.htaccess 有多安全?

.htaccess 有多安全?

我有一个个人网站,希望除了我之外的所有人都能访问。我使用 .htaccess 文件已经有一段时间了,而且我很喜欢它(他们甚至看不到网页,只有登录框),但这能保护我免受一切侵害吗?搜索引擎还能扫描我吗?

我正在考虑在这里添加密码列表,并且希望它们被锁定。

答案1

对于通过用户代理字符串阻止搜索引擎而言,这相当简单。对于阻止用户通过用户代理字符串,忘掉它吧,这太浪费时间了

如果您要设置基本身份验证登录,请注意这些登录很容易受到暴力攻击,并且密码以纯文本形式发送。如果您要设置此登录以增加安全性,我建议使用 SSL。您可能对以下内容感兴趣ModSecurity如果您担心暴力破解,也是如此。

我建议在将 .htaccess 文件放到位之前也将其发布,以便评估是否存在任何问题。

答案2

.htaccess 文件是一组针对您的网络服务器的指令。如果您告诉它在显示页面之前需要身份验证,这将适用于每个人,包括搜索引擎(并且只有您有密码)。

确保您的密码文件不在可公开访问的目录中。您可以使用此指令完全阻止对以“.ht”开头的文件的访问,但如果您的整个网站都受密码保护,那么这应该不是问题。

<FilesMatch "^\.ht(.*)$">
  Deny from all
</FilesMatch>

请注意,如果您的连接未经过 SSL 加密,则此设置将不完全安全。您和 Web 服务器之间的任何人都可以拦截您的连接并嗅探您的密码 - 例如,如果您在咖啡店使用公共 Wi-Fi。但是,请考虑您需要多少安全性,因为 SSL 的设置可能很复杂且昂贵。从实际目的来看,.htaccess 文件应该足以阻止不受欢迎的访问者访问您的网站。

PS 使用HTTP 摘要身份验证而不是基本身份验证 - 它更安全一些。

相关内容