Come negare l’accesso ai file di configurazione sensibili utilizzando .htaccess

Quando si costruisce e si mantiene un sito web, la sicurezza dovrebbe essere sempre una priorità assoluta. Uno degli aspetti più trascurati ma critici della sicurezza web è quello di garantire che i file sensibili, come i file di configurazione, non siano accessibili al pubblico tramite un browser.

Ad esempio, un file come config.cfg potrebbe contenere credenziali di database, chiavi API o altre informazioni riservate. Se non è adeguatamente protetto, qualcuno potrebbe semplicemente digitare http://www.yourdomain.com/config.cfg in un browser e accedere al contenuto di questo file. Questo tipo di vulnerabilità può portare a violazioni di dati, defacement di siti web o addirittura alla compromissione completa del server.

Fortunatamente, se si utilizza un hosting web Apache (come nel caso della maggior parte dei piani di hosting condiviso, compresi quelli di AvaHost), è possibile proteggere facilmente tali file utilizzando il file.htaccess.

Che cos’è .htaccess?

Il file .htaccess è un file di configurazione utilizzato dal server web Apache per applicare impostazioni a livello di directory senza dover modificare la configurazione principale del server. È particolarmente utile per cose come:

  • Abilitare o disabilitare l’elenco delle directory

  • Impostazione di reindirizzamenti

  • Applicare l’HTTPS

  • Controllo dell’accesso a file o cartelle specifiche

Nel nostro caso, useremo .htaccess per negare l’accesso diretto ai file .cfg.

Come proteggere i file di configurazione

passo 1: Individuare la directory

Navigare nella cartella che contiene i file sensibili, ad esempio la stessa cartella in cui è memorizzato il file config.cfg. Di solito si trova nella radice dei documenti del sito web (/public_html/, /www/ o simili).

passo 2: Creare o modificare il file .htaccess

Se esiste già un file .htaccess in questa directory, aprirlo. In caso contrario, create un nuovo file e chiamatelo .htaccess (sì, con il punto all’inizio).

passo 3: Aggiungere le regole di sicurezza

Inserire nel file le seguenti direttive:

<FilesMatch "\.(cfg)$">.
Ordine allow,deny
Rifiuta da tutti
Cosa
significa:

<FilesMatch “\.(cfg)$”> – Mira a tutti i file che terminano in .cfg

  • Ordine allow,deny – Imposta la precedenza della regola (sintassi di Apache 2.2)

  • Nega da tutti – Nega l’accesso al web a tutti i file corrispondenti

Di conseguenza, qualsiasi tentativo di aprire config.cfg direttamente da un browser restituirà un errore 403 Forbidden.

📌 Nota: se si utilizza Apache 2.4 , potrebbe essere necessario utilizzare questa sintassi moderna:

<FilesMatch "\.(cfg)$">
Richiede tutti i file negati

AvaHost e Sicurezza

Noi di AvaHost offriamo un supporto completo per .htaccess e vi diamo il controllo completo sul vostro ambiente di hosting. Che stiate ospitando un piccolo sito personale o gestendo dati aziendali critici, potete contare sulla nostra infrastruttura sicura e flessibile per proteggere ciò che conta.

Avete bisogno di aiuto per proteggere il vostro sito? Il nostro team di assistenza è a vostra disposizione 24 ore su 24, 7 giorni su 7, per aiutarvi con le configurazioni, l’hardening della sicurezza e le best practice.