Как да направите уебсайта си да изглежда безопасно с вашия SSL сертификат, след като го инсталирате

Създавам нов уебсайт и искам да го направя възможно най-сигурен. Подготвях се да направя някои неща с .htaccess и съм полузагрижен от нивото на сигурност, което предоставя. Може ли някой (напр. Непознат онлайн) да има достъп до него? Може ли .htaccess файл да бъде взломан / хакнат? Колко сигурно трябва да се чувствам, когато използвам това за скриване на съдържанието на директории и други подобни? Дали е постоянно надежден или риск за сигурността?

  • "... използвам това за скриване на съдържанието на директории и други подобни?" - Ако съдържанието на тази директория е чувствително / критично, тогава вероятно не трябва да се съхранява в публичното HTML пространство, за да започнете.
  • @MrWhite Къде тогава съхранявате сензативна информация (напр. Данни за членство)?
  • Извън публичното HTML пространство. напр. Над корена на документа. (Ако приемем, че не сте планирали да използвате HTTP удостоверяване на Apache за защита на директорията?)

Ако вашият уебсайт все пак бъде хакнат, повечето хакери модифицират файла .htaccess, за да пренасочат трафика извън сайта ви или да активират страници със собствени файлове.

Въпреки че .htaccess обикновено не е проблем със сигурността, той вероятно ще се използва като част от всеки хак. Деактивирането на .htaccess може да направи вашия сайт по-малко желателен за хакване или да ограничи щетите, които хакерът може да причини.

Файловете на htaccess обикновено не могат да бъдат достъпни и това може да се провери в httpd файла на сървъра, който трябва да има правило за отказване на достъп до файловете на htaccess.

Файловете htaccess се използват широко за целите на seo и webmaster и се считат за основен елемент, когато става въпрос за различни неща (контролиране на достъпа, пренасочване и т.н.).

Така че, htaccess е надежден и трябва да се чувствате в безопасност, като го използвате. Имайте предвид обаче, че това не е така на най-добра практика, тъй като документацията на apache предлага използването на httpd файл за удостоверяване на потребителя и задачи mod_rewrite, тъй като това е по-малко данъчно облагане на сървъра и по този начин увеличава производителността.Просто много уебмастъри не са непременно администратори на сървъра си и по този начин нямат права да модифицират httpd файла, така че им се предоставя достъп до httaccess файлове за конкретните директории, в които се намира тяхното уеб приложение.

В крайна сметка няма безпокойство, когато става въпрос за използване на htaccess файлове (с изключение на производителността на сървъра, но това зависи от това, което искате да направите) и това е широко използван метод от много уебмастъри. Файлът е защитен от обществеността чрез правило за отказ на достъп във вашия httpd файл (ако не можете сами да го проверите, помолете администратора на сървъра да го провери) и дори в случай, че не е, някой ще трябва да има конкретни права за да можете да го модифицирате.

Като се има предвид това, всичко зависи от сигурността на вашия сървър. Изложен / компрометиран сървър по никакъв начин не може да гарантира целостта на вашия htaccess файл или какъвто и да е файл по този въпрос. Но не е известно, че htaccess сам по себе си представлява риск за сигурността.

е работил за вас: Charles Robertson | Искате ли да се свържете с нас?