Daca furnizorul dvs. de hosting foloseste serverul web Apache pentru a va gazdui site-ul, atunci inseamna ca va permite sa utilizati fisiere .htaccess pentru a va spori securitatea site-ului.
Conform AskApache.com, permisiunile de acces pentru fisierul .htaccess ar trebui sa fie 644 (user: read,write – group: read-only – world: read-only) si 640 pentru htpasswd (user: read,write – group: read-only – world: access denied).
Securizarea fisierelor site-ului dvs. cu .htaccess are unele avantaje. Puteti sa o faceti per-fisier sau pentru mai multe tipuri de fisiere. De exemplu, daca doriti sa securizati un fisier de configurare PHP, ar trebui sa utilizati:
<files config.php>
order allow, deny
deny from all
</files>
Acest cod va afisa o eroare “403 Forbidden” oricui va incerca sa acceseze fisierul config.php.
Pentru a interzice accesul utilizatorilor la fisierele de un anumit tip, folositi:
<Files *.pyc>
deny from all
</Files>
Acest cod va interzice accesul la fisierele de configurare python dintr-o anumita aplicatie web.
Un alt exemplu de securizare prin .htaccess il reprezinta prevenirea navigarii prin directoare. Cand un vizitator de pe site-ul dvs. intra intr-un director care nu are o pagina “index.html”, acesta va vedea continutul acelui director. Introduceti:
Options All -Indexes
Chiar daca .htaccess are unele beneficii pentru securitate, de asemenea este important sa stiti si limitele sale. Acesta este util numai atunci cand Apache ruleaza configurat cu directiva “AllowOverride”. Nu se poate presupune ca fiecare furnizor de hosting il va avea configurat corect, iar cel mai bine este sa intrebati in cazul in care va mutati la o noua companie de hosting.