אתר + פלוס
   פתרונות קוד פתוח

  

הגנת .htaccess על ממשקי ניהול באתרי תוכן

נכתב בתאריך א' בניסן ה'תש"ע (יום שלישי, מרץ 16th, 2010) א' בניסן ה'תש"ע (10:49 pm) בנושא

באתרים המאוכסנים בשרת Apache כדאי מאד להגן על ממשקי עריכת התוכן באמצעות קובץ .htaccess .

הגנה זו חוסמת אפשרות של Brute Force כדי לנסות לגלות את הסיסמא, או נסיונות ניחוש של הסיסמא (שלפעמים הינה בנאלית ביותר)

באופן כללי ניתן לבצע שני סוגים של הגנות:

  • חסימה לפי כתובות IP (מאד נוח אם יש כתובות קבועות)
  • חסימה עם סיסמא (מספק שכבת סיסמא נוספת)

כדי להגן לפי כתובות ניצור קובץ .htaccess עם התוכן הבא:

order deny,allow
allow from 1.2.3.4
allow from 5.6.7.8
deny from all

כאשר המספרים הם הכתובות מהם אנו רוצים לאפשר גישה.

כדי לחזק הגנה עם סיסמא נוספת ניצור קובץ .htaccess עם התוכן הבא:

AuthUserFile /home/client/.htpasswd
AuthType Basic
AuthName "Access Denied"
<Limit GET POST>
require valid-user
</Limit>

בנוסף אנו צריכים ליצור קובץ בשם .htpasswd עם הסיסמא ולמקם אותו במיקום אותו אנו מגדירים בשורה הראשונה של ה-.htaccess.

קובץ זה מייצרים בעזרת תכנת htpasswd בסביבת Linux או בסביבות אחרות בצורה הבאה:

htpasswd -c /home/client/.htpasswd myusername

כאשר מומלץ למקם את הקובץ בתיקיית הבית של המשתמש (שאינה נגישה לשרת ה-Web), ו-myusername הוא שם המשתמש שאותו אנו יוצרים.

לאחר הקשת הפקודה המערכת תבקש סיסמא ותיצור את הקובץ.

במערכת Joomla נמקם קובץ זה בתיקיית administrator

ובמערכת WordPress נמקם בתיקיית wp-admin

You might also be interested in
תגים:

תגובה אחת

הוסף תגובה

  1. yedidia - ב' בניסן ה'תש"ע (17 במרץ 2010) at 6:31 pm

    והשילוב הקטלני של IP או סיסמא כאשר נמצאים בחוץ

    Order deny,allow
    Deny from all
    AuthName "htaccess password prompt"
    AuthUserFile /home/askapache.com/.htpasswd
    AuthType Basic
    Require valid-user
    Allow from 172.17.10.1
    Satisfy Any

כתיבת תגובה

הוספת תגובה

Top