Как запретить доступ к конфиденциальным файлам конфигурации с помощью .htaccess

При создании и поддержке веб-сайта безопасность всегда должна быть главным приоритетом. Одним из наиболее упускаемых из виду, но критически важных аспектов веб-безопасности является обеспечение того, чтобы конфиденциальные файлы, такие как файлы конфигурации, не были доступны публике через браузер.

Например, такой файл, как config.cfg, может содержать учетные данные базы данных, ключи API или другую конфиденциальную информацию. Если он не защищен должным образом, кто-то может просто набрать в браузере адрес http://www.yourdomain.com/config.cfg и получить доступ к содержимому этого файла. Подобная уязвимость может привести к утечке данных, порче сайта или даже полной компрометации сервера.

К счастью, если вы используете хостинг Apache (как в большинстве тарифных планов виртуального хостинга, включая тарифы AvaHost), вы можете легко защитить такие файлы с помощью файла.htaccess.

Что такое .htaccess?

Файл .htaccess – это файл конфигурации, используемый веб-сервером Apache для применения настроек уровня директории без необходимости изменения основной конфигурации сервера. Он особенно полезен для таких вещей, как:

  • Включение или отключение листинга каталогов

  • Настройка перенаправления

  • Обеспечение HTTPS

  • Контроль доступа к определенным файлам или папкам

В нашем случае мы будем использовать .htaccess, чтобы запретить прямой доступ к файлам .cfg.

Как защитить файлы конфигурации

✅ Шаг 1: Найдите директорию

Перейдите в каталог, содержащий конфиденциальные файлы – например, в ту же папку, где хранится config.cfg. Обычно это корень документа вашего сайта (/public_html/, /www/ или что-то подобное).

✅ Шаг 2: Создайте или отредактируйте файл .htaccess

Если в этой директории уже есть файл .htaccess, откройте его. Если нет, создайте новый файл и назовите его .htaccess (да, с точкой в начале).

✅ Шаг 3: Добавьте правила безопасности

Вставьте в файл следующие директивы:

.
Разрешить, запретить
Запретить всем
 Чтоэто значит:

– Нацеливается на все файлы, заканчивающиеся на .cfg

  • Порядок allow,deny – устанавливает приоритет правила (синтаксис Apache 2.2)

  • Запретить от всех – запрещает веб-доступ к найденным файлам

В результате любая попытка открыть config.cfg непосредственно из браузера вернет ошибку 403 Forbidden.

📌 Примечание: Если вы используете Apache 2.4 , вам может понадобиться использовать этот современный синтаксис:

.
Требовать все отрицания

AvaHost & Security

AvaHost предлагает полную поддержку .htaccess и предоставляет вам полный контроль над хостингом. Независимо от того, размещаете ли вы небольшой персональный сайт или управляете важными бизнес-данными, вы можете положиться на нашу безопасную и гибкую инфраструктуру для защиты того, что имеет значение.

Нужна помощь в защите вашего сайта? Наша служба поддержки работает круглосуточно и без выходных, чтобы помочь с настройками, укреплением безопасности и передовыми методами.