Повишаване на сигурността на обекта, използвайки

.htaccess файлове (Hypertext Access) е конфигурационния файл на Apache сървър. В интернет доста статии за създаване на .htaccess. Това е дори посветил цели уеб сайтове. Въпреки това, когато аз започнах да уча ръководство за създаване на .htaccess файл. Аз не разбирам много, това е много объркващо писмена форма. В допълнение, малко внимание се обръща на безопасността на сайта.

създадете .htaccess

.Htaccess - е обикновен текстов файл, но с необичайно разширение. На домакините, с които съм работил, е възможно да се създават и управляват .htaccess файл директно от панела за управление на съдържанието. Ако вашият хостинг тази подкрепа не е налице, трябва да създадете текстов файл с .htaccess разширение на вашия компютър (например в Notepad), а чрез FTP-връзка да го качите в главната директория. Действие конфигуратор файл се отнася за всички поддиректории. За да промените настройките за определена директория (например администратор) трябва да бъде поставен където друг .htaccess файл с новите настройки.

разширения скрий

За да усложни процеса на намиране на вашите скриптови уязвимости (тъй като те винаги имат), следва да се скрие разширения или да ги смените с други, да обърка нападателя. Това ви дава възможност веднага да се спре множеството малки вредители и да се повиши сигурността на сайта.

Example # 2 Скриване разширение .php

Example # 3 Промяна в продължение .PHP .asp

Но това не винаги е удобно. В крайна сметка, ако се минава GET са параметри в URL адреса, искането ще изглежда така:

За да направите това, вие трябва да се промени цялата параметри низ на заявката, не заделят толкова очевидно. Това се нарича човешки лесен URL (NC).

Скриването Get-параметри в Северна Каролина

Във всеки CMS можете да го направите в административния панел, но ако не използвате системи за управление на съдържанието и направи-си-майстор, тъй като аз трябва да пиша с ЦПУ чрез .htaccess.

И ние трябва да се преобразува URL адреса на следния вид:

Пример # 4 грим човешки лесен URL (NC)

Управление Грешка Output

Показване на грешка със сигурност е хубаво нещо, когато отстраняване на грешки на заявлението. Въпреки това, след определяне на error_reporting и display_errors директиви следва да бъдат изключени, тъй като нападателите да се учим от тях важна информация за сценария.

Example # 5 завой грешка изход за отстраняване на грешки приложения

Example # 6 от грешки след отстраняване на грешки

Забрана на достъпа до определени файлове

Пример # 7 Забраната за достъп до файла .htpasswd

Example # 8 Блокиране на достъпа до конфигурационни файлове .inc и .CFG

Отричайки достъп до директория

Пример # 9 Няма достъп до директорията

удостоверяване на потребителя

Вие трябва да използвате основна идентификация за защита на административната част на сайта. Това може да бъде направено от сайт за хостване на контролен панел.

Example # 11 позволи само администратора

.htpasswd файл съдържа потребителски имена и хешовете на паролите. Той е създаден с помощта на htpasswd.exe комунални услуги и се намира в главната директория. Сега, когато влизате в защитената потребителя директория вижда:

Обърнете внимание на предупреждението, че паролата ще бъде изпратена в прав текст. Това означава, че при определени обстоятелства той може да бъде прихванато. Да не се използва този вид удостоверяване, за да се защитят важни данни.

Защитете файловете от свалянето (горещи връзки)

Hotlink - е да нанесете препратка към файл от едно място на друго. Hotlink обикновено се използва, за да не се зареди по-голям сървър и използване на снимката на хостинг за тази цел. Въпреки това, някои уебмастъри използват горещи връзки, когато копирате съдържанието в сайта си, като по този начин се отразява на трафика към сървъра. Предпазят от това чрез признаване на клиента HTTP_REFERER, а ако това не е търсачка, блокиране на връзката (грешка 403).

Example # 11 защита от Hotlinking

Не забравяйте да се промени моятсайт към вашия сайт.