Текущее время: 18 окт 2017, 11:34


.htaccess – защити себя и свой сайт!

.htaccess – защити себя и свой сайт!

Сообщение HAMMER » 20 янв 2011, 23:21

.htaccess – защити себя и свой сайт!

Прочитав эту статью, вы сможете вывести личную безопасность вашего сайта на новый уровень.

Переопределение сообщений об ошибках

Одной из полезных возможностей, предоставляемых Apache, является подмена стандартных сообщений об ошибках веб-сервера своими. Для этого служит директива ErrorDocument.

Код: Выделить всё
ErrorDocument 403 «<BODY><H1>Forbidden</H1>
ErrorDocument 404 /errors/404.html


Внимание: при указании непосредственно HTML кода в данной директиве кавычки ставятся только в начале строки (см. пример)!
Пути к файлам указываются относительно корневого каталога данного веб-хоста, а не относительно файловой системы (правильно: /errors/404.html; неправильно: /var/www/myhost/html/errors/404.html).

Парольная защита

Если Вам нужно защитить часть содержимого Вашего сайта от посторонних, можно воспользоваться директивами семейства Auth. Они заставляют сервер спрашивать у клиента имя пользователя и пароль для доступа к содержимому каталога, в котором размещен .htaccess, а также к его подкаталогам.

Для этого необходимо создать файл с паролями (обычно называется .htpasswd) и разместить его в безопасном месте (например, на уровень выше каталога, который является корневым для Вашего хоста; к примеру, если сайт размещен в /home/user/html, то .htpasswd лучше положить в /home/user). Для создания .htpasswd используйте утилиту htpasswd из комплекта Apache.

Для установки защиты на некий каталог необходимо разместить в нем файл .htaccess следующего вида:

Код: Выделить всё
AuthUserFile /home/user/.htpasswd
AuthName “Secure Zone”
AuthType Basic
Require valid-user


AuthUserFile указывает путь к файлу с паролями. AuthName определяет так называемый ‘realm’ («мир»); обычно указывается, к чему осуществляется доступ (например, ‘Site Management Tools’, ‘Billing Information’ и т.п.)
AuthType определяет тип авторизации; практически всегда используется Basic (кроме него доступен тип Digest, но его мы рассматривать не будем).

Наконец, Require определяет набор условий, по которым определяется, кто из перечисленных в .htpasswd пользователей имеет доступ к данному каталогу сайта. ‘valid-user’ подразумевает, что доступ может получить любой пользователь после ввода пароля; вместо valid-user можно через пробел перечислить имена пользователей, которым предоставляется доступ.

Включение поддержки SSI

Если ssi по умолчанию не включен (или вы хотите добавить другой тип файлов, для того, чтобы там обрабатывались директивы ssi) и настройки вебсервера позволяют использовать следующие директивы, то пропишите в .htaccess эти строчки:

Код: Выделить всё
AddType text/html .shtml .htm .html
AddHandler server-parsed .shtml
Options +Includes


Блокировка по IP адресам

Средствами файла .htaccess можно ограничить доступ к ресурсам сайта по IP адресам; например, разрешить доступ к медиа-архиву только пользователям из локальной сети, или запретить какому-либо хосту или сети доступ к какому-либо контенту.

Синтаксис для этих директив таков:

Код: Выделить всё
Order Deny,Allow (или Allow,Deny – в зависимости от того, что требуется)
Deny from all (или адрес хоста)
Allow from all (или адрес хоста)


Например,
Код: Выделить всё
Order Deny,Allow
Deny from all
Allow from 192.168.0.
Allow from .localnet
Allow from admin.somewhere.in.the.net


вызывает отказ в доступе для всех, кроме сети 192.168.0.0/24, всех хостов, DNS имя которых содержит .localnet, а также хоста, DNS имя которого admin.somewhere.in.the.net.

Если нужно запретить доступ группе хостов, используется Allow,Deny:
Код: Выделить всё
Order Allow,Deny
Allow from all
Deny from 192.168.1.
Deny from hackers.are.everywhere.in.the.net


Принцип прост. По Order определяется порядок обработки правил allow/deny; если мы возьмем второй пример, то сначала сервер обработает правило allow from all, а затем хосты, которые прошли это правило, подвергаются проверке правилом deny; при этом все хосты из сети 192.168.1.0/24 и хост hackers.are.everywhere.in.the.net не проходят эту проверку и не получают доступа.

Более сложные применения:
Код: Выделить всё
<FilesMatch «.(txt|dat)$»>
Order Deny,Allow
Deny from all
</Files>


– данное правило запретит любым хостам доступ к файлам с расширениями .txt и .dat (например, в них могут храниться внутренние данные скриптов).

Блокировка по реферреру

Посредством использования модуля mod_rewrite и файла .htaccess можно добиться запрета доступа к Вашим ресурсам, если клиент пришел с какого-то определенного сайта (блокировка по referer’у).

Для этого требуются следующие директивы .htaccess:

Код: Выделить всё
RewriteEngine on
# Options +FollowSymlinks # – раскомментировать, если при установке этого .htaccess появляется ошибка 500, Internal Server Error
RewriteCond %{HTTP_REFERER} badsite.com [NC]
RewriteRule .* – [F]


Или, если нужно перечислить больше одного сайта,

Код: Выделить всё
RewriteEngine on
# Options +FollowSymlinks # – раскомментировать, если при установке этого .htaccess появляется ошибка 500, Internal Server Error
RewriteCond %{HTTP_REFERER} badsite.com [NC,OR]
RewriteCond %{HTTP_REFERER} anotherbadsite.com
RewriteRule .* – [F]


Если нужно запретить доступ напрямую со всех хостов, кроме определенных, набор правил будет выглядеть примерно так:

Код: Выделить всё
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(www.)?mydomain.ru(/)?
RewriteCond %{HTTP_REFERER} !^http://(.*).mydomain.ru(/)?
RewriteRule .*.(gif|jpg|jpeg|png)$ – [F]


Изменение индекс-страницы

Задать/Изменить индексный файл и последовательность их обработки можно директивой DirectoryIndex
Например:

Код: Выделить всё
DirectoryIndex photo.php photo.php5 index.php


Перенаправления

Для организации редиректа средствами .htaccess достаточно строки вида:
Redirect /old_directory/old_file.html http://your_new_site.com/new_directory/new_file.html

если нужно редиректить все содержимое подкаталога:
Код: Выделить всё
Redirect /old_directory http://bestcoding.info/new_directory/


редирект для всего сайта:
Код: Выделить всё
RewriteEngine On
RewriteRule (.*) http://bestcoding.info


Код: Выделить всё
Запрет обращений к .htaccess


Защитить их можно следующим образом, однако, это по умолчанию уже есть в httpd(2).conf, то есть в самой конфигурациии веб-сервера.

Код: Выделить всё
<Files ~ «^\.ht»>
Order allow,deny
Deny from all
</Files>


Добавление MIME-типов

Для добавления MIME-типов используется директива
Код: Выделить всё
AddType mime/type extension


Например,
Код: Выделить всё
AddType application/x-bittorrent torrent


Используется она в тех случаях, когда конфигурация по умолчанию заставляет сервер передавать документы не так, как требуется; например, многие серверы по умолчанию подразумевают тип text/plain, и бинарный файл (например, rar-архив), скачанный с такого сервера, вполне может оказаться «битым».

Запрет прямых ссылок на ресурсы

Если Вы хотите избежать так называемого «хотлинкинга» – прямых ссылок на Ваши ресурсы с других сайтов – Вам опять-таки поможет .htaccess в комбинации с mod_rewrite.
Для начала рассмотрим, чем плох хотлинкинг. Например, некий сайт размещает у себя изображение, находящееся на Вашем сайте, просто указав его в тэге <img src>. При этом все обращения к такой странице вызовут скачивание данного изображения с Вашего сайта; таким образом, будет расходоваться Ваш траффик и пропускная способность канала сервера, а посетители чужого веб-сайта увидят изображение, хранящееся у Вас, без соответствующего контекста.

Как же бороться с подобной практикой?
Рассмотрим следующий пример части файла .htaccess:
Код: Выделить всё
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?bestcoding.info.com/.*$ [NC]
RewriteRule \.(js|css)$ – [F]


Данный код запрещает обращения к .js и .css файлам (скрипты javascript и описания Cascading Style Sheets), если они производятся не с Вашего сайта.

Другой пример:
Код: Выделить всё
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?bestcoding.info/.*$ [NC]
RewriteRule \.(png|gif|jpg|jpeg)$ http://bestcoding.info/youaretheworst.gif [R,L]


При обращении извне к изображениям, хранящимся на вашем сайте, вместо самих изображений будет отображаться содержимое файла youaretheworst.gif.

Запрет вывода списка файлов

Apache (при включении соответствующих опций) умеет отображать список файлов в каталоге, если в нем нет ни одного из перечисленных в DirectoryIndex файлов. Часто эта опция включена по умолчанию, что может быть неприемлемо.
Строчка
Код: Выделить всё
Options -Indexes


отключит этот режим.

Однако иногда может, наоборот, понадобиться разрешить просматривать список файлов, при этом исключив из него их часть. Для этого служит IndexIgnore.
Например,
Код: Выделить всё
IndexIgnore *.php* *.pl *.html *.shtml


разрешает вывод списка всех файлов, кроме PHP и Perl скриптов, а также HTML документов.
АКЦИЯ: Каждому флудеру/оффтопщику - день бана в подарок! Приведи с собой друга и отгреби за двоих!

VIP группа на форуме BestCoding.info

FAQ по SEO (постепенно пополняется)
Мой любимый форум phpBB

HAMMER

Автор темы
Аватара пользователя
Администратор
 
Сообщения: [ 930 ]
Зарегистрирован: 20 янв 2011, 13:54
Откуда: Зеленоград
Благодарил (а): 9 раз.
Поблагодарили: 85 раз.

Re: .htaccess – защити себя и свой сайт!

Сообщение Koful » 24 янв 2011, 19:43

от рипа сайт все-равно не защитить!

Аватара пользователя
Застенчивый
 
Сообщения: [ 73 ]
Зарегистрирован: 24 янв 2011, 19:08
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

Re: .htaccess – защити себя и свой сайт!

Сообщение HAMMER » 24 янв 2011, 19:54

от рипа ничто не спасет)))
АКЦИЯ: Каждому флудеру/оффтопщику - день бана в подарок! Приведи с собой друга и отгреби за двоих!

VIP группа на форуме BestCoding.info

FAQ по SEO (постепенно пополняется)
Мой любимый форум phpBB

HAMMER

Автор темы
Аватара пользователя
Администратор
 
Сообщения: [ 930 ]
Зарегистрирован: 20 янв 2011, 13:54
Откуда: Зеленоград
Благодарил (а): 9 раз.
Поблагодарили: 85 раз.

Re: .htaccess – защити себя и свой сайт!

Сообщение Koful » 24 янв 2011, 21:22

это точно...теперь любой школьник может рипнуть сайт

Аватара пользователя
Застенчивый
 
Сообщения: [ 73 ]
Зарегистрирован: 24 янв 2011, 19:08
Благодарил (а): 3 раз.
Поблагодарили: 1 раз.

.htaccess – защити себя и свой сайт!

Сообщение reanimator » 18 фев 2011, 20:04

А для рипов, нужна программа специальная ? И как вообще это происходит?

Аватара пользователя
Прохожий
 
Сообщения: [ 10 ]
Зарегистрирован: 18 фев 2011, 19:15
Благодарил (а): 3 раз.
Поблагодарили: 0 раз.

.htaccess – защити себя и свой сайт!

Сообщение ewgeny » 20 фев 2011, 16:17

может программы тоже есть, а вообще все делается через исходный код страницы

Аватара пользователя
Застенчивый
 
Сообщения: [ 49 ]
Зарегистрирован: 21 янв 2011, 15:38
Благодарил (а): 4 раз.
Поблагодарили: 2 раз.

.htaccess – защити себя и свой сайт!

Сообщение Hut » 02 сен 2011, 22:47

Даже, если такая программа есть, вам зачем? Похоже, очередной рипер.

Аватара пользователя
Застенчивый
 
Сообщения: [ 48 ]
Зарегистрирован: 02 сен 2011, 16:02
Благодарил (а): 2 раз.
Поблагодарили: 0 раз.


Вернуться в CMS

Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей