Asegurar su sitio web utilizando .Las mejores prácticas de Htaccess
- 2973
- 198
- Jaime Delgadillo
.Htaccess es un poderoso archivo de configuración utilizado por servidores web como Apache para controlar y personalizar su comportamiento. Si bien se puede utilizar para una variedad de fines, uno de los más importantes es asegurar su sitio web.
En este artículo, discutiremos las mejores prácticas para usar .Htaccess para asegurar su sitio web, incluidos los consejos para proteger archivos y directorios confidenciales, evitar el acceso no autorizado y la protección contra las amenazas de seguridad comunes.
Use contraseñas seguras y autenticación
Una de las formas más simples pero más efectivas de asegurar su sitio web es mediante el uso de contraseñas y autenticación seguras. Al exigir a los usuarios que ingresen un nombre de usuario y contraseña antes de acceder a su sitio o ciertos directorios, puede evitar el acceso no autorizado y proteger la información confidencial.
Para configurar la protección de contraseña en .Htaccess, necesitará usar las directivas "AuthType" y "AuthuserFile". Aquí hay un ejemplo:
AuthType Basic Authname "Área restringida" AuthuserFile/Path/to/PasswaseS/.htpasswd requiere un usuario válido1234 | AuthType Basicauthname "Área restringida" AuthuserFile/Path/To/PasswaseS/.htpasswDrequire user válido |
En este ejemplo, "Tipo de autenticación" Especifica el tipo de autenticación que se utiliza (en este caso, autenticación básica), mientras "AuthuserFile" señala la ubicación de un archivo que contiene los nombres de usuario y contraseñas autorizados. El "Requerir usuario válido" La directiva especifica que solo los nombres de usuario y las contraseñas válidos pueden acceder al área restringida.
Proteger archivos y directorios confidenciales
Otro uso importante de .Htaccess es para proteger archivos y directorios confidenciales del acceso no autorizado. Esto es particularmente importante para los archivos que contienen información confidencial, como archivos de configuración, bases de datos y copias de seguridad.
Para proteger un archivo o directorio en .Htaccess, puede usar la directiva "Denegar de todos". Aquí hay un ejemplo:
Ordenar negar, permitir negar de todos1234 |
En este ejemplo, "FilesMatch" Especifica el archivo o los archivos que se protegerán (en este caso, "config.php "), mientras "Negar todo" Especifica que todas las solicitudes a esos archivos deben ser denegadas.
Bloquear acceso a direcciones IP sospechosas
Los piratas informáticos y los bots maliciosos a menudo usan herramientas automatizadas para escanear sitios web para vulnerabilidades. Para evitar estos ataques, puedes usar .Htaccess para bloquear el acceso a direcciones IP sospechosas.
Bloquear una dirección IP en .htaccess, puedes usar el "Negue de" directiva. Aquí hay un ejemplo:
Negue desde 192.168.1.11 | Negue desde 192.168.1.1 |
En este ejemplo, "Negue de" Especifica la dirección IP que se bloqueará (en este caso, 192.168.1.1).
Habilitar HTTPS y SSL
HTTPS (Protocolo de transferencia de hipertexto seguro) es un protocolo para la comunicación segura a través de Internet. Al habilitar HTTPS en su sitio web, puede proteger la información confidencial, como las contraseñas y los números de tarjetas de crédito de ser interceptados por los hackers.
Para habilitar https en .Htaccess, puede usar las directivas "Rewritecond" y "Rewriterule". Aquí hay un ejemplo:
RewriteEngine en RewriteCond %https Off Rewriterule ^(.*) $ https: //%http_host%request_uri [l, r = 301]123 | RewriteEngine OnReWritecond %https Offrewriterule ^(.*) $ https: //%http_host%request_uri [l, r = 301] |
En este ejemplo, "RewriteCond" verifica si HTTPS ya está habilitado, mientras que "Rewriterule" redirige todo el tráfico no HTTPS a HTTPS.
Limitar las cargas de archivo
Las cargas de archivos son una fuente común de vulnerabilidades de seguridad, ya que pueden usarse para cargar archivos maliciosos en su servidor. Para evitar esto, puede usar .htaccess para limitar el tamaño y los tipos de archivos que se pueden cargar.
Para limitar las cargas de archivo en .htaccess, puede usar la directiva "php_value". Aquí hay un ejemplo:
php_value upload_max_filesize1 | php_value upload_max_filesize |
En este ejemplo, "PhP_Value" Establece el tamaño máximo de archivo para cargas a 10 MB. También puedes usar el "Php_flag" Directiva para deshabilitar ciertos tipos de archivos para que se carguen por completo, como esta:
motor PhP_Flag Off1 | motor PhP_Flag Off |
En este ejemplo, "Motor PhP_Flag apagado" deshabilita la carga de scripts PHP.
Deshabilitar listados de directorio
De manera predeterminada, los servidores web muestran una lista de archivos en un directorio cuando no hay archivo predeterminado (como el índice.html) se encuentra. Esto puede ser un riesgo de seguridad, ya que puede revelar el contenido de directorios sensibles.
Para deshabilitar los listados de directorio en .Htaccess, puede usar la directiva "Opciones". Aquí hay un ejemplo:
Opciones -dexes1 | Opciones -dexes |
En este ejemplo, "Opciones -Indexes" Deshabilita listados de directorio para el directorio actual y todos sus subdirectorios.
Evitar al hotinglinking
Hotlinking es la práctica de vincular imágenes, videos u otros archivos alojados en su servidor desde otro sitio web. Esto no solo consume su ancho de banda, sino que también puede conducir a una infracción de derechos de autor si el contenido reticulado tiene derechos de autor.
Para evitar la línea de arrendamiento en .Htaccess, puede usar las directivas "Rewritecond" y "Rewriterule". Aquí hay un ejemplo:
RewriteEngine en RewriteCond %http_referer !^$ RewriteCond %http_referer !^http (s)?://(www\.)?Tu dominio.com [nc] rewriterule \.(jpg | jpeg | png | gif) $ - [nc, f, l]1234 | RewriteEngine OnreWriteCond %http_referer !^$ RewriteCond %http_referer !^http (s)?://(www\.)?Tu dominio.com [nc] rewriterule \.(jpg | jpeg | png | gif) $ - [nc, f, l] |
En este ejemplo, "RewriteCond" verifica si el sitio web de referencia es su propio dominio, mientras que "Rewriterule" devuelve un error prohibido 403 para cualquier solicitud de archivos de imagen de otros dominios.
Proteger contra secuencias de comandos de sitios cruzados (XSS)
La secuencia de comandos de sitios cruzados (XSS) es un tipo de vulnerabilidad de seguridad que permite a los atacantes inyectar código malicioso en su sitio web, a menudo a través de formularios u otros campos de entrada.
Para proteger contra XSS en .Htaccess, puede usar la directiva "Encabezado" para establecer el encabezado "X-XSS-Protection". Aquí hay un ejemplo:
Encabezado establece X-XSS-Protection "1; mode = bloque"1 | Encabezado establece X-XSS-Protection "1; mode = bloque" |
En este ejemplo, "Encabezamiento" establece el "X-XSS-Protection" encabezado "1; modo = bloque ", lo que les dice a los navegadores que bloqueen cualquier página que contenga sospechosos de ataques XSS.
Establezca una política de seguridad de contenido estricta (CSP)
La Política de seguridad de contenido (CSP) es una característica de seguridad que ayuda a prevenir secuencias de comandos entre sitios (XSS), clickjacking y otros tipos de ataques al especificar qué fuentes de contenido pueden cargar por una página web.
Para establecer un CSP estricto en .Htaccess, puede usar la directiva "Encabezado" para establecer el encabezado "Contenido-Security-Policy". Aquí hay un ejemplo:
Encabezado establecer contenido-seguridad-política "default-src 'self'; script-src 'self" insefe-inline'; style-src 'auto "insegura en línea'"1 | Encabezado establecer contenido-seguridad-política "default-src 'self'; script-src 'self" insefe-inline'; style-src 'auto "insegura en línea'" |
En este ejemplo, "Encabezamiento" establece el "Contenido-seguridad-política" encabezado a una política estricta que solo permite el contenido del dominio actual y los scripts y estilos en línea.
Actualice y monitoree regularmente su .archivo htaccess
Finalmente, es importante actualizar y monitorear regularmente su .archivo htaccess para garantizar que permanezca seguro y efectivo. Esto incluye verificar directivas obsoletas o vulnerables, eliminar reglas no utilizadas o innecesarias, y revisar regularmente los registros de sus servidores para obtener signos de actividad sospechosa.
Siguiendo estas mejores prácticas, puede usar .htaccess para mejorar significativamente la seguridad de su sitio web y proteger contra las amenazas de seguridad comunes. Sin embargo, es importante tener en cuenta que .Htaccess es solo uno de los muchos
- « Cómo manejar los errores de cadena de consulta en JavaScript
- Cómo habilitar el modo de depuración en Laravel para entornos específicos »