Безпека каталогу
Захист каталогів, каталоги паролів.
Щоб захистити даний каталог паролем, ми поміщаємо в нього два файла:
- .htaccess: інструкція по авторизації
- .htpasswd: інформація про користувачів і їх зашифрованих паролів
.htaccess / .htpasswd – це простий ASCII-файли, які ми можемо створити за допомогою текстового редактора, такого як простий блокнот або розширений редактор програмування. Варто відзначити, що це розширення файлів, а не імена.
Ці файли повинні бути відправлені в режимі ASCII, а не BINARY. Ми даємо їм CHMOD 644 (файл, що використовується сервером, але забороняє його читання браузерами)
Спочатку створіть файл .htpasswd, який краще всього розміщувати поза загальнодоступній області.
Ми можемо створити зашифрований пароль в онлайн-генераторах:
Приклад вмісту файлу .htpasswd повинен виглядати наступним чином:
uzytkownik:zdSVMujsXokkE
Ви можете створити декілька логінів і паролів. Однак пам’ятайте, що кожна запис повинна починатися з нового рядка. Наприклад:
uzytkownik1:jf05LdXAvmanYuzytkownik2:5z0GcRGJ.CitMuzytkownik3:rhGPWeaHukQb
Маючи файл з паролем, саме час створити файл .htaccess. Для захисту каталогів введіть наступний синтаксис:
AuthType BasicAuthName "My Protected Area"AuthUserFile /path/to/.htpasswdRequire valid-userlubRequire user janek franek iza
AuthType – тип аутентифікації
AuthName – ім’я (ім’я буде відображатися у вікні при введенні логіна і пароля)
AuthUserFile – повний шлях сервера до файлу .htpasswd (це не посилання, це шлях до сервера)
Потрібно – користувачі, авторизовані для перегляду ресурсу. Замість того, щоб перераховувати користувача окремо, ми можемо використовувати параметр valid-user – тоді всі користувачі з відповідними записами .htpasswd зможуть увійти в систему.
Якщо ми не знаємо шлях до сервера, ми можемо запустити скрипт через веб-браузер в цьому каталозі, який відображає шлях до каталогу, з якого він запущений.
Ви також можете використовувати дуже цікавий скрипт, який ви запускаєте з каталогу, який ви хочете захистити. Після введення імені користувача і пароля скрипт автоматично збереже файли .htaccess / .htpasswd.
Корисні сайти з генераторами:
Якщо ви намагаєтеся отримати доступ до захищеного каталогу, з’явиться вікно авторизації із запитом вашого імені користувача і пароля:
Захист файлів
Ви також можете захистити доступ до файлів ззовні. Після введення адреси в файл, в браузері з’явиться повідомлення про відсутність доступу (заборонено).
Все, що вам потрібно зробити, це створити файл .htaccess, який говорить:
order allow,denydeny from all
Таким чином, ви можете захистити сам файл .htaccess, помістивши в нього такий запис. Замість .php файлу введіть ім’я файлу, який потрібно заблокувати.
# protect the htaccess fileorder allow,denydeny from all# protect wpconfig.phporder allow,denydeny from all
Ви також можете захистити файл за допомогою пароля, як каталоги. Тут вам знадобляться обидва файлу, файл .htaccess має синтаксис (можливість захисту декількох файлів):
AuthType BasicAuthName "My Protected Area"AuthUserFile /path/to/.htpasswdrequire valid-userrequire valid-user
Приклад захисту файлу, що відповідає за вхід у WordPress:
RewriteEngine OnAuthName "OBSZAR CHRONIONY"AuthType BasicAuthUserFile /home/xxx/domains/www.pl/.htpasswd/public_html/.htpasswdRequire valid-userErrorDocument 401 "Unauthorized Access"ErrorDocument 403 "Forbidden"
