Як захистити свій файл .htaccess?
Вступ
Захист веб-сайту є складним завданням, оскільки існує багато різних аспектів безпеки веб-сайтів і незліченна кількість дірок у безпеці, які необхідно закрити. Ми зібрали кілька корисних порад, налаштувань і фрагментів коду для усунення найпоширеніших проблем з безпекою веб-сайтів. Всі ці виправлення бездоганно працюють на нашій хостинговій платформі. Сканери безпеки часто виявляють ці проблеми. Ось як ви можете їх виправити, щоб підвищити загальний рівень безпеки вашого сайту. Ви можете використовувати ці поради щодо безпеки htaccess і фрагменти коду для WordPress і будь-якого іншого веб-сайту.
Що таке файл .htaccess?
.htaccess - це файл, який використовується веб-сервером Apache для визначення змінних оточення сервера і налаштувань конфігурації тільки для вказаного каталогу. Зазвичай він знаходиться в кореневому каталозі вашого сайту, наприклад, /home/username/public_html/.htaccess
Активуйте HTTP Strict Transport Security (HSTS) в .htaccess
Підтримка HTTP Strict Transport Security (HSTS) часто відображається сканерами SEO та безпеки. Що вона робить? Вона просто повідомляє веб-браузерам, що ви хочете, щоб ваш сайт був доступний тільки через дійсне з'єднання https. Щоб увімкнути її, просто додайте цей рядок до вашого htaccess:
Набір заголовків Strict-Transport-Security "max-age=31536000" env=HTTPS
Блокування виконання PHP-коду в певних каталогах в .htaccess
Це швидкий твік безпеки сайту в .htaccess, який працює для WordPress або будь-якого іншого кастомного сайту з каталогами, які ви хочете захистити від виконання PHP-коду. За допомогою цього трюку з .htaccess ви можете легко заблокувати виконання PHP у центральних каталогах WordPress, щоб зупинити поширені атаки. Однак, уважно перевірте свій сайт, щоб переконатися, що це не вплине на функціональність існуючих тем або плагінів. Для цього просто створіть файл .htaccess у кожному каталозі, який ви хочете захистити, і додайте цей код:
Порядок дозволити, заборонити
Заборонити від усіх
</IfModule
Вимагати заборони для всіх
</IfModule
</FilesMatch
Обмеження доступу за IP-адресою в .htaccess
Якщо у вас є статична IP-адреса, ви можете використовувати її для управління доступом до певних файлів або каталогів на вашому веб-сайті, наприклад, до сторінки входу або адміністративної області. Це часто використовується для захисту веб-сайтів на WordPress шляхом обмеження доступу до каталогів wp-login.php і /wp-admin/, але також працює і для інших систем управління контентом, користувацьких веб-сайтів і додатків.
Щоб обмежити доступ до певного файлу
<Файли .php
Наказати заборонити, дозволити
Заборонити від усіх
Дозволити з
</Files
Щоб обмежити доступ до всього каталогу, створіть файл .htaccess у каталозі, який потрібно захистити, і додайте цей код:
Наказ "Заборонити, дозволити
Заборонити від усіх
Дозволити з <Вашої IP-адреси
Заборона перегляду каталогів у .htaccess
Це часто встановлюється за замовчуванням вашим хостинг-провайдером, але якщо це не так, ви можете додати наступний рядок до вашого файлу .htaccess, щоб заборонити перегляд ваших каталогів через веб-браузер.
Параметри Всі -Індекси
Заборонити гарячі посилання на зображення в .htaccess
Це заважає іншим веб-сайтам відображати зображення, розміщені на вашому веб-сайті. Це не є великою проблемою, але якщо веб-сайт має великий трафік, він може швидко споживати вашу пропускну здатність і спричинити блокування вашого веб-сайту або додаткові витрати на пропускну здатність. Ви також можете замінити зображення на те, яке показує назву та адресу вашого сайту, щоб зробити невелику рекламу для себе, або замінити його на щось зухвале, якщо вважаєте за потрібне. Просто додайте цей код до вашого файлу .htaccess і змініть ваш домен і URL-адресу зображення без гарячих посилань відповідно:
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www.)?yourdomain.com/.*$ [NC]
RewriteRule .(jpeg|JPEG|jpe|JPE|jpg|JPG|gif|GIF|png|PNG)$ https://www.yourdomain.com/no-hotlinking.png [R,L]
Заголовок для спільного використання ресурсів між країнами походження (CORS)
По суті, цей заголовок обмежує доступ до ресурсів, таких як таблиці стилів CSS, зображення і скрипти, до вказаного домену. Ми рекомендуємо вам прочитати більше про CORS на сторінці Сайт для розробників Mozilla для читання. Якщо ви хочете активувати CORS, просто додайте наступний рядок до вашого .htaccess:
Набір заголовків Access-Control-Allow-Origin https://www.yourdomain.com
Деактивувати HTTP Track & Trace
Іншим методом, який часто вказують сканування безпеки, є відключення методів HTTP TRACE і HTTP TRACK. Цього можна досягти в Apache, додавши TraceEnable Off в httpd.conf або додавши наступний код до вашого файлу .htaccess:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]