l'accesso a un'intera directory, crei un file .htaccess nella directory che desidera proteggere e aggiunga questo codice:
Ordine Rifiuta, Consenti
Rifiuta da tutti
Consenti da
Impedisca la navigazione nelle directory in .htaccess
Spesso questa impostazione è predefinita dal suo provider di hosting, ma se non lo è, può aggiungere la seguente riga al suo file .htaccess per impedire la navigazione nelle sue directory tramite un browser web.
Opzioni Tutti -Indici
Impedisca l'hotlinking delle immagini in .htaccess
Questo impedisce ad altri siti web di visualizzare le immagini ospitate sul suo sito. Questo non è un grosso problema, ma se il sito web ha molto traffico, può consumare rapidamente la sua larghezza di banda e causare il blocco del suo sito web o costi aggiuntivi di larghezza di banda. Può anche sostituire l'immagine con una che mostri il nome e l'indirizzo del suo sito web, per fare un po' di promozione per se stesso, o sostituirla con qualcosa di sfacciato, se lo ritiene opportuno. Basta aggiungere questo codice al suo file .htaccess e modificare di conseguenza il suo dominio e l'URL della sua immagine senza hotlink:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?yourdomain.com/.*$ [NC]
RewriteRule .(jpeg|JPEG|jpe|JPE|jpg|JPG|gif|GIF|png|PNG)$ https://www.yourdomain.com/no-hotlinking.png [R,L]
Intestazione per la Condivisione delle risorse cross-origine (CORS)
Fondamentalmente, questa intestazione limita l'accesso a risorse come fogli di stile CSS, immagini e script al dominio specificato. Le consigliamo di leggere ulteriori informazioni su CORS nella sezione Sito web degli sviluppatori di Mozilla da leggere. Se desidera attivare CORS, deve semplicemente aggiungere la seguente riga al suo .htaccess:
Imposta l'intestazione Access-Control-Allow-Origin https://www.yourdomain.com
Disattivare HTTP Track & Trace
Un altro metodo spesso indicato dalle scansioni di sicurezza è quello di disabilitare i metodi HTTP TRACE e HTTP TRACK. Questo può essere ottenuto in Apache aggiungendo TraceEnable Off al suo httpd.conf o aggiungendo il seguente codice al suo file .htaccess:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]