Cum să refuzați accesul la fișierele de configurare sensibile utilizând .htaccess

Atunci când construiți și mențineți un site web, securitatea ar trebui să fie întotdeauna o prioritate absolută. Unul dintre cele mai neglijate, dar critice aspecte ale securității web este asigurarea faptului că fișierele sensibile – cum ar fi fișierele de configurare – nu sunt accesibile publicului prin intermediul unui browser.

De exemplu, un fișier precum config.cfg ar putea conține acreditări de baze de date, chei API sau alte informații confidențiale. Dacă nu este protejat în mod corespunzător, cineva ar putea tasta pur și simplu http://www.yourdomain.com/config.cfg într-un browser și ar putea accesa conținutul acestui fișier. Acest tip de vulnerabilitate poate duce la încălcarea securității datelor, la deteriorarea site-ului web sau chiar la compromiterea întregului server.

Din fericire, dacă utilizați găzduire web Apache (cum este cazul cu majoritatea planurilor de găzduire partajată, inclusiv cele de la AvaHost), puteți proteja cu ușurință astfel de fișiere utilizând fișierul.htaccess.

Ce este .htaccess?

Fișierul .htaccess este un fișier de configurare utilizat de serverul web Apache pentru a aplica setări la nivel de director fără a fi nevoie să modificați configurația principală a serverului. Este util în special pentru lucruri precum:

  • Activarea sau dezactivarea listării directoarelor

  • Configurarea redirecționărilor

  • Punerea în aplicare a HTTPS

  • Controlul accesului la anumite fișiere sau foldere

În cazul nostru, vom utiliza .htaccess pentru a refuza accesul direct la fișierele .cfg.

Cum să protejați fișierele de configurare

✅ Pasul 1: Localizați directorul

Navigați la directorul care conține fișierele sensibile – de exemplu, același folder în care este stocat config.cfg. Acesta se află de obicei în rădăcina documentului site-ului dvs. web (/public_html/, /www/ sau similar).

✅ Pasul 2: Crearea sau editarea fișierului .htaccess

Dacă există deja un fișier .htaccess în acest director, deschideți-l. Dacă nu, creați un fișier nou și numiți-l .htaccess (da, cu punctul la început).

✅ Pasul 3: Adăugați regulile de securitate

Introduceți următoarele directive în fișier:


Ordine allow,deny
Refuz de la toate
Ceînseamnă acest lucru:

– Țintește toate fișierele care se termină în .cfg

  • Order allow,deny – Stabilește precedența regulii (sintaxa Apache 2.2)

  • Deny from all – Refuză orice acces web la fișierele corespunzătoare

Ca urmare, orice încercare de a deschide config.cfg direct dintr-un browser va returna o eroare 403 Forbidden.

📌 Notă: Dacă utilizați Apache 2.4 , este posibil să trebuiască să utilizați în schimb această sintaxă modernă:


Require all denied

AvaHost & Securitate

La AvaHost, oferim suport .htaccess complet și vă oferim control total asupra mediului dvs. de găzduire. Fie că găzduiți un site personal mic sau gestionați date critice de afaceri, vă puteți baza pe infrastructura noastră sigură și flexibilă pentru a proteja ceea ce contează.

Aveți nevoie de ajutor pentru a vă securiza site-ul? Echipa noastră de suport este aici 24/7 pentru a vă ajuta cu configurațiile, întărirea securității și cele mai bune practici.