Quando si costruisce e si mantiene un sito web, la sicurezza dovrebbe essere sempre una priorità assoluta. Uno degli aspetti più trascurati ma critici della sicurezza web è quello di garantire che i file sensibili, come i file di configurazione, non siano accessibili al pubblico tramite un browser.
Ad esempio, un file come config.cfg potrebbe contenere credenziali di database, chiavi API o altre informazioni riservate. Se non è adeguatamente protetto, qualcuno potrebbe semplicemente digitare http://www.yourdomain.com/config.cfg in un browser e accedere al contenuto di questo file. Questo tipo di vulnerabilità può portare a violazioni di dati, defacement di siti web o addirittura alla compromissione completa del server.
Fortunatamente, se si utilizza un hosting web Apache (come nel caso della maggior parte dei piani di hosting condiviso, compresi quelli di AvaHost), è possibile proteggere facilmente tali file utilizzando il file.htaccess.
Il file .htaccess è un file di configurazione utilizzato dal server web Apache per applicare impostazioni a livello di directory senza dover modificare la configurazione principale del server. È particolarmente utile per cose come:
Abilitare o disabilitare l’elenco delle directory
Impostazione di reindirizzamenti
Applicare l’HTTPS
Controllo dell’accesso a file o cartelle specifiche
Nel nostro caso, useremo .htaccess per negare l’accesso diretto ai file .cfg
.
Navigare nella cartella che contiene i file sensibili, ad esempio la stessa cartella in cui è memorizzato il file config.cfg. Di solito si trova nella radice dei documenti del sito web (/public_html/, /www/ o simili).
Se esiste già un file .htaccess in questa directory, aprirlo. In caso contrario, create un nuovo file e chiamatelo .htaccess (sì, con il punto all’inizio).
Inserire nel file le seguenti direttive:
<FilesMatch “\.(cfg)$”> – Mira a tutti i file che terminano in .cfg
Ordine allow,deny – Imposta la precedenza della regola (sintassi di Apache 2.2)
Nega da tutti – Nega l’accesso al web a tutti i file corrispondenti
Di conseguenza, qualsiasi tentativo di aprire config.cfg direttamente da un browser restituirà un errore 403 Forbidden.
📌 Nota: se si utilizza Apache 2.4 , potrebbe essere necessario utilizzare questa sintassi moderna:
Noi di AvaHost offriamo un supporto completo per .htaccess e vi diamo il controllo completo sul vostro ambiente di hosting. Che stiate ospitando un piccolo sito personale o gestendo dati aziendali critici, potete contare sulla nostra infrastruttura sicura e flessibile per proteggere ciò che conta.
Avete bisogno di aiuto per proteggere il vostro sito? Il nostro team di assistenza è a vostra disposizione 24 ore su 24, 7 giorni su 7, per aiutarvi con le configurazioni, l’hardening della sicurezza e le best practice.